Статья Roadmap для пентестера

типо_хацер.png

Данную карту написал для меня мой знакомый @Proxy n1nja , а доработал её я. С его позволения я хотел бы поделиться ей с вами.

План обучения пентесту с нуля и до профессионала
Основы. Начальный уровень: сети

Книга: Николай Кузьменко: Компьютерные сети и сетевые технологии . Подробнее: Книга охватывает очень широкий круг вопросов. Отлично подойдет в качестве первой книги по сетям, а так же познакомит с разными вещами,такими как: рейдмасивы, как работает сервер и т.д.

Книга: Э.Таненбаум, Д.Уэзеролл "Компьютерные сети" 5-е изд. (2012)
Подробнее: В книге последовательно изложены основные концепции по компьютерным сетям, определяющие современное состояние и тенденции.
Лучшее что можно найти на русском языке. Стоит прочесть после Кузьменко, в качестве закрепления материала.

YouTube канал: Andrey Sozykin
Подробнее: Прошерстив русский YouTube, понял, что данный канал - это лучшее что можно посмотреть по этой теме.

Книга:
Подробнее: Первый шаг к выполнению практических заданий. Читать параллельно с ниже приведёнными курсами.

YouTube плейлист: Настройка cisco от простого к сложному

YouTube плейлист: Курс молодого бойца CCNA cisco
Подробнее: Начинаем практику по работе с коммутаторами и маршрутизаторами Cisco. Работа с другими коммутаторами, как правило,
ничем принципиально не отличается, кроме синтаксиса команд и более скудным функционалом.

Книга:
Подробнее: Умение работать с Wireshark и tcpdump является обязательный навыком, как сетевого инженера, так и начинающего пентестера.

Инструменты для практики: , , ,

Операционные системы

Книга: Linux от новичка к профессионалу 6 издание
Подробнее: Очень хорошая, но объемная книга, которая охватывает большое количество дистрибутивов и практик по работе с ними.

Книга:
Подробнее: Отличная книга, в которой описано множество трюков по работе с Linux

Книга: Руссинович Марк, Соломон Дэвид "Внутреннее устройство Windows"
Подробнее: Книга охватывает очень много моментов, которые будут полезны будущему пентестеру. Есть отдельные главы посвященные безопасности ОС.

Инструменты для практики: Повседневное использование ОС и решение возникающих проблем

Программирование

Книга: “Укус Питона” – “A Byte of Python”
Подробнее: Отличная книга для начинающих. Находится в свободном доступе.

Книга:
Подробнее: Та книга, с которой я начинал.

Книга:

Книга: Марк Лутц "Изучаем Python" 1-й ТОМ, 5-ое издание

Книга: Марк Лутц "Изучаем Python" 2-й ТОМ, 5-ое издание

YouTube канал: Олег Молчанов
Подробнее: Лучший русскоязычный канал, посвященный обучению программирования на Python

Инструменты для практики: Любая IDLE, которая угодна душе, их существует огромное множество. Очень важно постоянно писать код и пытаться с помощью программирования решать повседневные задачи.


Мидл уровень
Сети

Книга:
Подробнее: Обязательная к прочтению книга. Две главы посвящены безопасности и разрешению проблем.

Книга: Системное и сетевое администрирование. Практическое руководство
Подробнее: Даёт огромные знания по BIND и DNS

Обязательно изучить как работают протоколы:

  • TCP/IP, Ethernet, MPLS, IP SLA, QoS и т.п
  • Знания в области IP маршрутизации, знать как работаю протоколы OSPF, EIGRP, BGP
  • Знания в L2 и и понимание работы протоколов STP, RSTP, VTP, link-aggregation
  • Понимание принципов работы MPLS
Операционные системы

Книга:
Подробнее: Дает представление о работе серверов на базе Windows

Книга: Unix и Linux. Руководство системного администратора
Подробнее: Возможно, не лучшее что есть, но в принципе можно взять и что-то другое по администрированию линуксовых систем.

Книга:
Подробнее: Это, можно сказать, библия для *nix администратора

YouTube канал: Kirill Semaev
Подробнее: Лучшее, что есть на русском YouTube. Очень хорошо объясняет, есть практические задания.

Практика: Постройка своей "корпоративной сети" среднего офиса на виртуальных машинах.

Программирование

Книга: Грокаем алгоритмы. Иллюстрированное пособие для программистов и любопытствующих
Подробнее: Алгоритмы знать просто обязательно.

Книга:
Подробнее: -

Сайт: Подробнее: Сайт посвящён тёмным материям программирования: рефакторингу, паттернам проектирования,
принципам SOLID и другим важным темам из мира программирования.

Книга:

Подробнее: Паттерны важно знать, потому что они помогают решать многие задачи, а так же
для понимания, что происходит в коде других разработчиков.

Практика: Реализовать свой собственный проект, который будет нести импакт. (пример: ботнет, крупный интернет магазин, цмс и т.д.)


Пентест

По пентесту очень сложно дать какие-то конкретные темы, ибо поиск уязвимостей больше похож на работу детектива или художника.
Все на данный момент описанные методы являются лишь более рекомендательными, чем обязательными. При пентесте очень важен опыт,
который можно получить только практикой. Но вот что рекомендуется к ознакомлению:

Это только то, что я смог вспомнить.
Ресурсы для практики и оттачивания навыков:

  • Codeby Games
Удачи в обучении! Возможно, гайд будет пополняться.
 
Последнее редактирование модератором:
Не помню, но кто-то написал, кажись даже тут на форуме
Есть курсы, где опытные люди(а кодебай люди опытные) систематизировали все, и уже с готовой дорожной картой по определенным моментам, тебе остается только эту информацию в темпе вальса усваивать и практиковаться, не тратя время на поиски и прочтение кучи литературы( которую в любом случае придется прочесть, если хочется этим заниматься серьезно) либо второй вариант, подходит для очень самоорганизованных людей, коих не так уж и много, искать роад мапы, книги, и прочее, задавать много вопросов, и это круто, жаль , что я не такой самоорганизованный человек, эхх..
уже просто дождаться 1 сентября не могу, прям как в школьные годы, когда во время каникул иногда в школу тянуло =)
 
Возможно (не утверждаю), что некоторые материалы дублируют друг друга. Довольно перегруженная подборка может получиться.

Наверное, лучше будет назвать эту отличную подборку "Очень полезная литература", а не дорожная карта.

Но тем не менее, респект и уважуха)
 
Ощущение, что такой объём книг в принципе непросто потянуть. Взять хотя бы Лутца. 2к страниц, около сотни вообще реклама и разъяснения- остальное техническая литература. Не самое простое чтиво, как по мне.
Возникает вопрос - как запоминать это все?)
 
Ощущение, что такой объём книг в принципе непросто потянуть. Взять хотя бы Лутца. 2к страниц, около сотни вообще реклама и разъяснения- остальное техническая литература. Не самое простое чтиво, как по мне.
Возникает вопрос - как запоминать это все?)
Практика, практика и ещё раз практика! Без неё вся эта теория будет бесполезной
 
Практика, практика и ещё раз практика! Без неё вся эта теория будет бесполезной
Так вот в чем и беда - я изучаю синтаксис питона, повторяю, но как написать то, что хочу я? Я не понимаю. Копирование кода? - а смысл от обучения тогда? Допустим, из чужого кода я могу загуглить функции, но загуглить откуда человек берёт айпи, как он к ним обращается, что получает от этого - у меня просто 0 в этом случае перед глазами. И самое плохое, что ты не знаешь, где быстро подсмотреть непонятки свои.
А курсы, с которыми я сталкивался, в том числе платными (нашёл сливы) ровным счётом кроме синтаксиса не учат ничему. Сорри за эти изливания, но для меня это личная боль) Хочется научиться, но от изучения синтаксиса до реального написания чего-то своего - огромная пропасть, на которую сложно найти ответы.
 
Так вот в чем и беда - я изучаю синтаксис питона, повторяю, но как написать то, что хочу я? Я не понимаю. Копирование кода? - а смысл от обучения тогда? Допустим, из чужого кода я могу загуглить функции, но загуглить откуда человек берёт айпи, как он к ним обращается, что получает от этого - у меня просто 0 в этом случае перед глазами. И самое плохое, что ты не знаешь, где быстро подсмотреть непонятки свои.
А курсы, с которыми я сталкивался, в том числе платными (нашёл сливы) ровным счётом кроме синтаксиса не учат ничему. Сорри за эти изливания, но для меня это личная боль) Хочется научиться, но от изучения синтаксиса до реального написания чего-то своего - огромная пропасть, на которую сложно найти ответы.
Лутца почитайте и практикуйстесь. ОФФТОП
 
  • Нравится
Реакции: fen1xxx, Xak33r и Lanan
Так вот в чем и беда - я изучаю синтаксис питона, повторяю, но как написать то, что хочу я? Я не понимаю. Копирование кода? - а смысл от обучения тогда? Допустим, из чужого кода я могу загуглить функции, но загуглить откуда человек берёт айпи, как он к ним обращается, что получает от этого - у меня просто 0 в этом случае перед глазами. И самое плохое, что ты не знаешь, где быстро подсмотреть непонятки свои.
А курсы, с которыми я сталкивался, в том числе платными (нашёл сливы) ровным счётом кроме синтаксиса не учат ничему. Сорри за эти изливания, но для меня это личная боль) Хочется научиться, но от изучения синтаксиса до реального написания чего-то своего - огромная пропасть, на которую сложно найти ответы.
Попробуй с простого, если ты знаешь синтаксис - это уже отлично, этот как с изучением иностранного языка, учи слова, делай тесты, а говорить пока не будешь, пока не проговоришь целиком предложение смысла нет.
Как вариант, попробуй начинать с задач простых, для отработки своих знаний, написать сразу скрипт с айпи и тд, будешь скрипт киди. по чуть чуть. задачи или придумай сам( сначала одну функцию, потом еще одну, потом объедигть изи попробуй, или как вариант для практики задачи погугли, решение не обязательно должно совпадать, код имею в виду, как на хакере статья была, что пентестинг и хакинг это искусство, находить решения задачи разными способами, а не тупо , потому что кто-то так уже сделал, эту дыру уже могли и закрыть)
в общем, придумывай задачи и решай их, не можешь придумать поищи и решай ;)
 
  • Нравится
Реакции: CHiWo, v1gman и ROP
Спасибо!
Как раз погружаюсь в пентест, после 2х недельной практики в pentestit (сертификат Zero Security: A) инфы в голове куча, этот роадмэп позволит разложить всё по полочкам и подтянуть пробелы.
 
  • Нравится
Реакции: Var1ar, v1gman и ROP
Создатель этого поста очень хороший человек
Наконец-то я встал на путь истинный
Всегда был интерсен этичный хакинг, но на уровне "это работает по такому приципу, это по такому" и "чтобы взломать пентагона надо клацнуть сюда и сюда"
Я прозрел, буду двигаться по данным книгам, может быть когда-нибудь тоже напишу статью на этот форум))
 
  • Нравится
Реакции: Var1ar, v1gman и ROP
Спасибо!
Как раз погружаюсь в пентест, после 2х недельной практики в pentestit (сертификат Zero Security: A) инфы в голове куча, этот роадмэп позволит разложить всё по полочкам и подтянуть пробелы.
Я очень рад, что моя статья помогла вам структурировать информацию. Для этого она и была создана :)
 
  • Нравится
Реакции: Var1ar
Создатель этого поста очень хороший человек
Наконец-то я встал на путь истинный
Всегда был интерсен этичный хакинг, но на уровне "это работает по такому приципу, это по такому" и "чтобы взломать пентагона надо клацнуть сюда и сюда"
Я прозрел, буду двигаться по данным книгам, может быть когда-нибудь тоже напишу статью на этот форум))
Мне приятно осознавать, что моя статья кому-то пригодилась и помогла :)
 
  • Нравится
Реакции: shadow228, Var1ar и CHiWo
Так вот в чем и беда - я изучаю синтаксис питона, повторяю, но как написать то, что хочу я? Я не понимаю. Копирование кода? - а смысл от обучения тогда? Допустим, из чужого кода я могу загуглить функции, но загуглить откуда человек берёт айпи, как он к ним обращается, что получает от этого - у меня просто 0 в этом случае перед глазами. И самое плохое, что ты не знаешь, где быстро подсмотреть непонятки свои.
А курсы, с которыми я сталкивался, в том числе платными (нашёл сливы) ровным счётом кроме синтаксиса не учат ничему. Сорри за эти изливания, но для меня это личная боль) Хочется научиться, но от изучения синтаксиса до реального написания чего-то своего - огромная пропасть, на которую сложно найти ответы.
К сожалению (или счастью) в природе нет курсов или книг (может и есть, но мне не встречались) которые смогут научить тебя думать. Любая технология это просто инструмент, тебе когда объяснили как молоток работает, ты же наверняка же не задавался таким вопросом, куда гвозди то заколачивать ? Так и тут, тебе показали как пользоваться синтаксисом, а что из него "строить" уже твое дело.
Я понимаю что вначале может быть сложно, но тут все приходит с практикой. Придумай себе задачу и ПРОСТО начинай ее выполнять. Например, задача написать игру блек-джек. Сядь, подумай, из чего состоит эта игра, какие сущности в ней фигурируют, нарисуй архитектуру программы на бумаге и т.д. Я тебе даже немного помогу примером, что есть в блекджеке ? Есть колода карт, игрок(или несколько) и условие победы. Что такое карта ? Просто набор информации такой например как ее "вес" и масть, что такое колода ? Массив данных который содержит в себе набор этих карт которые в свою очередь содержат в себе значение. И вот задача описать из чего-то непонятного превращается в полне конкретную: описать кодом, колоду карт. Как ты будешь это делать, это уже зависит от твоего знания синтаксиса языка. Ты можешь заполнить массив\список в ручную, можешь использовать циклы, можешь использовать генераторы и т.д. и т.п. Недеюсь ты и другие кто прочитает данный пост, уловили суть происходящего. Так что желаю успехов в обучении и побольше думать головой.
 
К сожалению (или счастью) в природе нет курсов или книг (может и есть, но мне не встречались) которые смогут научить тебя думать. Любая технология это просто инструмент, тебе когда объяснили как молоток работает, ты же наверняка же не задавался таким вопросом, куда гвозди то заколачивать ? Так и тут, тебе показали как пользоваться синтаксисом, а что из него "строить" уже твое дело.
Я понимаю что вначале может быть сложно, но тут все приходит с практикой. Придумай себе задачу и ПРОСТО начинай ее выполнять. Например, задача написать игру блек-джек. Сядь, подумай, из чего состоит эта игра, какие сущности в ней фигурируют, нарисуй архитектуру программы на бумаге и т.д. Я тебе даже немного помогу примером, что есть в блекджеке ? Есть колода карт, игрок(или несколько) и условие победы. Что такое карта ? Просто набор информации такой например как ее "вес" и масть, что такое колода ? Массив данных который содержит в себе набор этих карт которые в свою очередь содержат в себе значение. И вот задача описать из чего-то непонятного превращается в полне конкретную: описать кодом, колоду карт. Как ты будешь это делать, это уже зависит от твоего знания синтаксиса языка. Ты можешь заполнить массив\список в ручную, можешь использовать циклы, можешь использовать генераторы и т.д. и т.п. Недеюсь ты и другие кто прочитает данный пост, уловили суть происходящего. Так что желаю успехов в обучении и побольше думать головой.
Благодарю. Я вчера немного осознал концепцию своего дальнейшего обучения. Буду, скажем, искать то, что хотел бы сделать я и на примере чужого кода разбираться, попутно читая литературу. Продолжу изучать Лутца. Только вот я не понял, разница в 4 и 5 изданиях его томов лишь в адаптации каких-то моментов на сегодняшние реалии? Просто я читал издание 4. Если начать сейчас снова, стоит ли возвращаться к четвёрке или же я могу просто начать изучать пятое?
P.S. Спасибо за отзывчивость, господа, запал вникать возвращается, когда что-то встаёт по полкам и виден вектор.
 
Рад, что статья вам понравилась. Моя статья, как бы, дополнение к этой тык
Очень рад, это слышать) План составлен добротно, материал подобран отлично, но к сожалению, шаблона для каждого и полностью универсального не сделать. Но если делать для новичков, то тут, предполагаю, важны 2 правила. 1) Информацию дробить на малые части/темы и постепенно их осваивать. 2) Стараться не мешать темы и отрасли. Ибо, как довольно часто замечал, даешь книжку, люди или бросают на пол пути, потому что не понимают и просто теряются. Или начинают хвататься за все подряд, почитал что-то про линукс, потом пошел изучать питон, потом пошел в виндовс. По итогу в голове такая каша. Статья отличная, но думаю это не для новичка, а для человека с какой-то базой в голове, который просто не хочет себя самоорганизовать и найти информацию. А как дополнение, считаю отличный набор материала для изучения!
 
  • Нравится
Реакции: v1gman
Очень рад, это слышать) План составлен добротно, материал подобран отлично, но к сожалению, шаблона для каждого и полностью универсального не сделать. Но если делать для новичков, то тут, предполагаю, важны 2 правила. 1) Информацию дробить на малые части/темы и постепенно их осваивать. 2) Стараться не мешать темы и отрасли. Ибо, как довольно часто замечал, даешь книжку, люди или бросают на пол пути, потому что не понимают и просто теряются. Или начинают хвататься за все подряд, почитал что-то про линукс, потом пошел изучать питон, потом пошел в виндовс. По итогу в голове такая каша. Статья отличная, но думаю это не для новичка, а для человека с какой-то базой в голове, который просто не хочет себя самоорганизовать и найти информацию. А как дополнение, считаю отличный набор материала для изучения!
Статья больше рассчитана для тех у кого каша в голове от различной информации. Я и @Proxy n1nja постарались структурировать информацию, чтобы было понятно, что с чего и когда начинать. Сам не понаслышке знаю :) А так, я очень рад, что многим и вам, в том числе, понравилось. Видя комментарии, где новички благодарят меня за полезную статью, на лице появляется улыбка :)
 
  • Нравится
Реакции: DSec-56B12 и CHiWo
Спасибо большое за обширную информацию, сам только не давно(пару дней назад) начал вливаться в эту тему. Сам читаю на данный момент "Компьютерные сети. Нисходящий подход" и выбрал такой же примерно план, как допустим, закрепить второй книгой сетей с помощью Э.Таненбаум. Ну в любой случае, у каждого будет свой список книг и отличатся порядок их чтения. После сетей планирую про ОС прочитать от Э.Таненбаум , не увидел его в списке)
 
Спасибо большое за обширную информацию, сам только не давно(пару дней назад) начал вливаться в эту тему. Сам читаю на данный момент "Компьютерные сети. Нисходящий подход" и выбрал такой же примерно план, как допустим, закрепить второй книгой сетей с помощью Э.Таненбаум. Ну в любой случае, у каждого будет свой список книг и отличатся порядок их чтения. После сетей планирую про ОС прочитать от Э.Таненбаум , не увидел его в списке)
Хорошо) Удачи в обучении!
 
  • Нравится
Реакции: fen1xxx
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!