Гайд - Авторская статья - Как РЕАЛЬНО начать путь в ПЕНТЕСТЕ и не обосраться | End Way - форум программирования и сливов различных скриптов
  • Присоединяйтесь к нам в телеграм канал! EndWay канал | EndSoft канал | EWStudio канал
  • Хочешь поставить скрипт, но не умеешь?
    А может ты хочешь свой уникальный скрипт?

    Тогда добро пожаловать в нашу студию разработки!

    Телеграм бот: EWStudioBot
    Телеграм канал: EWStudio

Гайд Авторская статья Как РЕАЛЬНО начать путь в ПЕНТЕСТЕ и не обосраться

penta

Джун
Автор темы
9 Янв 2023
10
3
0
1673446888029

Здарова, басота. Сегодня я хочу разобрать тему:
«Как мне начать свой путь в пентесте, если я даун и не люблю читать книги?».

Начнем с того, что я сам задавался таким вопросом, спустя десяток попыток гуглежки, все что мне могли предложить - это прочитать 10+ книг по 200+ страниц, а после якобы я стану «пентестером».
Меня такой расклад не устроил. Это что-то из разряда того, чтобы учится программированию по школьной программе на паскале, используя методички. Вроде дает фундамент и правильное понимание, но не интересно, потому что непонятно зачем, с какой целью.
В идеале любое обучение должно базироваться на практике, которое дополняется гуглежкой. Это задаст вектор развития, а самое главное ИНТЕРЕС И МОТИВАЦИЮ.

Сперва ставим себе на виртуалочку Kali Linux или Parrot OS. (по моему опыту - лучше виртуалка)

Нам пригодятся три сайта:
1. https://tryhackme.com/
Здесь мы учим базу, тут все интерактивно и наглядно, по началу задания для даунов, но а потом вообще четко.
Проходим Pre-Security, а дальше сами поймете какие папки брать.
Это бесплатно, но если хотите получить доп. блоки и быстрые машины для практики, покупаем подписку равную по цене школьных обедов за 3 дня.
2. https://www.hackthebox.com/
После thm или параллельно с ним начинаем шелкать машины на hackthebox. Там есть Starting Point с примитивными машинами. Система решения построена таким образом, что вас вопросами в тесте по какой-либо машине наталкивают на вектор решения, так же в описании машины есть теги, с чем вы будете иметь дело, что позволяет вам жестко прогуглиться и пытаться «хакнуть коробку».
P.S У них есть аналог thm, так называемый academy hackthebox. Не советую вообще, миллион долларов + говно объяснение.
3. https://book.hacktricks.xyz/
Этот сайд кладец информации по тестированию на проникновение всего, удобная навигация, в первую очередь ищем решение вашей проблемы тут.

YouTube каналы:
Стримы Codeby по HTB (здесь на русском вам раскидают процесс прохождения уязвимых машин)
Ippsec (топовый тип, который не тупит и жестко спидранит уязвимые машины, попутно объясняя)
CryptoCat (от него советую смотреть Starting Point HTB, даст минимум, чтобы вообще въехать в тему)


Форумы: XSS/Codeby


Курсы:

Если вы при бабках и хотите заспидранить базу, покупаем курсы Codeby(WAPT, SQL), но перед этим почитайте, какими знаниями вы должны обладать, а именно:
  1. Умеете пользоваться Linux(терминал, администрирование)
  2. Знаете сеть(TCP, IP, модель OSI и т.д)
  3. Знаете основы Python или Bash(любого языка на котором быстро и просто можно писать скрипты).
Codeby курсы - это хардкор, где из вас сделают заряженного типа, кто-то может даже и не осилит.

Отзыв на курс.


Ты входишь в мир? Прими моё напутствие.



Если чувствуете, что жестко тупите, не очкуйте, так в любом деле, абсолютно. Любая сфера IT - это дрочка гуглешки и своего мозга, привыкайте. Ну и конечно, книги полюбому придется читать, если хотите увеличить свой скилл, так как чтобы что-то сломать, надо понимать, как это работает, но это уже вы сами поймете, когда достигните этого момента.

Немного статистики: в 21 году, какая-то отечественная контора сделала анализ и пришла к выводу, что 97% предприятий имеют дырки в своей системе, щас реально нужны спецы в сфере кибербеза.​

Не идите на кибербез в сомнительные вузы или типо того, там вас будут учить законодательству РФ по кибербезу, то есть вы тупо будите составлять документы, насколько защищена система Delivery Club, которого шатают во все щели, а в качестве зп будете получать мускатный орех с ряженкой. Хороший вуз для кибербеза по слухам - МИФИ, но там проходной 270 и опять же, как в любом вузе дрочка говна ненужного.


Идеальный кандидат на работу в кибер безе:

  1. Имеет знания моделей OSI, стека протоколов TCP/IP, основных сетевых протоколов, понимание базовых принципов ИБ;
  2. Уверенный пользователь Linux-дистрибутивов на уровне администратора;
  3. Владеет ПО в составе Дистрибутивов для тестирования на проникновение таких как, Kali Linux (Nmap, sqlmap, tplmap, cmsmap, netcat, commix, Wfuzz, dirbuster, WireShark, Metasploit, Burp Suite);
  4. Имеет знания уязвимостей OWASP Top 10, OWASP Testing Guide. Умение эксплуатировать основные WEB-уязвимости – SQL-injection, SSTI, XSS, CSRF, XXS, PHP-injection, CommandOS-injection;
  5. Имеет знание и умение работать с уязвимостями операционных систем семейств Linux и Windows(повышение привилегий);
  6. Имеет знания и умения работать с сетевыми уязвимостями;
  7. Имеет понимание работы веб-протоколов и технологий (http, soap, ajax, json, rest);
  8. Владеет навыками OSINT, имеет опыт проведения тестирования при помощи «фишинговых» атак;
  9. Имеет понимание основ проведения тестирования на проникновение методы «Черного ящика», «Серого ящика», «Белого ящика»;
  10. Имеет практический опыт в тестировании на проникновение;
  11. Имеет понимание принципов построение защиты систем и периметра;
  12. Умеет писать скрипты (bash, Python);
  13. Владеет системами автоматизации (Ansible).
 
Последнее редактирование:
Like
  • 3
Реакции: 2 users

developereva

Самый красивый и сексуальный мужчина.
EndWay.su
17 Дек 2022
445
466
393
Статья годная, но надо немного подредачить. Большие пробелы. Еще забыл написать про форум кодебая, там очень много полезной инфы. Так же kali.tools, где собрали популярные тулсы для пентеста. Еще бы рассказал, как создать на своей машине QWASP и где можно у себя же тестировать. Если все допишешь, дам префикс авторки. Молодец.
 
Like
  • 2
Реакции: 1 users

developereva

Самый красивый и сексуальный мужчина.
EndWay.su
17 Дек 2022
445
466
393
penta, Таких мало. В основном это скрипт-кидди по видеороликам овербафера, которые ставят все шкали и думают, что они пентестеры. А по факту скрипт-кидди и ламеры.
 

penta

Джун
Автор темы
9 Янв 2023
10
3
0
developereva, ну в этом нет ничего плохого, лучше так, чем бегать по району и курить пластелин) Может кто-то из них уже перерос себя и стал профи, а начал благодаря оверу)
 
Активность:
Пока что здесь никого нет