r0hack
DAG
- 29.09.2017
- 522
- 1 082
Случайно, наткнулся на hh.ru, пригласили на собеседование...
Конкурс План вкатывания в ИБ или как начать заниматься пентестингом и Bug Hunting на личном примере
- Автор темы r0hack
- Дата начала
-
- Теги
- cheatsheet r0hack
Немного критики.
Открыв статью "План вкатывания в ИБ или как начать заниматься пентестингом" обрадовался. Ух, да это вроде как, что-то похожее на гайд для начинающего специалиста!
Начало говорило само за себя ©" но тут будут не общие советы, а по моему скромному личному опыту, как это все проходило у меня и проходит по сей день."
НО... далее пошел полный крах
сразу оговорюсь, оцениваю статью как молодой специалист, который жаждет узнать больше именно о вкатывании в ИБ (на что вроде и направлена статья)
1). © "Был сконцентрирован на программировании. программирование очень полезно в ИБ для разных целей." - какие ЯП? Чем пригодились именно на вкатывании?
2). © " впервые провели CTF - соревнования, где наша команда “CoolNull” выиграла" - Что помогло выиграть? знания которые дал ВУЗ? Каких скилов изначально не хватило? Что пришлось подтянуть для CTF? (сам закончил ВУЗ по ИБ и участвую в CTF, может быть не тот ВУЗ у меня был, но не представляю как без ночных залипаний на форумах по ночам, можно участвовать в CTF, а тем более выиграть). Сразу сюда можно добавить и вопрос, что подтягивали самостоятельно? Имеется ввиду критичная информация без которой в пентест не попадешь.
3). Собеседования - Что нестандартного спрашивали? С чем столкнулись? Что решили подтянуть? Где искали? Как в итоге нашили то что нужно? - ладно это увидел в комментариях, но все же это тоже значимый вопрос для молодых.
4). © "я проработал около 6 месяцев .... Эти год и 3 месяца" – интересны выводы из этого (тем более рассматриваем личный пример), Какие скилы реально пригодились ( имею в виду программирование раз вы им занимались), что пришлось подтягивать в срочном порядке? НЕОБХОДИМО БОЛЬШЕ ИНФОРМАЦИИ. Возможно, у читателя есть пробелы в знаниях, и это хотелось бы узнать, проанализировав статью практикующего писателя.
5). Раз уж затронули BugBounty.
Интересен первый опыт сдачи бага - было ли это случайно? или большой кропотливый труд? сколько времени потратили и вообще сколько времени нужно уделять для "Итог: за 3 месяца получилось подняться в топ 10 и заработано чуть больше $10000 в программе Mail.ru."? Опять же интересен опыт практики.
З.Ы. Раз уж вы сказали что, это "не общие советы" - то хотелось бы информативности именно в Вашем случае. Иначе эта статья называется не корректно. Это не «план», а краткая биография с рекомендациями (наверное единственный полезный абзац). Ну и на конкурсную статью ни как не тянет. Похожего плана биографии я встречал и раньше в интернете, единственная разница, это использование именно вашей истории.
Открыв статью "План вкатывания в ИБ или как начать заниматься пентестингом" обрадовался. Ух, да это вроде как, что-то похожее на гайд для начинающего специалиста!
Начало говорило само за себя ©" но тут будут не общие советы, а по моему скромному личному опыту, как это все проходило у меня и проходит по сей день."
НО... далее пошел полный крах
сразу оговорюсь, оцениваю статью как молодой специалист, который жаждет узнать больше именно о вкатывании в ИБ (на что вроде и направлена статья)
1). © "Был сконцентрирован на программировании. программирование очень полезно в ИБ для разных целей." - какие ЯП? Чем пригодились именно на вкатывании?
2). © " впервые провели CTF - соревнования, где наша команда “CoolNull” выиграла" - Что помогло выиграть? знания которые дал ВУЗ? Каких скилов изначально не хватило? Что пришлось подтянуть для CTF? (сам закончил ВУЗ по ИБ и участвую в CTF, может быть не тот ВУЗ у меня был, но не представляю как без ночных залипаний на форумах по ночам, можно участвовать в CTF, а тем более выиграть). Сразу сюда можно добавить и вопрос, что подтягивали самостоятельно? Имеется ввиду критичная информация без которой в пентест не попадешь.
3). Собеседования - Что нестандартного спрашивали? С чем столкнулись? Что решили подтянуть? Где искали? Как в итоге нашили то что нужно? - ладно это увидел в комментариях, но все же это тоже значимый вопрос для молодых.
4). © "я проработал около 6 месяцев .... Эти год и 3 месяца" – интересны выводы из этого (тем более рассматриваем личный пример), Какие скилы реально пригодились ( имею в виду программирование раз вы им занимались), что пришлось подтягивать в срочном порядке? НЕОБХОДИМО БОЛЬШЕ ИНФОРМАЦИИ. Возможно, у читателя есть пробелы в знаниях, и это хотелось бы узнать, проанализировав статью практикующего писателя.
5). Раз уж затронули BugBounty.
Интересен первый опыт сдачи бага - было ли это случайно? или большой кропотливый труд? сколько времени потратили и вообще сколько времени нужно уделять для "Итог: за 3 месяца получилось подняться в топ 10 и заработано чуть больше $10000 в программе Mail.ru."? Опять же интересен опыт практики.
З.Ы. Раз уж вы сказали что, это "не общие советы" - то хотелось бы информативности именно в Вашем случае. Иначе эта статья называется не корректно. Это не «план», а краткая биография с рекомендациями (наверное единственный полезный абзац). Ну и на конкурсную статью ни как не тянет. Похожего плана биографии я встречал и раньше в интернете, единственная разница, это использование именно вашей истории.
r0hack
DAG
- 29.09.2017
- 522
- 1 082
Хорошие замечания.
1) логично, что находить нужно уязвимости в коде, поэтому э, если знаешь, будет легче.
2) не совсем понял
3) тут согласен, может позже опишу отдельно, разберу тестовые задания
4) тут можно не одну статью написать
5) по багбаунти, там есть о ссылки на 2 мои статьи, где я все подробно описывал.
З.Ы. а на конкурсную тянет на все 100)
Попробую немного пояснить мысль:
1. Конечно, это логично так же как и то, что знание скриптовых языков поможет писать скрипты) Но. Вопрос какие ЯП изучал, на каком уровне и что реально пригодилось. Например, можно изучать C++, но на том же HTB тебе как правило нужен будет python. И тут либо искать кейсы с C++ либо кодить на другом языке. Я не имею в виду "прочитать код", я говорю про глубокое программирование. И вопросы заключаются в практическом применении, на сколько пригодилось? как часто ловишь себя на мысли "хорошо, что я шарю в программировании"? А самое главное критичны ли эти знания в начале карьеры или только бонус? и насколько большой этот бонус?
2. Да здесь наверное чисто моя придирка. Просто если это гайд вкатывания в пентест, его (как правило) будут читать новички. Что такое CTF пускай конечно гуглят сами, но наверное, необходимо уточнить какие знания нужны (или пригодились) для CTF (раз уж об этом упоминается). Хотя бы общие (не все же учатся в ВУЗах на ИБ) по типу - залитие шелла, повышение привилегий ... а например анализ конфигурации оборудования или настройки сервера? реверс кода? какие знания пригодились? какие пришлось подтянуть? опять же пример на Вашей практике.
4. Информации понятное дело много, но для начала интересуют критичные моменты. Например (беру первое что на ум приходит) очень часто приходилось на практике заниматься реверсом, этот момент пришлось изучать более детально. Все знать не реально, и поэтому на примере Вашего опыта и хочется узнать такие вещи.
возможно расписал несколько сумбурно, но надеюсь смысл донес.
Был свой опыт поиска работы, добавил резюме на hh. И потом несколько контор сами мне писали с предложением работы и т.п. Главное указывать свои реальные навыки и скилы
В качастве дополнения оставлю это для тех кто ищет CTF площадки.
Для каждого сайта указана сложность заданий и каждый из них можно подключить к аккаунту WeChall для объединения счета.
Ссылка скрыта от гостей
- на сайте собрано 61 активных сайтов с CTF задачами (включая HackTheBox, Root-me и др.).Для каждого сайта указана сложность заданий и каждый из них можно подключить к аккаунту WeChall для объединения счета.
Я извиняюсь,если не секрет в чем заключалась работа с компанией: пентестинг сайтов, серверов или просто приложений? А может еще что? За ранее благодарю.
r0hack
DAG
- 29.09.2017
- 522
- 1 082
А как у вас с английским? Я так понимаю что для общения и работы с иностранными компаниями гугл-переводчиком не обойтись))
r0hack
DAG
- 29.09.2017
- 522
- 1 082
Gray Ghost
Green Team
- 29.10.2019
- 112
- 48
Странно, в телеге только сегодня получил пост на эту статью больше 1.5 года давности, но все равно спасибо.
Обучение наступательной кибербезопасности в игровой форме. Начать игру!
Похожие темы
- Статья
Курс AD
