• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Конкурс План вкатывания в ИБ или как начать заниматься пентестингом и Bug Hunting на личном примере

Конкурс: Встречаем 2020 статьями по инфобезу

Всем Салам. Недавно в одном из инфосековских чатов натолкнулся на документ - “План вкатывания в Infosec”, в котором были какие-то общие советы, ссылки на полезные ресурсы и т.д. Данный мануал сподвиг меня написать данную статью, но тут будут не общие советы, а по моему скромному личному опыту, как это все проходило у меня и проходит по сей день. Сразу оговорюсь, что я не какой-то там СуперМегаПупер профессионал, а просто занимаюсь и развиваюсь в той области, которая доставляет мне удовольствие и деньги.

Начало

Хоть я и поступал на специальность “Информационная безопасность автоматизированных систем”, не думал, что буду заниматься вообще ИБ. Был сконцентрирован на программировании. Частично программированием занимаюсь по сей день, так же программирование очень полезно в ИБ для разных целей. По настоящему об ИБ и о том, что есть такое, как пентестинг, я узнал уже в через 2 года поступления в 2015 году, когда у нас в регионе впервые провели CTF - соревнования, где наша команда “CoolNull” выиграла. Но и после этого не было какого-то бешеного вливания в ИБ. Через пару месяцев я вовсе забыл обо всем этом и неплохо продвигался в программировании.

ezgif-6-14713a3ab403.gif


И вот через год, за пару месяцев до очередного CTF в 2017 году, я убедил одногруппника, что это интересно и мы начали уже активно готовиться, участвовать онлайн. И вот на оффлайн соревнованиях наша команда снова победила. После чего на 5 курсе мы довольно часто разъезжали по РФ по разным CTF-соревнованиям. Были и призовые, и позорные места. Параллельно я все еще занимался программированием, но удаленно.

В сентябре 2017 года, я также зарегистрировался на форуме Codeby. Изначально это было сделано с целью читателя и что-то поспрашивать на форуме. На тот момент хотелось понять и реализовать подмену DNS на роутере. И как раз это и был первый, небольшой ресерч, которым я после поделился на форуме. На форуме сильным мотиватором был апдейт, и, как вы можете заметить, сейчас я уже на самой последней ступени, где самая близкая команда форума. Большой плюс форума в том, что ты находишь таких же ребят, у которых горят глаза и они любят, то что делают.

1527711752636.png


И, исходя из всего этого, можно сказать, что, лично в моем случае, CTF - это тот катализатор, благодаря которому я начал заниматься ИБ, своего рода начальный толчок. CTF дает базовые знания в хакинге. Учит, как ковырять те или иные уязвимости, и все это в скопе с конкуренцией дает возможность заниматься этим с азартом.

Пентесты

Активно играл в CTF, подтягивал теорию, постоянно что-то изучал, писал статьи на Codeby, удаленно работал программистом. Так прошел примерно год, до апреля 2018 года. И вот, через пару месяцев выпускаюсь, неплохо было бы попробовать себя в роли пентестера. До этого я никогда не занимался тестированием на проникновение. Удачным стало третье собеседование. В первых двух, ЦАРКА и PT мне отказали. В итоге я удаленно начал работать с китайской конторой с окладом в $1300. В ЦАРКЕ и PT студенту, без опыта работы, вряд ли столько бы дали, да и еще удаленно работать. Поэтому в каком-то плане мне даже повезло, что не взяли. Так же, после 3 месяцев работы оклад подняли до $2000. Были только веб-пентесты в азиатском секторе. Там я получил свой первый коммерческий опыт работы пентестером.

По поводу тестовых заданий в ЦАРКЕ и PT были одни те же задания (после этого, недавно, несколько ребят обращались с этими заданиями: "Какие могут быть уязвимости?") . А вот у китайцев была интересная лаба в стиле CTF. Нужно было получить доступ к FTP. Не знаю, было ли там несколько вариантов, опишу тот, с помощью которого смог получить доступ я.
Была SQL - инъекция, через которую с помощью LOAD_FILE получалось читать локальные файлы. Пути я не знал, но получилось вызвать ошибки, где показались полные пути, там же был путь к конфигурационному файлу. В итоге получилось его прочитать, где были доступы к FTP.

ezgif-6-6dac4494d6a9.gif


В итоге с китайцами я проработал около 6 месяцев и на тот момент, в августе, я уже перебрался в Москву. В Москве, в сентябре, я начал работать с самым крутым вебером . Эти год и 3 месяца в были самыми эффективными в продвижении в пентестинге. За это время было проведено множество пентестов, несколько критикал багов на Bug Bounty, 2 небольших речерча - их можно прочитать Эксплуатация инъекций в ORM Doctrine (DQL). и Research Yandex.ClickHouse. Инъекции в столбцовом СУБД.
Также в свободное время беру проекты на субподряд. И вместе с Bug Bounty ими я занимаюсь чаще всего в специально отведенное время - это ночью с 00 до 03, а также в выходный день.

Пентесты, которыми занимаемся - разные, но в основном веб-пентесты. Но также иногда бывают и внутренние пентесты. Которые чаще всего проводятся по VPN. Подробно расписывать пентесты я не могу, но сделал примерную диаграмму по уязвимостям, которые чаще всего находятся на пентестах.
Вывод: для того, чтобы быстро расти в ИБ, нужны друзья, коллеги, энтузиасты, где будешь расти, делясь опытом и в конкуренции.

diag.png


Bug Hunting

h1.png


Кроме самой работы тестированием на проникновением, многим, наверное, будет интересно, как вообще начать сдавать баги на BugBounty. Никаких секретов на самом деле нет, нужно просто искать баги на разрешенных и сдавать их. Но вопрос в том, как повысить вероятность того, что ты найдешь в том или ином месте баг.
  1. Изучать один объект или несколько. То есть не нужно по всем программам прыгать. Нужно найти пару программ, еще лучше одну, и изучать ее. По своему личному опыту этот метод дает плоды, так как ты уже хорошо знаешь, как работает этот сервис.
  2. Детально изучать API, если есть. Так как многие это упускают, ленятся, а там скрыто много интересного.
  3. Попытаться получить доступ к тем местам, к которым нет доступа у всех. Например, админка для корпоративных клиентов или для партнеров.
  4. Автоматизировать процесс поиска новых поддоменов, перебор директорий, проверка на subdomain takeover. Безусловно, дает результат. Например, в конце декабря, таким образом, я обнаружил новый поддомен, где лежал .git/config с токеном от gitlab. Есть ребята, у кого все это очень серьезно автоматизировано, целые системы и поиск множества несложных багов. Например, у BlackFan, про свой проект как раз он рассказывал на .
  5. Использование автоматических сканеров. Имеет смысл, только если по нему не прошлись еще другие ребята. Но обычно в приватки приглашают ребят с большой репутацией, сейчас имею ввиду в hackerone, например, знакомый из топ 50 рассказывал, что на таких, только запущенных, проектах с помощью Acunetix и NetSparker у него получилось сделать около $60000 это за пару лет.
Как я писал в первом пункте, нужно изучать 1 программу, чем я занимался в последние 3 месяца 2019 года. Итог: за 3 месяца получилось подняться в топ 10 и заработано чуть больше $10000 в программе Mail.ru.

place.png


Подробнее про то, какие были баги можно прочитать в этих статьях: BruteForce, как недооцененный вид атаки (Account TakeOver) и

Рекомендации

Рекомендации я частично расписал по всей статье, тут поделюсь полезными ресурсами в области ИБ. И, определенно, это будут не все ресурсы, и если кто-то знает что-то полезное, еще и компетентен в данном вопросе, можете скинуть в комментарии.

Также хотелось бы сказать, что продвигаться самому в одиночку, с самого нуля, можно, но это долго и сложно, особенно если ты уже работаешь где-то. Если нет много времени, то можно также записаться на наш курс WAPT, где вся информация структурирована, есть практика, и самое главное - инструкторы, которые в случае чего будут подсказывать.
 

am29f010b

One Level
25.11.2019
3
10
BIT
0
Это статья не для участия в конкурсе, а какое-то резюме.
Она ничем не отличается от этой статьи, которую сняли с конкурса: "Общая методология проведения внутреннего теста на проникновение"

Процитирую @explorer
Не увидел, что статья подходит под какой-либо пункт конкурса.
1. Уязвимость в сервисе? - нет
2. Свой софт? - нет
3. CheatSheet? - нет
4. Ардуино или распберри пи? - нет
5. IoT? - нет
6. $ — да.
Согласен по всем пунктам.

А такие не состыковки по "отчету" просто глаз вырви:
В сентябре 2017 года, я также зарегистрировался на форуме Codeby. > ...Так прошел примерно год, до апреля 2018 года.
Пути я не знал, но получилось вызвать ошибки, где показались полные пути, там же был путь к конфигурационному файлу
нужно просто искать баги на разрешенных и сдавать их.

Затрагивая тему $, не получилось, но видимо задумывалось автором произвести/нагнать романтику на новичков, буд-то пентест это нечто большее, чем доход к основной работе. Реальность может у каждого и своя, но не в одном направлении.

Вы с такой статьей, простите, на что рассчитываете в этом конкурсе?
 

r0hack

DAG
Gold Team
29.09.2017
522
1 087
BIT
0
Это статья не для участия в конкурсе, а какое-то резюме.
Она ничем не отличается от этой статьи, которую сняли с конкурса: "Общая методология проведения внутреннего теста на проникновение"

Процитирую @explorer


6. $ — да.
Согласен по всем пунктам.

А такие не состыковки по "отчету" просто глаз вырви:




Затрагивая тему $, не получилось, но видимо задумывалось автором произвести/нагнать романтику на новичков, буд-то пентест это нечто большее, чем доход к основной работе. Реальность может у каждого и своя, но не в одном направлении.

Вы с такой статьей, простите, на что рассчитываете в этом конкурсе?
Относится к cheatsheet. Как план вкатывания в ИБ и багбаунти, на личном примере, реальном. Проверенный на практике.
 

digw33d

Green Team
23.01.2018
191
109
BIT
0
Ну как минимум в закреп для отсыла к ней свежерегов с вопросами "как начать, куда податься" вполне себе зайдет. Юзерфрендли монолог с советами и ссылками. Чаще можно услышать ехидные подколы и троллинг, нежели подобное.
 
Последнее редактирование модератором:

explorer

Platinum
05.08.2018
1 081
2 469
BIT
14
Она ничем не отличается от этой статьи, которую сняли с конкурса
Выскажу своё мнение - частично вы правы, в статье не хватает развёрнутости. ТС позиционирует статью как cheatsheet, но одновременно это же и история поиска интересной уязвимости в публичном сервисе, если точнее, его путь к поиску. На сами уязвимости ТС дал ссылки к ранее опубликованным материалам.

Мне лично было прочитать интересно, ведь это живая история, автобиография практически. Читая подобный материал, виден один из вариантов становления как пентестера через CTF. Также несколько раз говорилось о программировании, правда не упомянуто с какими ЯП ТС имел дело. Вот и вырисовывается cheatsheet CTF+программирование --> удалёнка+работа по найму --> багбаунти

К слову сказать, иметь высокий рейтинг на hackerone это показатель вдумчивой работы. Представьте - на всеобщее обозрение выкладывается ресурс уже не одну тысячу раз и до того исследованный вдоль и поперёк. И найти ещё какой-то баг не такая заурядная задача, как распотрошить никому неизвестный сайт. Я ещё даже не пробовал свои силы в публичных сервисах, пишу разный софт, набиваю руку на сайтах, благо я занимаюсь продвижением в ПС, поэтому есть заказчики, и живые сайты для тренировки.
 

am29f010b

One Level
25.11.2019
3
10
BIT
0
К слову сказать, иметь высокий рейтинг на hackerone это показатель вдумчивой работы
Вот вы и купились на "это", к конкурсу эта работа не подходит ни по какому пункту.

п. "Полноценный CheatSheet по одной узкой теме из этичного хакинга." -требование такое и оно не выполнено (В статье конкретный пак по конкретной задаче? Нет).

Истории какой-либо уязвимости тоже нет, тут просто мемуар_уязвимостей в теории (да, кому-то он понравился) за какой-то период жизни, но повторюсь, к конкурсу отношение статья не имеет.
Собственно, как и та статья, которую отклонили, потому что ее написал "ноунэйм" без скрина с hackerone.

Тем неменее статья обошла все фильтры и уже висит на главной странице, @SooLFaa добавьте свое мнение, без него тут как-то неполно.
 
  • Нравится
Реакции: Aleks Binakril

mrtyrel

Green Team
01.12.2018
80
45
BIT
0
Спасибо за статью очень интересно! будет продолжение?
 

Pavel Shuhray

Green Team
14.12.2016
12
4
BIT
1
Я посмотрел лаборатории
и что-то везде одно и то же. Сначала брутом подбирают какой-нибудь пароль, а уж потом хитрят. Что, правда нет других способов, кроме брута?
 
  • Нравится
Реакции: Aleks Binakril и ace911

id2746

Green Team
12.11.2016
435
644
BIT
14
Я посмотрел лаборатории
и что-то везде одно и то же. Сначала брутом подбирают какой-нибудь пароль, а уж потом хитрят. Что, правда нет других способов, кроме брута?
в 14 лабе старт идет также со сбора инфы(почты) и брута на 143 порту. Очень часто это (брут) и есть точка входа в периметр, так что брут до сих пор актуален.
Кстати уже давно в более-менее серьезных компаниях есть парольная политика. К счастью для пентестеров не все ей следуют )

Если кстати глобально обобщить, то вход в сеть по wifi тоже есть брут в любом его проявлении - или пасс или wps. Кроме случаев с сертификатом конечно.. )

И по теме - мне понравилось. Легко и быстро читается, примеры из жизни, полезные ссылки.
 
Последнее редактирование:
  • Нравится
Реакции: Aleks Binakril и r0hack

SooLFaa

Platinum
15.07.2016
898
1 559
BIT
18
Вот вы и купились на "это", к конкурсу эта работа не подходит ни по какому пункту.

п. "Полноценный CheatSheet по одной узкой теме из этичного хакинга." -требование такое и оно не выполнено (В статье конкретный пак по конкретной задаче? Нет).

Истории какой-либо уязвимости тоже нет, тут просто мемуар_уязвимостей в теории (да, кому-то он понравился) за какой-то период жизни, но повторюсь, к конкурсу отношение статья не имеет.
Собственно, как и та статья, которую отклонили, потому что ее написал "ноунэйм" без скрина с hackerone.

Тем неменее статья обошла все фильтры и уже висит на главной странице, @SooLFaa добавьте свое мнение, без него тут как-то неполно.
Я стараюсь не комментировать статьи участников команды публично, в случае, когда у меня лично есть сомнения. Этот топик мы уже обсудили внутри. По поводу фильтров - на главную попадают все статьи, прошедшие модерацию (это делает автоматика). Так как статья GOLD мембера, его статьи не подлежат модерации.

Но раз уж спросили, то мое СУБЪЕКТИВНОЕ И ЛИЧНОЕ мнение по поводу статьи, как обычного человека, а не администратора форума:
Статья не полная, на конкурсную не тянет, но заявленной быть право имеет, как и любая статья.
Было небольшое ощущение, что она скорее на резюме похоже, чем на руководство для новичков.

Я не рекламирую курсы нашего форума, но замечу, что сейчас сам прохожу WAPT и ребята сделали действительно неплохой интерактивный инфопродукт. Если есть возможность быстро вкуриться, самое оно. Потом можно пойти дальше и сдать OSWE (AWAE)

По поводу багбаунти - это всегда круто, когда получается находить баги в больших продуктах и ТС большой молодец, но здесь играет роль несколько факторов помимо скила: Удача, усидчивость, кол-во затраченного времени. Поэтому желание "учить багбаунтить" выглядит сомнительно. Я бы послушал от ТОП 100 в ББ лекции как им удается удерживать позиции. Или сводку и автоматику как они находят.

Что бы хотелось?
Больше конкретики. Какие есть ресурсы где потренить скилы. Какие есть площадки где можно побагбаунтить. Какие есть программы у вендоров. Какие есть аналогичные курсы помимо WAPT. Какие книги по тематике и по смежным дисциплинам полезно было бы почитать! Больше именно практического опыта.
 
Последнее редактирование:

r0hack

DAG
Gold Team
29.09.2017
522
1 087
BIT
0
Я стараюсь не комментировать статьи участников команды публично, в случае, когда у меня лично есть сомнения. Этот топик мы уже обсудили внутри. По поводу фильтров - на главную попадают все статьи, прошедшие модерацию (это делает автоматика). Так как статья GOLD мембера, его статьи не подлежат модерации.

Но раз уж спросили, то мое СУБЪЕКТИВНОЕ И ЛИЧНОЕ мнение по поводу статьи, как обычного человека, а не администратора форума:
Статья не полная, на конкурсную не тянет, но заявленной быть право имеет, как и любая статья.
Было небольшое ощущение, что она скорее на резюме похоже, чем на руководство для новичков.

Я не рекламирую курсы нашего форума, но замечу, что сейчас сам прохожу WAPT и ребята сделали действительно неплохой интерактивный инфопродукт. Если есть возможность быстро вкуриться, самое оно. Потом можно пойти дальше и сдать OSWE (AWAE)

По поводу багбаунти - это всегда круто, когда получается находить баги в больших продуктах и ТС большой молодец, но здесь играет роль несколько факторов помимо скила: Удача, усидчивость, кол-во затраченного времени. Поэтому желание "учить багбаунтить" выглядит сомнительно. Я бы послушал от ТОП 100 в ББ лекции как им удается удерживать позиции. Или сводку и автоматику как они находят.

Что бы хотелось?
Больше конкретики. Какие есть ресурсы где потренить скилы. Какие есть площадки где можно побагбаунтить. Какие есть программы у вендоров. Какие есть аналогичные курсы помимо WAPT. Какие книги по тематике и по смежным дисциплинам полезно было бы почитать! Больше именно практического опыта.
Всем не угодишь, а большинству такое изложение явно по душе, да можно сделать и развернутее, лучше можно сделать абсолютно любую статью, которая есть на форуме.

Узнать как держаться в топ 100?))) Может сначала нужно научится хотя бы искать баги для начала, а этим вопросом задаться через годик.

Про автоматизацию блэкфана я кидал ссылку. Я тоже раньше думал у всех автоматизация, на самом деле у большинства нет, у нескольких ребят из топ 50 я спрашивал, ни у кого не было. Из автоматических использовали окуня и спаркера.
 

SooLFaa

Platinum
15.07.2016
898
1 559
BIT
18
Всем не угодишь, а большинству такое изложение явно по душе, да можно сделать и развернутее, лучше можно сделать абсолютно любую статью, которая есть на форуме.

Узнать как держаться в топ 100?))) Может сначала нужно научится хотя бы искать баги для начала, а этим вопросом задаться через годик.

Про автоматизацию блэкфана я кидал ссылку. Я тоже раньше думал у всех автоматизация, на самом деле у большинства нет, у нескольких ребят из топ 50 я спрашивал, ни у кого не было. Из автоматических использовали окуня и спаркера.
Мнение большинства ты видишь в комментах тут. Я был на том докладе на ZN. Поэтому и упомянул. Я имел ввиду интересна экспертиза именно топовых багхантеров или интересные баги. А обсуждать какие то лозунги - это вилами по воде. В любом случае, я повторюсь. Все вышесказанное мной. Мое личное мнение, на которое, как и на остальные отрицательные отзывы, ты можешь не реагировать.
 

r0hack

DAG
Gold Team
29.09.2017
522
1 087
BIT
0
Мнение большинства ты видишь в комментах тут. Я был на том докладе на ZN. Поэтому и упомянул. Я имел ввиду интересна экспертиза именно топовых багхантеров или интересные баги. А обсуждать какие то лозунги - это вилами по воде. В любом случае, я повторюсь. Все вышесказанное мной. Мое личное мнение, на которое, как и на остальные отрицательные отзывы, ты можешь не реагировать.
Мнения большинства?) Твое и какого-то обиженного чувака?) Ну ок.
 

zigfridandroi

Green Team
06.01.2020
14
7
BIT
0
Запишите и меня в "обиженные чуваки"
Статью можно было сократить до
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!