Приветствую, друзья. Ну что, вот и пошел 3-й год, с момента принятия решения окунуться в мир наступательной безопасности. Изменения в голове и трудности я и хотел бы описать, поэтому начнем.
К теме заголовка
Как наверное многие уже догадались, мне явно уже не 36 лет, а 38. Долго рассуждал: менять ли заголовок, раз уж начал привязываться к возрасту, но потом понял, что не буду. Так как в совокупности этих постов, читатель сможет понять, что путь к заветной цели может быть достаточно длинным, а энтузиазм, который был в самом начале (читай первый мой пост) со временем исчезает. Почему так? Наверное, состояние “Вау” в начале можно сравнить с отношениями между мужчиной и женщиной. В самом начале мы имеем страсть, дикую и неугомонную, но со временем она проходит, а на ее место приходит быт. Именно с этого момента начинают строится отношения. Первые скандалы, недомолвки и прочее. У меня с пентестом все проходит именно по такому сценарию. Страсть ушла уже давно и пришел быт)
В ИБ в 36 лет. Реально ли...
В ИБ в 36 лет. Первые 3 месяца упорного обучения
В ИБ в 36 лет. 6 месяцев слез, труда и терпения
В ИБ в 36 лет. Очередная попытка все бросить и подарки судьбы
В ИБ в 36 лет. Мне годик, подвожу итоги
В ИБ в 36 лет. 17 месяцев... Полет нормальный!
Трудоустройство
На момент написания этого поста, я все так же не устроился по направлению (Как оказалось, все куда сложнее, чем об этом говорят. Давайте разберем в чем эти самые проблемы.
- Знание английского. Хотя я уже как 7 мес. плотно читаю и слушаю всю необходимую мне информацию, с разговорным языком у меня траблы (Возможно сказывается тот факт, что нужно учить еще и местный язык и в целом выходит фигня. Не понимаю за что хвататься.
- Требования. Пока сосредотачиваешься на одном, рынок мгновенно меняется, а соответственно и требования к специалистам. Если раньше, еще год назад, веберу необходимо было ориентироваться в *nix системах, хорошо знать OWASP top 10, какой-нить язык программирования и перечень небезопасных функций в топовых языках, то сейчас мы уже имеем солянку из облачных технологий, крошек из devops и циклов разработки и тестирования. И это напрягает, так как времени не так и много, а знать нужно еще больше.
- Я есть Джун. Рынок сократился, как минимум в Европе. Найти вакансию джуна, практически нереально. А если такая и выпадает, то требования огого. И этот факт мгновенно отыгрывается на моральном состоянии.
В навыках
Могу смело заявить, что с нуля можно научиться ломать системы. Это факт. И вот тут кроется, как мне кажется, подвох. Впервые по просьбе товарища, который мне дал возможность покрутить цель, я получил свою первую RCE.
Я получил такой прилив адреналина, которого не получал уже очень давно. Ощущение от понимания, что ты пробился, потрясающие. И вот тут стоит остановиться и понять, что на самом деле, ты мало что сделал. А твой результат - это всего лишь ошибка человека, который допустил мисконфиг, не более. Не я такой умный, просто другой человечек не то чтобы глупый, сколько не дальновидный. Посчитавший, что никому не нужно сюда лезть. Кстати это заблужение и губит. Я уже даже не считаю кол-во кредов, которые нахожу в CVS системах. Конфиги и прочее. Люди почему-то считаю, что то что лежит в репе не интересно третьим лицам) А это не так.
Однозначно я подрос в знаниях, навыках, но не достаточно, чтобы работать в этой сфере.
BugBounty
В прошлый раз я писал, что с головой ушел в ББ. Ну что сказать, я вышел через 4 месяца))) Что пошло не так?
- Не понимание что сдавать, а что нет. Я нарыл 3 уязвимости и не сдал не одной, просто потому что не смог их раскрутить. Да, я многому научился в плане сбора информации. Разведка это целая область которой на мой взгляд требуется посвятить целый цикл статей.
- Импакт. Как-то удалось чуток пообщаться с человеком из апсек, который рассказал какую дичь вообще люди сдают в ББ. После этого я прикинул, что не желание сдать свои уязы, стоило примерно 700 баксов. Возможно кто-то скажет что это было глупо, но я принципиально не хотел сдавать уязы без демонстрации их влияния. Наверное это появилось еще на курсе WAPT, где всегда нужно было крутить уязвимость. Ну и наверное это мое личное отнашение к хакингу в целом.
- Tips & Tricks for BugBounty. В сети огромное кол-во информации по поваду всяких приколюх для ускорения процесса поиска и сдачи уязвимостей. В какой-то момент я их накопил огромное кол-во и откровенно у меня уже был гадюшик в ноушене. Ну и в одном старом твите, я узнал от чувака который сделал много всяких презенташек (а я их собирал), что 80% из всего этого мусора - не работает. Мля…Я дико был зол. Но это стало отправной точкой, когда я понял что занимаюсь фигней, и нужно обрасти знаниями импактов.
- И я начал читать и смотреть более серьезные вещи, более серьезных ребят. Смотреть и читать отчеты на 5-ть и 6-ть знаков, от которых мой мозг просто взрывается. Но такие вещи дают понимание, на сколько глубоко погружаются люди в поиске реально серьезных уязвимостей.
Если вы прочитаете мой первый пост, когда я еще был на подъеме и глаза горели, то обратите внимание на цели, которые я ставил себе. Я не достиг ни одной! Я по прежнему не работаю в этой сфере, что подавляет. Но я воробей битый и хорошо знаю, что если что-то идет не так, как планировалось, скорее всего все идет как надо. Со временем паззл сложится и картина будет написана. Я лишь могу продолжать двигаться как могу и набраться терпения, веря, что все сложится как лучше для меня.
Сертификат OSCP, о котором я бредил днем и ночью, все так же далек от меня как и в самом начале. Но только теперь я понимаю, что он мне и не нужен как бы)))
Я реально полюбил вебчик. Это просто огромная область для развития, где есть лишь одна цель - попасть внутрь! Поэтому я плотно взялся за подготовку к сертификату от portswigger. Когда он только появился, все улыбались, так как понимали, что он не нужен вообще никому. Но уже сейчас я вижу, что он всплывает в требованиях. Пока увидел только в компаниях Канады, но дело двинулось. Ну и конечно не поспоришь с тем, что база там на очень достойном уровне. Материалы актуальные, задачи интересные и что для меня важно - демонстрация разных импактов.
Размышления о пентесте в целом
Я всегда стараюсь перечитывать старые посты, чтобы понимать что изменилось у меня в голове. И я заметил, что изменения есть постоянные. Если в самом начале я считал, что весь пентест - это набор правил и шаблонов, изучив которые можно стать хорошим специалистом, то потом я пришел к тому, что системы нет как и самих правил. Есть только знания и опыт. Но и это оказалось в корне не верным утверждением. Я все больше убеждаюсь, что для того, чтобы быть хорошим спецом, не нужно обладать глубокими знаниями или навыком разработки, администрирования и прочего. Есть одна малозаметная часть - настойчивость. Именно эта штука и отвечает в этой сфере за все. Если вы не знаете чего-то - читайте, изучайте. Не получается - генерируйте идеи, ищите тропинку. В прошедшем году мои мозги были вывернуты благодаря трем материалам, которыми я с вами поделюсь.
- Парсеры изображений. Видео Егора Богомолова на VolgaCTF. По факту он отталкивался на работу Emil Lerner. Эти материалы привели меня к пониманию, что реальные угрозы всегда находятся глубже, а привычные нам параметры, сервисы и прочее - это лишь поверхность.
- Orange Tsai и его SSRF. Как и с примером выше, угрозы глубже. Серьезный труд, читая который мозги начинают становится на правильное место.
- И конечно же Ezequiel Pereira с его SSRF в Google. Если вы не видели этого видео, я настоятельно рекомендую его просматреть и даже несколько раз (я смотрел 7). Именно благодаря этому видео, я окончательно понял, что можно не обладать талантом или сверхинтелектом, чтоб найти уязу на 133,337 взрослых денег и тебя поздравила секурити тим гугла. То как он ее крутил, мало кто сможет. Даже сам LiveOverflow на одном из этапов провала, сказал что бросил бы, но чувак не бросил. НАСТОЙЧИВОСТЬ и постаянная работа мозга для поиска новой идеи.
Успехов всем в этом увлекательном и совершенно непростом путешествии!
Последнее редактирование модератором:
