• Напоминаем, что 1 марта стартует курс "Тестирование Веб-Приложений на проникновение" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фаззинг и фингерпринт, активный фаззинг, уязвимости, пост-эксплуатация, инструментальные средства, Social Engeneering и многое другое. Подробнее ...

Конкурс План вкатывания в ИБ или как начать заниматься пентестингом и Bug Hunting на личном примере

N

noted

Well-known member
08.12.2019
50
10
Немного критики.
Открыв статью "План вкатывания в ИБ или как начать заниматься пентестингом" обрадовался. Ух, да это вроде как, что-то похожее на гайд для начинающего специалиста!
Начало говорило само за себя ©" но тут будут не общие советы, а по моему скромному личному опыту, как это все проходило у меня и проходит по сей день."
НО... далее пошел полный крах
сразу оговорюсь, оцениваю статью как молодой специалист, который жаждет узнать больше именно о вкатывании в ИБ (на что вроде и направлена статья)
1). © "Был сконцентрирован на программировании. программирование очень полезно в ИБ для разных целей." - какие ЯП? Чем пригодились именно на вкатывании?
2). © " впервые провели CTF - соревнования, где наша команда “CoolNull” выиграла" - Что помогло выиграть? знания которые дал ВУЗ? Каких скилов изначально не хватило? Что пришлось подтянуть для CTF? (сам закончил ВУЗ по ИБ и участвую в CTF, может быть не тот ВУЗ у меня был, но не представляю как без ночных залипаний на форумах по ночам, можно участвовать в CTF, а тем более выиграть). Сразу сюда можно добавить и вопрос, что подтягивали самостоятельно? Имеется ввиду критичная информация без которой в пентест не попадешь.
3). Собеседования - Что нестандартного спрашивали? С чем столкнулись? Что решили подтянуть? Где искали? Как в итоге нашили то что нужно? - ладно это увидел в комментариях, но все же это тоже значимый вопрос для молодых.
4). © "я проработал около 6 месяцев .... Эти год и 3 месяца" – интересны выводы из этого (тем более рассматриваем личный пример), Какие скилы реально пригодились ( имею в виду программирование раз вы им занимались), что пришлось подтягивать в срочном порядке? НЕОБХОДИМО БОЛЬШЕ ИНФОРМАЦИИ. Возможно, у читателя есть пробелы в знаниях, и это хотелось бы узнать, проанализировав статью практикующего писателя.
5). Раз уж затронули BugBounty.
Интересен первый опыт сдачи бага - было ли это случайно? или большой кропотливый труд? сколько времени потратили и вообще сколько времени нужно уделять для "Итог: за 3 месяца получилось подняться в топ 10 и заработано чуть больше $10000 в программе Mail.ru."? Опять же интересен опыт практики.
З.Ы. Раз уж вы сказали что, это "не общие советы" - то хотелось бы информативности именно в Вашем случае. Иначе эта статья называется не корректно. Это не «план», а краткая биография с рекомендациями (наверное единственный полезный абзац). Ну и на конкурсную статью ни как не тянет. Похожего плана биографии я встречал и раньше в интернете, единственная разница, это использование именно вашей истории.
 
  • Нравится
Реакции: Uba и The Codeby
r0hack

r0hack

DAG
Gold Team
29.09.2017
505
979
Немного критики.
Открыв статью "План вкатывания в ИБ или как начать заниматься пентестингом" обрадовался. Ух, да это вроде как, что-то похожее на гайд для начинающего специалиста!
Начало говорило само за себя ©" но тут будут не общие советы, а по моему скромному личному опыту, как это все проходило у меня и проходит по сей день."
НО... далее пошел полный крах
сразу оговорюсь, оцениваю статью как молодой специалист, который жаждет узнать больше именно о вкатывании в ИБ (на что вроде и направлена статья)
1). © "Был сконцентрирован на программировании. программирование очень полезно в ИБ для разных целей." - какие ЯП? Чем пригодились именно на вкатывании?
2). © " впервые провели CTF - соревнования, где наша команда “CoolNull” выиграла" - Что помогло выиграть? знания которые дал ВУЗ? Каких скилов изначально не хватило? Что пришлось подтянуть для CTF? (сам закончил ВУЗ по ИБ и участвую в CTF, может быть не тот ВУЗ у меня был, но не представляю как без ночных залипаний на форумах по ночам, можно участвовать в CTF, а тем более выиграть). Сразу сюда можно добавить и вопрос, что подтягивали самостоятельно? Имеется ввиду критичная информация без которой в пентест не попадешь.
3). Собеседования - Что нестандартного спрашивали? С чем столкнулись? Что решили подтянуть? Где искали? Как в итоге нашили то что нужно? - ладно это увидел в комментариях, но все же это тоже значимый вопрос для молодых.
4). © "я проработал около 6 месяцев .... Эти год и 3 месяца" – интересны выводы из этого (тем более рассматриваем личный пример), Какие скилы реально пригодились ( имею в виду программирование раз вы им занимались), что пришлось подтягивать в срочном порядке? НЕОБХОДИМО БОЛЬШЕ ИНФОРМАЦИИ. Возможно, у читателя есть пробелы в знаниях, и это хотелось бы узнать, проанализировав статью практикующего писателя.
5). Раз уж затронули BugBounty.
Интересен первый опыт сдачи бага - было ли это случайно? или большой кропотливый труд? сколько времени потратили и вообще сколько времени нужно уделять для "Итог: за 3 месяца получилось подняться в топ 10 и заработано чуть больше $10000 в программе Mail.ru."? Опять же интересен опыт практики.
З.Ы. Раз уж вы сказали что, это "не общие советы" - то хотелось бы информативности именно в Вашем случае. Иначе эта статья называется не корректно. Это не «план», а краткая биография с рекомендациями (наверное единственный полезный абзац). Ну и на конкурсную статью ни как не тянет. Похожего плана биографии я встречал и раньше в интернете, единственная разница, это использование именно вашей истории.
Хорошие замечания.
1) логично, что находить нужно уязвимости в коде, поэтому э, если знаешь, будет легче.
2) не совсем понял
3) тут согласен, может позже опишу отдельно, разберу тестовые задания
4) тут можно не одну статью написать
5) по багбаунти, там есть о ссылки на 2 мои статьи, где я все подробно описывал.
З.Ы. а на конкурсную тянет на все 100)
 
N

noted

Well-known member
08.12.2019
50
10
Хорошие замечания.
1) логично, что находить нужно уязвимости в коде, поэтому э, если знаешь, будет легче.
2) не совсем понял
3) тут согласен, может позже опишу отдельно, разберу тестовые задания
4) тут можно не одну статью написать
5) по багбаунти, там есть о ссылки на 2 мои статьи, где я все подробно описывал.
З.Ы. а на конкурсную тянет на все 100)
Попробую немного пояснить мысль:
1. Конечно, это логично так же как и то, что знание скриптовых языков поможет писать скрипты) Но. Вопрос какие ЯП изучал, на каком уровне и что реально пригодилось. Например, можно изучать C++, но на том же HTB тебе как правило нужен будет python. И тут либо искать кейсы с C++ либо кодить на другом языке. Я не имею в виду "прочитать код", я говорю про глубокое программирование. И вопросы заключаются в практическом применении, на сколько пригодилось? как часто ловишь себя на мысли "хорошо, что я шарю в программировании"? А самое главное критичны ли эти знания в начале карьеры или только бонус? и насколько большой этот бонус?
2. Да здесь наверное чисто моя придирка. Просто если это гайд вкатывания в пентест, его (как правило) будут читать новички. Что такое CTF пускай конечно гуглят сами, но наверное, необходимо уточнить какие знания нужны (или пригодились) для CTF (раз уж об этом упоминается). Хотя бы общие (не все же учатся в ВУЗах на ИБ) по типу - залитие шелла, повышение привилегий ... а например анализ конфигурации оборудования или настройки сервера? реверс кода? какие знания пригодились? какие пришлось подтянуть? опять же пример на Вашей практике.
4. Информации понятное дело много, но для начала интересуют критичные моменты. Например (беру первое что на ум приходит) очень часто приходилось на практике заниматься реверсом, этот момент пришлось изучать более детально. Все знать не реально, и поэтому на примере Вашего опыта и хочется узнать такие вещи.

возможно расписал несколько сумбурно, но надеюсь смысл донес.
 
Ondrik8

Ondrik8

prodigy
08.11.2016
1 043
3 022
а ну давайте все дружно про госуем за автора маннуала и чую он нам обяз будет написать при победе есс-но все тонкости и подводные камни данной тематики)) я лично за тебя +-анул!
 
D

Dit81

Member
21.07.2019
8
1
Подскажи плиз,а как ты вышел на эту контору? Я имею ввиду опыт поиска работы с буржем удалено. За ранее благодарю.
Был свой опыт поиска работы, добавил резюме на hh. И потом несколько контор сами мне писали с предложением работы и т.п. Главное указывать свои реальные навыки и скилы
 
  • Нравится
Реакции: Gunn1110
P

Persian

Member
31.07.2018
5
1
В качастве дополнения оставлю это для тех кто ищет CTF площадки.
- на сайте собрано 61 активных сайтов с CTF задачами (включая HackTheBox, Root-me и др.).
Для каждого сайта указана сложность заданий и каждый из них можно подключить к аккаунту WeChall для объединения счета.
 
Мы в соцсетях: