-
B правой части каждого сообщения есть стрелки ⇧ и ⇩. Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок ✔ в правой части сообщения.
-
Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе
С чего начинать новичку изучение информационной безопасности?
- Автор темы CyberS0Ldie
- Дата начала
-
- Теги
- вопросы новичков
Сергей Попов
Кодебай
Смотря для чего это тебе нужно.
Если хочешь работать в сфере ИБ это одно, если только хобби это другое.
Опять таки есть множество разветвлений в ИБ. Я бы предложил начать с изучения ОРД ИБ)) С самого верха и потихой спускаться)) ФЗ, ГОСТы (как зарубежные так и российские), постановления правительства, приказы ФСТЭК и ФСБ. По крайней мере это даст примерно общую картину на происходящее. Ну, а дальше уже углубляться в технические части ЗИ) Ставить на тестовую машину и изучать особенности, настройки, технологию)
Вообще это обширный вопрос. Каждый выбирает то чем больше нравиться заниматься, кому то в железках ковыряться, кому то в документах.
CyberS0Ldie
Member
Спасибо.Есть просьба,не могли бы вы поподробней рассказать об этом.Меня интеремны такие темы ,как например penetretion testing,форензика,реверс-инженерия и безопасность в целом.Сейчас это для меня ,как хобби,а в будущем планирую профессионально этим заниматься.
Потому и спрашиваю
Сергей Попов
Кодебай
Я отвечал человеку, который порекомендовал наш курс. Он сложный и не подойдет новичку.
Сергей Попов
Кодебай
- Сети
- Программирование
- Веб
- Реверс
CyberS0Ldie
Member
Ну,а если я уже начал с архитектуры ЭВМ и Ассемблера?
Натыкался на одну статью "С чего начать вход в ИБ" или что-то в этом роде.В статье было сказано,что лучше начать с "железа".Типо архитектуры и Асмов,затем изучить операционный системы,потом сети,а потом только само программирование.
Натыкался на одну статью "С чего начать вход в ИБ" или что-то в этом роде.В статье было сказано,что лучше начать с "железа".Типо архитектуры и Асмов,затем изучить операционный системы,потом сети,а потом только само программирование.
У каждого абсолютно свой подход к изучению информационной безопасности, кто то начинал с сетей, кто то с программирования и т.д. Поэтому тут точных направлений дать не получится. Тебе что больше интересует из того что ты перечислил? "penetretion testing,форензика,реверс-инженерия".
Я лично начинал с сетей, изучал как работают основные протоколы, как tcp,udp,arp,icmp,dns - основа основ. И во время изучения я что то гуглил, читал и разбирался дальше и во время этого всего переходил на другие темы. После сетей начал изучать как происходят взломы, там уже познакомился с таким направлением как "Тестирование на проникновение", там уже изучал эту тему, наткнулся на
Чуть не забыл, советую посмотреть
Ссылка скрыта от гостей
по этой теме, который дал мне основные понятия про веб-уязвимости и как все происходит. Этот курс даст тебе хороший фундамент). После я натыкался на разные
Ссылка скрыта от гостей
по этой теме, читал их и изучал все дальше и дальше. Соответственно уже был знаком с Kali Linux, устанавливал ее на виртуальную машину и изучал инструменты и саму систему). Также наткнулся на
Ссылка скрыта от гостей
по metasploit, с помощью курса познакомился и узнал metasploit получше. Тренироваться по веб-уязвимостям и пентеста можно с помощью следующих платформ:
Ссылка скрыта от гостей
и
Ссылка скрыта от гостей
(bee-box). С помощью этих платформ, ты можешь тренироваться. Во время изучения, ты будешь гуглить, интересоваться и узнавать многие вещи подробнее и со временем (Если у тебя есть желание), ты будешь становится все опытнее и опытнее. Это все происходит со временем и у каждого по разному, просто интересуйся, гугли и разбирайся). Если что, я буду готов тебе помочь и что то подсказывать и делится своим опытом (Пиши в лс). Я сам лично не спец, но изучаю эту тему 1 год, так как сижу на самообразовании и учу себя самостоятельно с помощью книг, курсов, статей, форумов и тому подобнее. Просто это интересно и чувствую что это дело моей жизни. Самое главное, чтобы тебе это было интересно и это было твое желание и твой личный интерес). И со временем, тебе будут приходить различные идеи и желания. Просто, время покажет). Желаю удачи!). Чуть не забыл, советую посмотреть
Ссылка скрыта от гостей
по этой теме, он интересный).
1) Сети-знать на зубок,отличать маски,подсети,ориентироваться в типах IP-адресов,MAC-адресации.
2) Сайты-знать принципы работы,движки.
3) Linux-как 5 пальцев надо знать ,по-другому не получится,это рабочая ОС с безграничными возможностями.
Всё знать невозможно,но будет интуитивная способность решать проблемы с работой на этой ОС.
4) Уязвимости как основные,так и новые на сайтах,в железе.
5) Инструменты основные для тестирования,остальные будут понятны.
Очень объёмный пласт от видов сканирования,до способов получения shell.
6) Защита сайтов от уязвимостей и атак , их виды и способы обхода,методы реализации атак при работающих AV и WAF.
7) Умение читать код и программирование (первое пригождается базово чаще,чем второе)
Здесь уже гуглится,т.к. изобретать свой скрипт похвально,но уже накодировано-перекодировано столько,что на век хватит.
Полезно изучить html,javascript,php,python пусть даже поверхностно.
Mysql -знать очень хорошо,иначе никак.
bush-желательно просто ориентироваться,круто знать,но инструменты вытащат и без него.
В атаке при нестандартных ситуациях,можно найти способ решения с готовым скриптом,чтобы под себя его подстроить.
8) Google-хакинг и Форензика -отдельные темы,вторая очень сложная и по желанию,но азы знать надо.
Это неполный перечень,но хватит для занятий тестированием.
2) Сайты-знать принципы работы,движки.
3) Linux-как 5 пальцев надо знать ,по-другому не получится,это рабочая ОС с безграничными возможностями.
Всё знать невозможно,но будет интуитивная способность решать проблемы с работой на этой ОС.
4) Уязвимости как основные,так и новые на сайтах,в железе.
5) Инструменты основные для тестирования,остальные будут понятны.
Очень объёмный пласт от видов сканирования,до способов получения shell.
6) Защита сайтов от уязвимостей и атак , их виды и способы обхода,методы реализации атак при работающих AV и WAF.
7) Умение читать код и программирование (первое пригождается базово чаще,чем второе)
Здесь уже гуглится,т.к. изобретать свой скрипт похвально,но уже накодировано-перекодировано столько,что на век хватит.
Полезно изучить html,javascript,php,python пусть даже поверхностно.
Mysql -знать очень хорошо,иначе никак.
bush-желательно просто ориентироваться,круто знать,но инструменты вытащат и без него.
В атаке при нестандартных ситуациях,можно найти способ решения с готовым скриптом,чтобы под себя его подстроить.
8) Google-хакинг и Форензика -отдельные темы,вторая очень сложная и по желанию,но азы знать надо.
Это неполный перечень,но хватит для занятий тестированием.
Последнее редактирование:
ghostphisher
местный
Возможно грубым покажусь в ответе.
Начать надо с ответа на вопрос ЗАЧЕМ МНЕ ВСЕ ЭТО. И увы и ах, когда человек начинает такие вопросы задавать, это уже провал, и явна тема зашла не через душу. Когда ты этим занимаешься, у тебя нет таких вопросов, потому что ты ковыряешь интересное тебе, ты же с чего то начинал вхождение: с написания мелкой софтины, ламерской попыткой улучшить, протестировать, уничтожить девайс, созданий фишинг портала для шутки безобидной, поднять точку доступа в ретривом на 1 апреля. Не важно что, важно ЧТО ТЫ ЭТО НАЧАЛ и тебя затянуло, и тогда вопросы звучат по иному.
Так можно рассмотреть любое увлечение, к примеру купил человек себе авто, катал на нем, потом понимает, ему нравится дрифт, ок, что для этого надо? Начинает изучать узконаправленную тему ( турбины, даунпайпы, прошивки, развал колес, впуск/выпуск ), техника управлением автомобиля. И он не задается вопросом: как мне стать дрифтерем?
В 90% человек с вопросом - с чего начать новичку в ИБ, не пришел к этому сам, сердцем, хобби, а скорее посмотрев кино, почитав про тонны кэша который падает на инженера по ИБ. Это мертвый путь.
Пока решаете, можете почитать ЭТО
SearcherSlava
Red Team
Здрав будь! Этот пост про счастье. Человеческое. Про материальное, и нематериальное, кстати, тоже.
Ссылка скрыта от гостей
Вот ведь забавно то как. Дважды пытался записаться на Ваши курсы, дважды спрашивал, "а потяну ли с нуля?" и дважды мне отвечали, "да конечно", что не никак не развеяло мои сомнения. А тут раз человек и хоть правду сказал. Спасибо.
Сергей Попов
Кодебай
Мы описывали проблему здесь. С нуля - имеется ввиду, что человек ранее не занимался пентестом. Если нет начальных знаний сетей, базовых знаний программирования, основных команд Linux, на курсе делать нечего.
Обучение наступательной кибербезопасности в игровой форме. Начать игру!