• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

В пентест самостоятельно с нуля.

magistr90

Member
25.07.2022
6
0
BIT
1
Всех приветсвую, решил вот тоже влиться в сообщество пентестеров и безопасников. В 33 года начал изучение(пока что изучаю сети) самостоятельно и с полного нуля, даже винду сам не могу пока установить. Настрой серьёзный и мотивация не финансовая, а скорее спортивная(надеюсь это будет моим плюсом), просто случайно увидел интервью белого хакера ,стало прям очень интересно. Понимаю, что путь очень длинный будет и тернистый, но время свободное от работы имеется, надеюсь тратить его грамотно на обучение, хотя бы по пару часов в день так точно. А пишу я это, что бы просто узнать, есть тут такие, кто самостоятельно влез в пентест не имея вообще никакой базы, и благодаря курсам, ютубу и так далее, освоил это дело? И если есть, сколько понабилось для этого лет?)
 

Rook

Codeby Team
Red Team
09.01.2019
727
719
BIT
4
Всех приветсвую, решил вот тоже влиться в сообщество пентестеров и безопасников. В 33 года начал изучение(пока что изучаю сети) самостоятельно и с полного нуля, даже винду сам не могу пока установить. Настрой серьёзный и мотивация не финансовая, а скорее спортивная(надеюсь это будет моим плюсом), просто случайно увидел интервью белого хакера ,стало прям очень интересно. Понимаю, что путь очень длинный будет и тернистый, но время свободное от работы имеется, надеюсь тратить его грамотно на обучение, хотя бы по пару часов в день так точно. А пишу я это, что бы просто узнать, есть тут такие, кто самостоятельно влез в пентест не имея вообще никакой базы, и благодаря курсам, ютубу и так далее, освоил это дело? И если есть, сколько понабилось для этого лет?)
Вот статья
Вот спустя 3 месяца :)
Почитай вот статьи от @Qulan, похожая ситуация
Так же есть подкаст c ним же, если читать не хочется :)
 
  • Нравится
Реакции: magistr90

Qulan

Red Team
06.12.2020
178
522
BIT
479
Всех приветсвую, решил вот тоже влиться в сообщество пентестеров и безопасников. В 33 года начал изучение(пока что изучаю сети) самостоятельно и с полного нуля, даже винду сам не могу пока установить. Настрой серьёзный и мотивация не финансовая, а скорее спортивная(надеюсь это будет моим плюсом), просто случайно увидел интервью белого хакера ,стало прям очень интересно. Понимаю, что путь очень длинный будет и тернистый, но время свободное от работы имеется, надеюсь тратить его грамотно на обучение, хотя бы по пару часов в день так точно. А пишу я это, что бы просто узнать, есть тут такие, кто самостоятельно влез в пентест не имея вообще никакой базы, и благодаря курсам, ютубу и так далее, освоил это дело? И если есть, сколько понабилось для этого лет?)
Привет
Я начал с 0, чуток программирования на уровне решения элементарных задач. По опыту могу сказать, что с самого начаала все приккольно и очень интересно, но чем глубже погружаешься, тем больше радуга превращается в тучи)) Я сделал 2 грубые ошибки с самого начала:
1. Английский. Учи уже сейчас если с ним беда. Сейчас у меня это проблема, которая требует решения размером в год. То есть устроится не могу
2. Сразу определись в каком направлении развиваться. Я начал учить все что попадалось под руку - это ошибка. Не возможно знать все, а если пробовать это дело, то просто обрастаешь базовыми знаниями, но глубже не погружаешься. А тут как раз важно погружаться в тему глубже и глубже. Если бы я это понимал изначально, я за 1.5 года развился бы лучше в чем-то одном, а теперь приходится все начинать почти с начала, в моем случае это веб.
Ну и готовься к тому, чем дальше ты двигаешься, тем сложнее все дается. Одно дело учить OWASP топ 10 и решать разные лабы, другое дело ковырять 2-е сотни субдоменов в реальном проекте, где намешалось всего чего можно))) И потерятся в этом раз плюнуть. Короче, если я бы понимал куда лезу, я бы нелез)) А пошел куда нить в девопсы или net инженеры.
 

magistr90

Member
25.07.2022
6
0
BIT
1
Привет
Я начал с 0, чуток программирования на уровне решения элементарных задач. По опыту могу сказать, что с самого начаала все приккольно и очень интересно, но чем глубже погружаешься, тем больше радуга превращается в тучи)) Я сделал 2 грубые ошибки с самого начала:
1. Английский. Учи уже сейчас если с ним беда. Сейчас у меня это проблема, которая требует решения размером в год. То есть устроится не могу
2. Сразу определись в каком направлении развиваться. Я начал учить все что попадалось под руку - это ошибка. Не возможно знать все, а если пробовать это дело, то просто обрастаешь базовыми знаниями, но глубже не погружаешься. А тут как раз важно погружаться в тему глубже и глубже. Если бы я это понимал изначально, я за 1.5 года развился бы лучше в чем-то одном, а теперь приходится все начинать почти с начала, в моем случае это веб.
Ну и готовься к тому, чем дальше ты двигаешься, тем сложнее все дается. Одно дело учить OWASP топ 10 и решать разные лабы, другое дело ковырять 2-е сотни субдоменов в реальном проекте, где намешалось всего чего можно))) И потерятся в этом раз плюнуть. Короче, если я бы понимал куда лезу, я бы нелез)) А пошел куда нить в девопсы или net инженеры.
Я читал твои статьи тоже) Спасибо за совет, так стараюсь и делать, в данный момент сосредоточился на сетях и английском языке, в остальное не лезу, чтобы не распыляться. Хочу в этих направлениях хорошо прокачаться, потом возьму следующие две базовые вещи - Линукс и программирование (пока не определился с какого языка начну). Когда и в этом начну соображать, то тогда только думаю переходить на пентест. Не знаю правильно ли я себе карту расписал, но из той информации, которую читал на форумах, вроде бы именно так плюс минус и советуют двигаться. Тебе тоже желаю удачи и не останавливаться, тем более такой длинный путь уже пройден.
 

dima_pentest

New member
22.07.2022
3
0
BIT
1
Я читал твои статьи тоже) Спасибо за совет, так стараюсь и делать, в данный момент сосредоточился на сетях и английском языке, в остальное не лезу, чтобы не распыляться. Хочу в этих направлениях хорошо прокачаться, потом возьму следующие две базовые вещи - Линукс и программирование (пока не определился с какого языка начну). Когда и в этом начну соображать, то тогда только думаю переходить на пентест. Не знаю правильно ли я себе карту расписал, но из той информации, которую читал на форумах, вроде бы именно так плюс минус и советуют двигаться. Тебе тоже желаю удачи и не останавливаться, тем более такой длинный путь уже пройден.
Мне 12 лет я тоже сейчас изучаю сети и потому хочу перейти на Linux и програмирования
 

Qulan

Red Team
06.12.2020
178
522
BIT
479
Я читал твои статьи тоже) Спасибо за совет, так стараюсь и делать, в данный момент сосредоточился на сетях и английском языке, в остальное не лезу, чтобы не распыляться. Хочу в этих направлениях хорошо прокачаться, потом возьму следующие две базовые вещи - Линукс и программирование (пока не определился с какого языка начну). Когда и в этом начну соображать, то тогда только думаю переходить на пентест. Не знаю правильно ли я себе карту расписал, но из той информации, которую читал на форумах, вроде бы именно так плюс минус и советуют двигаться. Тебе тоже желаю удачи и не останавливаться, тем более такой длинный путь уже пройден.
По языку, тоже дам совет. Я начинал учить пайтон за долго до пентеста. Но когда прям полюбил веб пентест и понял что хочу быть тут, осознал что учить нужно было javascript))
Это я к тому, что крайне важно изначально понять куда именно в оффенсив ты хочешь, от этого и выбирать язык. Если веб например, то тут однозначно javascript. Так как на нем сейчас пишется вся клиентская часть и так де на node пишут бекэнд. Можно еще php и RR поучить.
Если например захочется в Net pentest, бинарь, хард или IoT, то тут полюбому ASM и С++
Если потянет в инфроструктуру, то C# прям обязательно. Как видишь под каждое направление есть свои маст ноу плюшки. Допустив единожды ошибку, придется начинать с самого начала!
Успехов
 

magistr90

Member
25.07.2022
6
0
BIT
1
По языку, тоже дам совет. Я начинал учить пайтон за долго до пентеста. Но когда прям полюбил веб пентест и понял что хочу быть тут, осознал что учить нужно было javascript))
Это я к тому, что крайне важно изначально понять куда именно в оффенсив ты хочешь, от этого и выбирать язык. Если веб например, то тут однозначно javascript. Так как на нем сейчас пишется вся клиентская часть и так де на node пишут бекэнд. Можно еще php и RR поучить.
Если например захочется в Net pentest, бинарь, хард или IoT, то тут полюбому ASM и С++
Если потянет в инфроструктуру, то C# прям обязательно. Как видишь под каждое направление есть свои маст ноу плюшки. Допустив единожды ошибку, придется начинать с самого начала!
Успехов
Да, я склоняюсь к вебу, так что скорее всего так и сделаю) ну или начну с html, css, а потом на Яву.
 

magistr90

Member
25.07.2022
6
0
BIT
1
Да, я склоняюсь к вебу, так что скорее всего так и сделаю) ну или начну с html, css, а потом на Яву.
Кстати, а нету ссылки на какую нибудь статью про направления Пентеста, какие бывают, что для этого нужно знать и так далее? Гугл вообще не помогает в этом деле. Я если честно, вообще пока что думал только про веб, так как про другие и не знал даже))
 

Qulan

Red Team
06.12.2020
178
522
BIT
479
Кстати, а нету ссылки на какую нибудь статью про направления Пентеста, какие бывают, что для этого нужно знать и так далее? Гугл вообще не помогает в этом деле. Я если честно, вообще пока что думал только про веб, так как про другие и не знал даже))
Прям списка с направлениями Я не видел.
Тут реально всё очень тонко. По вебу могу м уверенностью подсказать
Не засиживайся на html, css, javascript. Главное поверхностно понять что и как.
Потом учи сети. Модель osi можно отбросить, так как тут это не понадобится. Tcp/ip модели будет достаточно. Вообщем все что касается веба учи, протоколы, как рабоате dns, циклы разработки и тестирования веб приложений, архитектуры веб приложений.
Тут просто такая штука. Если бы мы были разработчиком, то все куда проще. Учим язык, выбираем фреймворк, учим теорию и топаем по собесем. Потом только глубже погружаемся в разработку. В пентесте все сложнее. Мы реально должны как минимум ориентироваться во всем) например понимать в чем разница между php и RR и где у каждого слабое место. Как работают веб сервера с каждым из языков, так как реально разница есть. И ТД. Как сказал изначально, готовься к тому что чем дальше, тем сложнее
 

Qulan

Red Team
06.12.2020
178
522
BIT
479
направления Пентеста, какие бывают
Список может быть не полным:
1. Веб - все что связано с тестированием веб приложений
2. мобайл - мобильные приложения
ВАЖНО
Мобайл и веб объединяет одна вещь, это API. Он одинаковый для всего, так как это просто интерфейс для взаимодействия клиентской части и серверной.
3. Мобайл реверс - это когда ты уже вскрываешь приложение мобильное и смотришь его код на более низком уровне

4. Хардвер пентест - это работа с устройствами. Например взлом смартфона на физическом уровне. Требует знаний и любви к электронике. Навыки в реверс инженерии
5. IoT пентест - это тоже работа с устройстывми, а именно с умными устройствами. По типу умного дома и прочего что подключается к сети. Как и в пункте выше, требует знаний реверса и электроники
6. NET пентест - это когда ты рабоатешь с сетевым оборудованием и его взломом. Нужно очень хорошо разбираться в построении сетей (net инженер), реверс и программирование.
7. Инфра - это уже атаки на корпаративные сети и системы в них. Тут нужно хорошо знать опирационки, Active Directory (self hosted и AZURE), администрирование этих систем. Ну и еще очень много всего. Так как этот уже ред тим направление.
Вроде все, что знал конечно. Может кто-то дополнит еще.
 

dima_pentest

New member
22.07.2022
3
0
BIT
1
Список может быть не полным:
1. Веб - все что связано с тестированием веб приложений
2. мобайл - мобильные приложения
ВАЖНО
Мобайл и веб объединяет одна вещь, это API. Он одинаковый для всего, так как это просто интерфейс для взаимодействия клиентской части и серверной.
3. Мобайл реверс - это когда ты уже вскрываешь приложение мобильное и смотришь его код на более низком уровне

4. Хардвер пентест - это работа с устройствами. Например взлом смартфона на физическом уровне. Требует знаний и любви к электронике. Навыки в реверс инженерии
5. IoT пентест - это тоже работа с устройстывми, а именно с умными устройствами. По типу умного дома и прочего что подключается к сети. Как и в пункте выше, требует знаний реверса и электроники
6. NET пентест - это когда ты рабоатешь с сетевым оборудованием и его взломом. Нужно очень хорошо разбираться в построении сетей (net инженер), реверс и программирование.
7. Инфра - это уже атаки на корпаративные сети и системы в них. Тут нужно хорошо знать опирационки, Active Directory (self hosted и AZURE), администрирование этих систем. Ну и еще очень много всего. Так как этот уже ред тим направление.
Вроде все, что знал конечно. Может кто-то дополнит еще.
В Bug bounty в основном Веб и Мобайл?
 

magistr90

Member
25.07.2022
6
0
BIT
1
Список может быть не полным:
1. Веб - все что связано с тестированием веб приложений
2. мобайл - мобильные приложения
ВАЖНО
Мобайл и веб объединяет одна вещь, это API. Он одинаковый для всего, так как это просто интерфейс для взаимодействия клиентской части и серверной.
3. Мобайл реверс - это когда ты уже вскрываешь приложение мобильное и смотришь его код на более низком уровне

4. Хардвер пентест - это работа с устройствами. Например взлом смартфона на физическом уровне. Требует знаний и любви к электронике. Навыки в реверс инженерии
5. IoT пентест - это тоже работа с устройстывми, а именно с умными устройствами. По типу умного дома и прочего что подключается к сети. Как и в пункте выше, требует знаний реверса и электроники
6. NET пентест - это когда ты рабоатешь с сетевым оборудованием и его взломом. Нужно очень хорошо разбираться в построении сетей (net инженер), реверс и программирование.
7. Инфра - это уже атаки на корпаративные сети и системы в них. Тут нужно хорошо знать опирационки, Active Directory (self hosted и AZURE), администрирование этих систем. Ну и еще очень много всего. Так как этот уже ред тим направление.
Вроде все, что знал конечно. Может кто-то дополнит еще.
Понял, спасибо, что не поленился и расписал) Как обучение Явы, сложно дается да? Я перед сетями в питон полез, но потом понял, что это не самое главное и забросив перешёл на изучение сетей. Так вот, если мне питон с трудом давался, особенно циклы, то Ява станет для меня настоящим испытанием))
 

Qulan

Red Team
06.12.2020
178
522
BIT
479
Понял, спасибо, что не поленился и расписал) Как обучение Явы, сложно дается да? Я перед сетями в питон полез, но потом понял, что это не самое главное и забросив перешёл на изучение сетей. Так вот, если мне питон с трудом давался, особенно циклы, то Ява станет для меня настоящим испытанием))
не путай джаву с джаваскриптом))) Это вообще разные вещи.
на самом деле если уже чуток разбираешься в базе одного языка, то второй дается легче. Да, там иной синтаксис, но все остальное то же самое. + уже знаешь куда и как лазить в документацию и что гуглить)))
У меня всегда так было когда я новому учился. Первый месяц голова больная, второй уже чуток проще, на третий месяц уже фантазируешь как и что тебе сделать)) Но это у меня так, за других не могу сказать.
А вообще я настоятельно рекомендую определится для чего тебе это все нужно. Если вопрос в поиске работы, то тут цель впринципе попасть хоть куда-то, чтоб опыт шел. а там можно подтягивать знания в иной области. Если это чисто для себя, как хобби, то рекомендую попробовать все за что можешь ухватиться. Это займет где-то 2-3 года)) Но будет база во всем вообще)))
 

Qulan

Red Team
06.12.2020
178
522
BIT
479
В Bug bounty в основном Веб и Мобайл?
Нет, совсем не так. В ББ разве что нету net и infra пентеста, так как это совсем иной уровень. Это уже ред тим тема.
А так программы разные есть, и на исследование кода и на реверс и IoTи прочее
 

Rukh

Green Team
04.05.2022
18
4
BIT
8
Всех приветсвую, решил вот тоже влиться в сообщество пентестеров и безопасников. В 33 года начал изучение(пока что изучаю сети) самостоятельно и с полного нуля, даже винду сам не могу пока установить. Настрой серьёзный и мотивация не финансовая, а скорее спортивная(надеюсь это будет моим плюсом), просто случайно увидел интервью белого хакера ,стало прям очень интересно. Понимаю, что путь очень длинный будет и тернистый, но время свободное от работы имеется, надеюсь тратить его грамотно на обучение, хотя бы по пару часов в день так точно. А пишу я это, что бы просто узнать, есть тут такие, кто самостоятельно влез в пентест не имея вообще никакой базы, и благодаря курсам, ютубу и так далее, освоил это дело? И если есть, сколько понабилось для этого лет?)
Доброго времени суток.
Оставлю ссылки на свои комменты в похожих темах, от части там есть ответ на Ваш вопрос.

 

Andrei Nomis

New member
14.01.2023
1
0
BIT
1
Всех приветсвую, решил вот тоже влиться в сообщество пентестеров и безопасников. В 33 года начал изучение(пока что изучаю сети) самостоятельно и с полного нуля, даже винду сам не могу пока установить. Настрой серьёзный и мотивация не финансовая, а скорее спортивная(надеюсь это будет моим плюсом), просто случайно увидел интервью белого хакера ,стало прям очень интересно. Понимаю, что путь очень длинный будет и тернистый, но время свободное от работы имеется, надеюсь тратить его грамотно на обучение, хотя бы по пару часов в день так точно. А пишу я это, что бы просто узнать, есть тут такие, кто самостоятельно влез в пентест не имея вообще никакой базы, и благодаря курсам, ютубу и так далее, освоил это дело? И если есть, сколько понабилось для этого лет?)
Привет )!
Я тоже самостоятельно пытаюсь влезть в эту тему. Тоже начал изучать в 33-34 года(так что давай на ты), и я начал с книги по пентесту, назавается "Этичный хакинг" + самостоятельно изучаю python по видео курсу на Ютуб. Дело идет долго, но стараюсь уделять ему время). Так как знаний в этой сфере ноль было, то трудновато доходит информация. До этого пробовал фронт-энд разработку освоить, но понял, что не мое это кокда дошел уже до java script, какой-то он мне непонятным показался, да и скучновато было . А потом тоже где-то на видео увидел видео с пентестером и как-то очень понравилось. По крайней мере в этой сфере думаю не будет скучной рутины.
Так что если что оставляй контакт, будет желание, можно пообщаться.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!