Конкурс: Встречаем 2020 статьями по инфобезу
Всем Салам. Недавно в одном из инфосековских чатов натолкнулся на документ - “План вкатывания в Infosec”, в котором были какие-то общие советы, ссылки на полезные ресурсы и т.д. Данный мануал сподвиг меня написать данную статью, но тут будут не общие советы, а по моему скромному личному опыту, как это все проходило у меня и проходит по сей день. Сразу оговорюсь, что я не какой-то там СуперМегаПупер профессионал, а просто занимаюсь и развиваюсь в той области, которая доставляет мне удовольствие и деньги.
Начало
Хоть я и поступал на специальность “Информационная безопасность автоматизированных систем”, не думал, что буду заниматься вообще ИБ. Был сконцентрирован на программировании. Частично программированием занимаюсь по сей день, так же программирование очень полезно в ИБ для разных целей. По настоящему об ИБ и о том, что есть такое, как пентестинг, я узнал уже в через 2 года поступления в 2015 году, когда у нас в регионе впервые провели CTF - соревнования, где наша команда “CoolNull” выиграла. Но и после этого не было какого-то бешеного вливания в ИБ. Через пару месяцев я вовсе забыл обо всем этом и неплохо продвигался в программировании.
И вот через год, за пару месяцев до очередного CTF в 2017 году, я убедил одногруппника, что это интересно и мы начали уже активно готовиться, участвовать онлайн. И вот на оффлайн соревнованиях наша команда снова победила. После чего на 5 курсе мы довольно часто разъезжали по РФ по разным CTF-соревнованиям. Были и призовые, и позорные места. Параллельно я все еще занимался программированием, но удаленно.
В сентябре 2017 года, я также зарегистрировался на форуме Codeby. Изначально это было сделано с целью читателя и что-то поспрашивать на форуме. На тот момент хотелось понять и реализовать подмену DNS на роутере. И как раз это и был первый, небольшой ресерч, которым я после поделился на форуме. На форуме сильным мотиватором был апдейт, и, как вы можете заметить, сейчас я уже на самой последней ступени, где самая близкая команда форума. Большой плюс форума в том, что ты находишь таких же ребят, у которых горят глаза и они любят, то что делают.
И, исходя из всего этого, можно сказать, что, лично в моем случае, CTF - это тот катализатор, благодаря которому я начал заниматься ИБ, своего рода начальный толчок. CTF дает базовые знания в хакинге. Учит, как ковырять те или иные уязвимости, и все это в скопе с конкуренцией дает возможность заниматься этим с азартом.
Пентесты
Активно играл в CTF, подтягивал теорию, постоянно что-то изучал, писал статьи на Codeby, удаленно работал программистом. Так прошел примерно год, до апреля 2018 года. И вот, через пару месяцев выпускаюсь, неплохо было бы попробовать себя в роли пентестера. До этого я никогда не занимался тестированием на проникновение. Удачным стало третье собеседование. В первых двух, ЦАРКА и PT мне отказали. В итоге я удаленно начал работать с китайской конторой с окладом в $1300. В ЦАРКЕ и PT студенту, без опыта работы, вряд ли столько бы дали, да и еще удаленно работать. Поэтому в каком-то плане мне даже повезло, что не взяли. Так же, после 3 месяцев работы оклад подняли до $2000. Были только веб-пентесты в азиатском секторе. Там я получил свой первый коммерческий опыт работы пентестером.
По поводу тестовых заданий в ЦАРКЕ и PT были одни те же задания (после этого, недавно, несколько ребят обращались с этими заданиями: "Какие могут быть уязвимости?") . А вот у китайцев была интересная лаба в стиле CTF. Нужно было получить доступ к FTP. Не знаю, было ли там несколько вариантов, опишу тот, с помощью которого смог получить доступ я.
Была SQL - инъекция, через которую с помощью LOAD_FILE получалось читать локальные файлы. Пути я не знал, но получилось вызвать ошибки, где показались полные пути, там же был путь к конфигурационному файлу. В итоге получилось его прочитать, где были доступы к FTP.
В итоге с китайцами я проработал около 6 месяцев и на тот момент, в августе, я уже перебрался в Москву. В Москве, в сентябре, я начал работать с самым крутым вебером
Также в свободное время беру проекты на субподряд. И вместе с Bug Bounty ими я занимаюсь чаще всего в специально отведенное время - это ночью с 00 до 03, а также в выходный день.
Пентесты, которыми занимаемся - разные, но в основном веб-пентесты. Но также иногда бывают и внутренние пентесты. Которые чаще всего проводятся по VPN. Подробно расписывать пентесты я не могу, но сделал примерную диаграмму по уязвимостям, которые чаще всего находятся на пентестах.
Вывод: для того, чтобы быстро расти в ИБ, нужны друзья, коллеги, энтузиасты, где будешь расти, делясь опытом и в конкуренции.
Bug Hunting
Кроме самой работы тестированием на проникновением, многим, наверное, будет интересно, как вообще начать сдавать баги на BugBounty. Никаких секретов на самом деле нет, нужно просто искать баги на разрешенных и сдавать их. Но вопрос в том, как повысить вероятность того, что ты найдешь в том или ином месте баг.
Подробнее про то, какие были баги можно прочитать в этих статьях: BruteForce, как недооцененный вид атаки (Account TakeOver) и
Рекомендации
Рекомендации я частично расписал по всей статье, тут поделюсь полезными ресурсами в области ИБ. И, определенно, это будут не все ресурсы, и если кто-то знает что-то полезное, еще и компетентен в данном вопросе, можете скинуть в комментарии.
Также хотелось бы сказать, что продвигаться самому в одиночку, с самого нуля, можно, но это долго и сложно, особенно если ты уже работаешь где-то. Если нет много времени, то можно также записаться на наш курс WAPT, где вся информация структурирована, есть практика, и самое главное - инструкторы, которые в случае чего будут подсказывать.
Всем Салам. Недавно в одном из инфосековских чатов натолкнулся на документ - “План вкатывания в Infosec”, в котором были какие-то общие советы, ссылки на полезные ресурсы и т.д. Данный мануал сподвиг меня написать данную статью, но тут будут не общие советы, а по моему скромному личному опыту, как это все проходило у меня и проходит по сей день. Сразу оговорюсь, что я не какой-то там СуперМегаПупер профессионал, а просто занимаюсь и развиваюсь в той области, которая доставляет мне удовольствие и деньги.
Начало
Хоть я и поступал на специальность “Информационная безопасность автоматизированных систем”, не думал, что буду заниматься вообще ИБ. Был сконцентрирован на программировании. Частично программированием занимаюсь по сей день, так же программирование очень полезно в ИБ для разных целей. По настоящему об ИБ и о том, что есть такое, как пентестинг, я узнал уже в через 2 года поступления в 2015 году, когда у нас в регионе впервые провели CTF - соревнования, где наша команда “CoolNull” выиграла. Но и после этого не было какого-то бешеного вливания в ИБ. Через пару месяцев я вовсе забыл обо всем этом и неплохо продвигался в программировании.
И вот через год, за пару месяцев до очередного CTF в 2017 году, я убедил одногруппника, что это интересно и мы начали уже активно готовиться, участвовать онлайн. И вот на оффлайн соревнованиях наша команда снова победила. После чего на 5 курсе мы довольно часто разъезжали по РФ по разным CTF-соревнованиям. Были и призовые, и позорные места. Параллельно я все еще занимался программированием, но удаленно.
В сентябре 2017 года, я также зарегистрировался на форуме Codeby. Изначально это было сделано с целью читателя и что-то поспрашивать на форуме. На тот момент хотелось понять и реализовать подмену DNS на роутере. И как раз это и был первый, небольшой ресерч, которым я после поделился на форуме. На форуме сильным мотиватором был апдейт, и, как вы можете заметить, сейчас я уже на самой последней ступени, где самая близкая команда форума. Большой плюс форума в том, что ты находишь таких же ребят, у которых горят глаза и они любят, то что делают.
И, исходя из всего этого, можно сказать, что, лично в моем случае, CTF - это тот катализатор, благодаря которому я начал заниматься ИБ, своего рода начальный толчок. CTF дает базовые знания в хакинге. Учит, как ковырять те или иные уязвимости, и все это в скопе с конкуренцией дает возможность заниматься этим с азартом.
Пентесты
Активно играл в CTF, подтягивал теорию, постоянно что-то изучал, писал статьи на Codeby, удаленно работал программистом. Так прошел примерно год, до апреля 2018 года. И вот, через пару месяцев выпускаюсь, неплохо было бы попробовать себя в роли пентестера. До этого я никогда не занимался тестированием на проникновение. Удачным стало третье собеседование. В первых двух, ЦАРКА и PT мне отказали. В итоге я удаленно начал работать с китайской конторой с окладом в $1300. В ЦАРКЕ и PT студенту, без опыта работы, вряд ли столько бы дали, да и еще удаленно работать. Поэтому в каком-то плане мне даже повезло, что не взяли. Так же, после 3 месяцев работы оклад подняли до $2000. Были только веб-пентесты в азиатском секторе. Там я получил свой первый коммерческий опыт работы пентестером.
По поводу тестовых заданий в ЦАРКЕ и PT были одни те же задания (после этого, недавно, несколько ребят обращались с этими заданиями: "Какие могут быть уязвимости?") . А вот у китайцев была интересная лаба в стиле CTF. Нужно было получить доступ к FTP. Не знаю, было ли там несколько вариантов, опишу тот, с помощью которого смог получить доступ я.
Была SQL - инъекция, через которую с помощью LOAD_FILE получалось читать локальные файлы. Пути я не знал, но получилось вызвать ошибки, где показались полные пути, там же был путь к конфигурационному файлу. В итоге получилось его прочитать, где были доступы к FTP.
В итоге с китайцами я проработал около 6 месяцев и на тот момент, в августе, я уже перебрался в Москву. В Москве, в сентябре, я начал работать с самым крутым вебером
Ссылка скрыта от гостей
. Эти год и 3 месяца в
Ссылка скрыта от гостей
были самыми эффективными в продвижении в пентестинге. За это время было проведено множество пентестов, несколько критикал багов на Bug Bounty, 2 небольших речерча - их можно прочитать Эксплуатация инъекций в ORM Doctrine (DQL). и Research Yandex.ClickHouse. Инъекции в столбцовом СУБД.Также в свободное время беру проекты на субподряд. И вместе с Bug Bounty ими я занимаюсь чаще всего в специально отведенное время - это ночью с 00 до 03, а также в выходный день.
Пентесты, которыми занимаемся - разные, но в основном веб-пентесты. Но также иногда бывают и внутренние пентесты. Которые чаще всего проводятся по VPN. Подробно расписывать пентесты я не могу, но сделал примерную диаграмму по уязвимостям, которые чаще всего находятся на пентестах.
Вывод: для того, чтобы быстро расти в ИБ, нужны друзья, коллеги, энтузиасты, где будешь расти, делясь опытом и в конкуренции.
Bug Hunting
Кроме самой работы тестированием на проникновением, многим, наверное, будет интересно, как вообще начать сдавать баги на BugBounty. Никаких секретов на самом деле нет, нужно просто искать баги на разрешенных и сдавать их. Но вопрос в том, как повысить вероятность того, что ты найдешь в том или ином месте баг.
- Изучать один объект или несколько. То есть не нужно по всем программам прыгать. Нужно найти пару программ, еще лучше одну, и изучать ее. По своему личному опыту этот метод дает плоды, так как ты уже хорошо знаешь, как работает этот сервис.
- Детально изучать API, если есть. Так как многие это упускают, ленятся, а там скрыто много интересного.
- Попытаться получить доступ к тем местам, к которым нет доступа у всех. Например, админка для корпоративных клиентов или для партнеров.
- Автоматизировать процесс поиска новых поддоменов, перебор директорий, проверка на subdomain takeover. Безусловно, дает результат. Например, в конце декабря, таким образом, я обнаружил новый поддомен, где лежал .git/config с токеном от gitlab. Есть ребята, у кого все это очень серьезно автоматизировано, целые системы и поиск множества несложных багов. Например, у BlackFan, про свой проект как раз он рассказывал на
Ссылка скрыта от гостей.
- Использование автоматических сканеров. Имеет смысл, только если по нему не прошлись еще другие ребята. Но обычно в приватки приглашают ребят с большой репутацией, сейчас имею ввиду в hackerone, например, знакомый из топ 50 рассказывал, что на таких, только запущенных, проектах с помощью Acunetix и NetSparker у него получилось сделать около $60000 это за пару лет.
Подробнее про то, какие были баги можно прочитать в этих статьях: BruteForce, как недооцененный вид атаки (Account TakeOver) и
Ссылка скрыта от гостей
Рекомендации
Рекомендации я частично расписал по всей статье, тут поделюсь полезными ресурсами в области ИБ. И, определенно, это будут не все ресурсы, и если кто-то знает что-то полезное, еще и компетентен в данном вопросе, можете скинуть в комментарии.
Также хотелось бы сказать, что продвигаться самому в одиночку, с самого нуля, можно, но это долго и сложно, особенно если ты уже работаешь где-то. Если нет много времени, то можно также записаться на наш курс WAPT, где вся информация структурирована, есть практика, и самое главное - инструкторы, которые в случае чего будут подсказывать.
- WAPT - курс по веб-хакингу
- Codeby.net - на данный момент самый активный форум по ИБ в СНГ
- Codeby Книги - здесь можно прочитать много интересных книжек
-
Ссылка скрыта от гостей&Ссылка скрыта от гостей- форумы с множеством полезных статей
-
Ссылка скрыта от гостей- интересные статьи
-
Ссылка скрыта от гостей- теория и лабы
- Блоги -
Ссылка скрыта от гостей,Ссылка скрыта от гостей,Ссылка скрыта от гостей,Ссылка скрыта от гостей,Ссылка скрыта от гостей,Ссылка скрыта от гостей,Ссылка скрыта от гостей
- Полезные сборки с GitHub - Hack-with-Github/Awesome-Hacking, swisskyrepo/PayloadsAllTheThings, NetSPI/SQLInjectionWiki, EdOverflow/bugbounty-cheatsheet, 0xRadi/OWASP-Web-Checklist, OWASP/CheatSheetSeries, infoslack/awesome-web-hacking, qazbnm456/awesome-web-security, The-Art-of-Hacking/h4cker, vitalysim/Awesome-Hacking-Resources,
- Площадки для практики - HTB, CTFTime, rootme,
Ссылка скрыта от гостей
