• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья В ИБ в 36 лет. 2 года позади

road.jpg

Приветствую, друзья. Ну что, вот и пошел 3-й год, с момента принятия решения окунуться в мир наступательной безопасности. Изменения в голове и трудности я и хотел бы описать, поэтому начнем.

К теме заголовка

Как наверное многие уже догадались, мне явно уже не 36 лет, а 38. Долго рассуждал: менять ли заголовок, раз уж начал привязываться к возрасту, но потом понял, что не буду. Так как в совокупности этих постов, читатель сможет понять, что путь к заветной цели может быть достаточно длинным, а энтузиазм, который был в самом начале (читай первый мой пост) со временем исчезает. Почему так? Наверное, состояние “Вау” в начале можно сравнить с отношениями между мужчиной и женщиной. В самом начале мы имеем страсть, дикую и неугомонную, но со временем она проходит, а на ее место приходит быт. Именно с этого момента начинают строится отношения. Первые скандалы, недомолвки и прочее. У меня с пентестом все проходит именно по такому сценарию. Страсть ушла уже давно и пришел быт)


1675170122148.png

  1. В ИБ в 36 лет. Реально ли...

  2. В ИБ в 36 лет. Первые 3 месяца упорного обучения

  3. В ИБ в 36 лет. 6 месяцев слез, труда и терпения

  4. В ИБ в 36 лет. Очередная попытка все бросить и подарки судьбы

  5. В ИБ в 36 лет. Мне годик, подвожу итоги

  6. В ИБ в 36 лет. 17 месяцев... Полет нормальный!

Изменения

Трудоустройство

На момент написания этого поста, я все так же не устроился по направлению (Как оказалось, все куда сложнее, чем об этом говорят. Давайте разберем в чем эти самые проблемы.
  1. Знание английского. Хотя я уже как 7 мес. плотно читаю и слушаю всю необходимую мне информацию, с разговорным языком у меня траблы (Возможно сказывается тот факт, что нужно учить еще и местный язык и в целом выходит фигня. Не понимаю за что хвататься.
  2. Требования. Пока сосредотачиваешься на одном, рынок мгновенно меняется, а соответственно и требования к специалистам. Если раньше, еще год назад, веберу необходимо было ориентироваться в *nix системах, хорошо знать OWASP top 10, какой-нить язык программирования и перечень небезопасных функций в топовых языках, то сейчас мы уже имеем солянку из облачных технологий, крошек из devops и циклов разработки и тестирования. И это напрягает, так как времени не так и много, а знать нужно еще больше.
  3. Я есть Джун. Рынок сократился, как минимум в Европе. Найти вакансию джуна, практически нереально. А если такая и выпадает, то требования огого. И этот факт мгновенно отыгрывается на моральном состоянии.
Я все больше понимаю, что нужно уходить в ББ.

В навыках

Могу смело заявить, что с нуля можно научиться ломать системы. Это факт. И вот тут кроется, как мне кажется, подвох. Впервые по просьбе товарища, который мне дал возможность покрутить цель, я получил свою первую RCE.

1675170221396.png


Я получил такой прилив адреналина, которого не получал уже очень давно. Ощущение от понимания, что ты пробился, потрясающие. И вот тут стоит остановиться и понять, что на самом деле, ты мало что сделал. А твой результат - это всего лишь ошибка человека, который допустил мисконфиг, не более. Не я такой умный, просто другой человечек не то чтобы глупый, сколько не дальновидный. Посчитавший, что никому не нужно сюда лезть. Кстати это заблужение и губит. Я уже даже не считаю кол-во кредов, которые нахожу в CVS системах. Конфиги и прочее. Люди почему-то считаю, что то что лежит в репе не интересно третьим лицам) А это не так.

Однозначно я подрос в знаниях, навыках, но не достаточно, чтобы работать в этой сфере.

BugBounty

В прошлый раз я писал, что с головой ушел в ББ. Ну что сказать, я вышел через 4 месяца))) Что пошло не так?
  • Не понимание что сдавать, а что нет. Я нарыл 3 уязвимости и не сдал не одной, просто потому что не смог их раскрутить. Да, я многому научился в плане сбора информации. Разведка это целая область которой на мой взгляд требуется посвятить целый цикл статей.
  • Импакт. Как-то удалось чуток пообщаться с человеком из апсек, который рассказал какую дичь вообще люди сдают в ББ. После этого я прикинул, что не желание сдать свои уязы, стоило примерно 700 баксов. Возможно кто-то скажет что это было глупо, но я принципиально не хотел сдавать уязы без демонстрации их влияния. Наверное это появилось еще на курсе WAPT, где всегда нужно было крутить уязвимость. Ну и наверное это мое личное отнашение к хакингу в целом.
  • Tips & Tricks for BugBounty. В сети огромное кол-во информации по поваду всяких приколюх для ускорения процесса поиска и сдачи уязвимостей. В какой-то момент я их накопил огромное кол-во и откровенно у меня уже был гадюшик в ноушене. Ну и в одном старом твите, я узнал от чувака который сделал много всяких презенташек (а я их собирал), что 80% из всего этого мусора - не работает. Мля…Я дико был зол. Но это стало отправной точкой, когда я понял что занимаюсь фигней, и нужно обрасти знаниями импактов.
  • И я начал читать и смотреть более серьезные вещи, более серьезных ребят. Смотреть и читать отчеты на 5-ть и 6-ть знаков, от которых мой мозг просто взрывается. Но такие вещи дают понимание, на сколько глубоко погружаются люди в поиске реально серьезных уязвимостей.
Мои первые цели в начале

Если вы прочитаете мой первый пост, когда я еще был на подъеме и глаза горели, то обратите внимание на цели, которые я ставил себе. Я не достиг ни одной! Я по прежнему не работаю в этой сфере, что подавляет. Но я воробей битый и хорошо знаю, что если что-то идет не так, как планировалось, скорее всего все идет как надо. Со временем паззл сложится и картина будет написана. Я лишь могу продолжать двигаться как могу и набраться терпения, веря, что все сложится как лучше для меня.

Сертификат OSCP, о котором я бредил днем и ночью, все так же далек от меня как и в самом начале. Но только теперь я понимаю, что он мне и не нужен как бы)))

1675170334664.png


Я реально полюбил вебчик. Это просто огромная область для развития, где есть лишь одна цель - попасть внутрь! Поэтому я плотно взялся за подготовку к сертификату от portswigger. Когда он только появился, все улыбались, так как понимали, что он не нужен вообще никому. Но уже сейчас я вижу, что он всплывает в требованиях. Пока увидел только в компаниях Канады, но дело двинулось. Ну и конечно не поспоришь с тем, что база там на очень достойном уровне. Материалы актуальные, задачи интересные и что для меня важно - демонстрация разных импактов.

Размышления о пентесте в целом

Я всегда стараюсь перечитывать старые посты, чтобы понимать что изменилось у меня в голове. И я заметил, что изменения есть постоянные. Если в самом начале я считал, что весь пентест - это набор правил и шаблонов, изучив которые можно стать хорошим специалистом, то потом я пришел к тому, что системы нет как и самих правил. Есть только знания и опыт. Но и это оказалось в корне не верным утверждением. Я все больше убеждаюсь, что для того, чтобы быть хорошим спецом, не нужно обладать глубокими знаниями или навыком разработки, администрирования и прочего. Есть одна малозаметная часть - настойчивость. Именно эта штука и отвечает в этой сфере за все. Если вы не знаете чего-то - читайте, изучайте. Не получается - генерируйте идеи, ищите тропинку. В прошедшем году мои мозги были вывернуты благодаря трем материалам, которыми я с вами поделюсь.
  1. Парсеры изображений. Видео Егора Богомолова на VolgaCTF. По факту он отталкивался на работу Emil Lerner. Эти материалы привели меня к пониманию, что реальные угрозы всегда находятся глубже, а привычные нам параметры, сервисы и прочее - это лишь поверхность.
  2. Orange Tsai и его SSRF. Как и с примером выше, угрозы глубже. Серьезный труд, читая который мозги начинают становится на правильное место.
  3. И конечно же Ezequiel Pereira с его SSRF в Google. Если вы не видели этого видео, я настоятельно рекомендую его просматреть и даже несколько раз (я смотрел 7). Именно благодаря этому видео, я окончательно понял, что можно не обладать талантом или сверхинтелектом, чтоб найти уязу на 133,337 взрослых денег и тебя поздравила секурити тим гугла. То как он ее крутил, мало кто сможет. Даже сам LiveOverflow на одном из этапов провала, сказал что бросил бы, но чувак не бросил. НАСТОЙЧИВОСТЬ и постаянная работа мозга для поиска новой идеи.
Теперь мой подход к обучению стал более продуктивным. Я стал вникать в происходящее и задавать вопросы, искать решения, генерировать идеи. Благодаря этому я нашел 3 корявые лабы на том же portswigger. Это я к тому, что если вы решаете лабы, всегда вникайте в суть задачи, так как иногда авторы могут выдать дичь. И если это просто пропустить, то в будущем будут проблемы)))

Успехов всем в этом увлекательном и совершенно непростом путешествии!
 
Последнее редактирование модератором:

Qulan

Red Team
06.12.2020
171
513
BIT
371
Человек в розовых очках
Тратит годы в пустую.
Чем я обязан такому любопытству? Или я ваше время прожигаю и от этого вам так хочется сюда помочится?
Кстати на свой вопрос я так ответа не дождался. Ну и чтоб закрыть вопрос. Если даже вам кажется, что я в розовых очках, то это мои очки, хоть я так и не считаю! Если есть здоровая критика, я всегда открыт и готов даже прислушаться, если будет что-то дельное. То что вы тут с товарищем выделили слюны на пару тройку слов, говорит (пока что) о том, что вы пишите просто чтоб писать. Рекомендую клавиатурный тренажер, там и пишешь и получаешь пользу.
 
  • Нравится
Реакции: migu и saint33

soulriver34

Green Team
30.01.2023
25
6
BIT
1
ох уж этот английский, нужно подтягивать из зо всех сил.
Главное не сдаваться и все получится :)
 

ZeroLogon

Member
16.10.2022
9
-3
BIT
0
Чем я обязан такому любопытству? Или я ваше время прожигаю и от этого вам так хочется сюда помочится?
Кстати на свой вопрос я так ответа не дождался. Ну и чтоб закрыть вопрос. Если даже вам кажется, что я в розовых очках, то это мои очки, хоть я так и не считаю! Если есть здоровая критика, я всегда открыт и готов даже прислушаться, если будет что-то дельное. То что вы тут с товарищем выделили слюны на пару тройку слов, говорит (пока что) о том, что вы пишите просто чтоб писать. Рекомендую клавиатурный тренажер, там и пишешь и получаешь пользу.
ты мог бы оказаться в самоим эпицентре информационной безопасности планеты всего за 3 месяца :)) изучив просто слитый мануал для работяг конти :) и найдя толковую команду :)) за 3 года бы уже заработал 3 ляма баксов это твоя зарплата-мечта (200к деревянных) за 89 лет :))
 

.Method

Well-known member
17.12.2018
255
63
BIT
0
Ждём тему "3 года позади, вот-вот стартану, с английским пока так себе, учу по видосам на ютубе"
 
16.04.2020
5
0
BIT
0
Ох уж эти всепропальщики, ваши комментарии немного отдают сожалением, что когда-то вам не хватило упорства и терпения)
Qulan развивается, пополняя свой багаж знаний. Да где-то набивает шишки, да где-то происходит переоценка и корректировка направления. Это абсолютно нормальный процесс на пути.
Даже в случае реализации самых пессимистичным прогнозов, знания и навыки всегда остаются с нами и пригодиться они могут, порой, в очень неожиданный момент.

Qulan, искренне желаю успехов в достижении цели, изучении, развитии и работе над собой.​

 

.Method

Well-known member
17.12.2018
255
63
BIT
0
Ох уж эти всепропальщики, ваши комментарии немного отдают сожалением, что когда-то вам не хватило упорства и терпения)
Qulan развивается, пополняя свой багаж знаний. Да где-то набивает шишки, да где-то происходит переоценка и корректировка направления. Это абсолютно нормальный процесс на пути.
Даже в случае реализации самых пессимистичным прогнозов, знания и навыки всегда остаются с нами и пригодиться они могут, порой, в очень неожиданный момент.

Qulan, искренне желаю успехов в достижении цели, изучении, развитии и работе над собой.​

Нет, не всегда
Без постоянной практики, через месяц ты уже и не вспомнишь, что учил.

Парень никак не может понять, что если через пару месяцев обучения не влетел, то уже всё, пора снимать розовые очки и брать ответственность на себя, а не занимать инфантильную позицию - хочу и фсё тут.
Теперь же он в цикле: Учу - проходит пара недель/месяц - забываю - учу.
 
Последнее редактирование:
16.04.2020
5
0
BIT
0
Нет, не всегда
Без постоянной практики, через месяц ты уже и не вспомнишь, что учил.

Парень никак не может понять, что если через пару месяцев обучения не влетел, то уже всё, пора снимать розовые очки и брать ответственность на себя, а не занимать инфантильную позицию - хочу и фсё тут.
Теперь же он в цикле: Учу - проходит пара недель/месяц - забываю - учу.
Частично соглашусь.
Любая теория без практики это время а ветер. В лучшем случае, ты знаешь, что там есть важный нюанс по какому-то вопросы и где его посмотреть. Структурирует теорию в применимый вид только практика.
Но и два-три месяца это тоже преувеличение, не инфоцыганские же курсы, объем большой) Это если брать общую картину, как профессию. Ну а маленькие "взлеты" обязательны)
 

prodigy

New member
23.11.2023
1
0
BIT
7
Привет, я тоже с удовольствием прочитаю, не сдавайся!
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!