Я изучаю веб пентест, я знаю основы питона, основы Js, и немного веб фреймворки, бд. Большинство тем мне кажутся непонятными. Дайте совет как начинать поэтапно чтобы было понятно на каждом новом шаге
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Как стать хакером с нуля?
- Автор темы Underbafer
- Дата начала
нда? а что ж в меня тут "тухлыми помидорами" массово кидались за MITRE ATT&CK Matrix (для APT) или ну хотя бы OWASP Web Security Testing Guide (scope: веб-аппс как пентестировать) ?
аргументы были "да новичку же надо с чего-то начать! а тут ты со своими роадмапами от которых новичёк только испугается!"
(ну мне-то пофиг как-то.... я привык к людям типа "в итнернетах опять кто-то неправ!"
)вся методология расписана "от и до", желательно конечно английский качать - без него никуда (в коде все слова на нём опять же, ну окромя 1С наверное
). и не потому что английский чем-то лучше русского, а просто потому что на нём говорят дохрена народу. ну чистая математика: 1% толковых людей от 140млн и от 1млрд людей - это разные цифры, в абсолютном значении. там и инфа появляется раньше как правило, я не про хак даже, а про банальные темы, даже how-to всякие по дому - там тоже как оказалось дохрена просто сообразительных людей (точно не меньше чем у нас).ВУЗ не даёт возмоджности. ВУЗ даёт: знания "теоретические" да навыки "синтетические" - потом при выпуске у "ребёнка" (22 года - это ребёнок, как ни крути, "первые 40 лет детства" у него только пошли, если мужского полу) шок от реального мира, что и неудивительно!
Какой % дипломных работ перерос в реально работающие и кормящие выпускика проджекты?
По поводу того, что есть темы изначально денежные и изначально безденежные (конечно же "в моменте", мир он меняется) - даже спорить бесполезно, этого не замечает только слепой и глухонемой наверное
Поясню для тех кто в танке: врачом или учителем выпускник стартует за N денег, в IT выпускник стартует за минимум 2X денег, просто стартует всмысле, первая работа.
Далее с какой скоростью он станет нач.отделения в больнице (лет за 5 - это "головокружительно быстро", а то и "никогда" потому что "у генерала - свой сын" - да, как в том самом анекдоте прям) и с какой скоростю он станет нач.отдела то есть тимлидом (1-2 года - вполне норма) - это про карьерный рост.
Конечно же, при условии что оба выпускника и врач и IT не будут тупить, будут стараться и так далее, - так тут я с Вами и не спорил, уважаемый, - да, в любой профессии "затупить" можно и свести все плюсы на нет, а можно развиваться.
Просто кривая роста будет разной изначально по факту выбора самой профессии и даже по факту выбора определённой предметной области внутри профессии.
Заметьте, мы не говорим про исключения "а вот я знаю друга Васю..." , а говорим про мэйнстрим и неумолимую статистику. И конечно же в конкретной стране. И на основе банальных прям наблюдений, даже напрягаться не надо, чтобы это наблюдать.
Это объясняется очень-очень просто (для детей сейчас объясняю, прям чтобы "хрен поспоришь") : вот два водоёма - в одном рыбы дохрена, в другом ну так чуть есть - где шансы поймать рыбу выше, чисто статистически и "с точки зрения банальной эрудиции"? а вот два края - один пустыня, а другой чернозём - где посевы взойдут "сами собой", а где ты изъ***шься весь чтобы хоть травиночка выросла?
Так вот и в жизни: выбор профессии, выбор места, выбор людей - это определяет успех, а не "какой ты умный, упорный, вот-вот щас в Сахаре пустыне ананасы будут! (причём без волшебной нефти чтобы)"
Пролистал тему, не нашел в ней своих комментариев, нашел только лайк под первым твоим постом. За других сказать не могу, пишу исключительно свое понимание. Книга это хорошо, это хотя бы что-то. И наличие книги не исключает пользу лабораторных. Напомню, что по большей части весь разговор завязался из-за лаб...нда? а что ж в меня тут "тухлыми помидорами" массово кидались за MITRE ATT&CK Matrix (для APT) или ну хотя бы OWASP Web Security Testing Guide (scope: веб-аппс как пентестировать) ?
аргументы были "да новичку же надо с чего-то начать! а тут ты со своими роадмапами от которых новичёк только испугается!"
(ну мне-то пофиг как-то.... я привык к людям типа "в итнернетах опять кто-то неправ!"
вся методология расписана "от и до", желательно конечно английский качать - без него никуда (в коде все слова на нём опять же, ну окромя 1С наверное
Какие еще синтетические навыки? Что за фантазия? Писать циклы это синтетический навык? А если меня научил писать циклы "правильный гуру-супермастер", то это уже не синтетический навык?
Может оценка алгоритмов это синтетический навык? Или DTD-схемы это синтетически навык?
Почему дипломная работа должна перерасти в реально работающий проект? Диплом это демонстрация того, чему ты научился. Доказательство факта, что не просто так топтал коридоры ВУЗа. Путаешь.
Хотя... моя дипломная могла стать полноценным и масштабным проектом, но не стала. По причине того, что к ней нужно было приложить еще десяток специалистов и разного рода навыков... кто-то должен был сделать презентации, кто-то составить финансовый план, кто-то найти и пообщаться с инвесторами и т.п.
Может есть более актуальные вещи? Такие, в которых нужно гораздо меньше усилий чтобы заработать? То, что в тренде. Или будешь приводить в пример вымершие профессии и называть их безденежными, а не неактуальными и потерявшими смысл? Да и речь была совсем не про это. Речь была про то, что слишком много стереотипных фраз основанных на жидких основаниях или вовсе на воздухе. Наподобие того, что все врачи и учителя бедные.По поводу того, что есть темы изначально денежные и изначально безденежные (конечно же "в моменте", мир он меняется) - даже спорить бесполезно, этого не замечает только слепой и глухонемой наверное
Поясню для тех кто в танке: врачом или учителем выпускник стартует за N денег, в IT выпускник стартует за минимум 2X денег, просто стартует всмысле, первая работа.
Далее с какой скоростью он станет нач.отделения в больнице (лет за 5 - это "головокружительно быстро", а то и "никогда" потому что "у генерала - свой сын" - да, как в том самом анекдоте прям) и с какой скоростю он станет нач.отдела то есть тимлидом (1-2 года - вполне норма) - это про карьерный рост.
Конечно же, при условии что оба выпускника и врач и IT не будут тупить, будут стараться и так далее, - так тут я с Вами и не спорил, уважаемый, - да, в любой профессии "затупить" можно и свести все плюсы на нет, а можно развиваться.
Просто кривая роста будет разной изначально по факту выбора самой профессии и даже по факту выбора определённой предметной области внутри профессии.
Т.е. выбор профессии не имеет ничего общего с интеллектом? А что тогда? Лотерея? Типа "виииу и усе, ты дворник, как бы умен и образован ни был". Ну хотя бы теперь понятно откуда берутся таксисты "для души".
Мы очень сильно ушли от темы. Думаю пора закрывать беседу, хоть она и забавная.
Золотые слова! А чтобы не "нашуметь" и не спугнуть "секуриц" жертвы - ещё могу порекомендовать локально в VM поднять свой таргет (это ещё +1 к DevOps skills) "иденьичный натуральному" и отработать по нему сначала. Долго? Сложно? Да. Но и зато по таргету реальному потом - снайперский выстрел и "свалил в туман", а не "дрючить неделями пока тамошний одмин даже самый ленивый жёпу таки со стула поднимет и дырдочки позатыкает на таргете"
Не все. Однако немногочисленные исключения как раз намекают на правило. Рекомендую обратиться к статистике и личным наблюдениям этой самой статистики IRL.
А то напоминает вот это вот "скоро это ваше IT лопнет как мыльный пузырь!" и "скоро доллар рухнет и обесцениться!"
Мои личные наблюдения говорят в обоих случаях выше об обратном - растёт, растёт (и то и другое), лопаться и рушиться не собираеся, десятилетиями.
С каких времён товарища вдруг волнуют американские и европейские законы? Они вон на наши законы хер клали, например.
Ясен пень по RU (я бы даже сказал по SU) не надо работать, ну это банально как "срать где живёшь" же... врядли нуждается в объяснении, да?
Тем не менее, если посмотреть на ведущих специалистов в том же ИТ, абсолютное большинство из них - люди имеющие академическое образование физ.мат- или технического вуза. Я это знаю точно, потому что сам много лет работал в топовых ИТ компаниях и не встречал среди реальных сеньоров самоучек с улицы или "войти-в-айти`шников" после курсов. Хотя допускаю что они есть, но скорее как исключение из правил.
И это касается не только наемных специалистов, но и предпринимателей. Если поизучать биографии топовых предпринимателей, то практически каждый из них, на том или ином этапе жизни шел получать академическое образование в сфере менеджмента или бизнеса.
Другими словами - между уровнем профессионализма и наличием структурированной, академической базы есть прямая корреляция.
Слыхал , Underbafer ? BigBug тебе советует в ВУЗ на 5 лет сходить, и только так и только потом через 5 лет
Можно узнать, в чем реальная причина антивузовской активной позиции? И антилабовской. Просто одно дело, когда вскользь упоминается... ну типа, вот моя позиция и ладно. Другое дело яростное отстаивание в любой теме, которая этого хоть как-то касается. Возможно это мое личное впечатление, но в любую тему, которая хоть как-то касается лаб, ты активно врываешься и с полной самоотдачей доказываешь свою позицию.Слыхал , Underbafer ? BigBug тебе советует в ВУЗ на 5 лет сходить, и только так и только потом через 5 летхакеромпентестеромспециалистом по ИБ станешь, ну типа иначе - никак! вообще никак!
Можно уточнить, где я писал, что "скоро ваше IT лопнет как мыльный пузырь" или что "скоро доллар рухнет и обесценится"?Не все. Однако немногочисленные исключения как раз намекают на правило. Рекомендую обратиться к статистике и личным наблюдениям этой самой статистики IRL.
А то напоминает вот это вот "скоро это ваше IT лопнет как мыльный пузырь!" и "скоро доллар рухнет и обесцениться!"
Мои личные наблюдения говорят в обоих случаях выше об обратном - растёт, растёт (и то и другое), лопаться и рушиться не собираеся, десятилетиями.
Я дико извиняюсь, уже не хотел продолжать участвовать в флуде, но всему же есть границы.
Нарушать или нет, это личное дело каждого. Активно призывать это уже как-то странно.... майор... шучу, шучу))) А то воспримишь как личное.С каких времён товарища вдруг волнуют американские и европейские законы? Они вон на наши законы хер клали, например.
Ясен пень по RU (я бы даже сказал по SU) не надо работать, ну это банально как "срать где живёшь" же... врядли нуждается в объяснении, да?
Круто. Прям в статус можно забирать.
Гениально! Считаю надо в цитаты (done).
Последнее редактирование:
Скорее антишкольной (как системы) позиции. В ВУЗе ещё пихают "в довесок" (у меня было, и попробуй ты не сдай) помимо того что требуется ITшнику: социологию где тётя "читает цитаты" и не может пояснить своим языком элементарно эти самые цитаты, ОБЖ даже было, не поверите! (я ОБЖ первый "хакнул" кстати. Никто не мог допереть почему лабы не принимает препод, а я понял - там надо было от удара ЯО или техногенной катастрофы посчитать жертвы, ну так вот я сдал первый и всем "пацаны! я всё понял! ему жерты надо больше! приписывайте цифры!"
) И это типа нормально всякое говно в голову пихать? Философия и психология (о как я этот предмет обожал!) - это нормально ещё, но социология "книжная" и ОБЖ - это черезчур и потеря времени.Как правильно герой фильма Перл Харбор сказал "только вот мы тут не на терадках летаем и не буквами стреляем!" (когда ему там плохую оценку влепили в учебке)
Система гнилая в общем.
Хотя у меня и красный диплом (нет не круглый отличник конечно, да и цели такой вообще не было, - "так получилось", человек я просто неконфликтный - могу и с 2x2=5 соглашаться кивать, чего с дураками то спорить...), казалось бы грех жаловаться, однако в жизни я после выпуска слегка ах*ел после выпуска, 2 года потерял в итоге из-за "ложных успокоительных фидбэков" некоторых ВУЗовских преподов. Но быстро адаптировался, нашёл нужных людей САМ (помогла природная общительность) - и вот только тут то "карта и попёрла", как говорится - дальше только up to the Moon с тех пор!
Преподов которые реально учили (каждый имел свой бизнес кстати или плотное сотрудничество с бизнесом) можно было пересчитать по пальцам одной руки, это считаю мне очень-очень повезло.
Город миллионник если что, ВУЗ - "узнаваемый бренд".
Мораль: есть оценка - суть "амбиция препода" поссорился ты с ним и хана тебе будь ты трижды гений IT или чего-то на что ты учиться там надумал, а есть реальные знания (а точнее даже навыки и умения) - как правило "остаточные знания" (тест, в "боевых условиях", непредвзятый 1/0 - или ты вы**бал или тебя, как говорится) после многих лет это хорошо показывает.
у... Вы тут видимо темы и не одну пропустили где
)Ага, белые-пушистые вон Сачкова главного из GroupIB - "закрыли". Не помогла ему "белость и пушистость". А вот неузнанность ("тихо стырил и ушёл - называется нашёл!") ему бы могла помочь. А ведь умный мужик был вроде как, ну говорят...
Уберегаю народ (новеньких) от вот таких вот "разочарований белых хакеров" в общем
Для новичков "
Black Hat - достаточно развить и довести один вектор (ну условно) и "победитель забирет всё", ну есть конечно риски, ну так надо как можно удалённее и безнаказаннее действовать то учиться.
White Hat - если штатный, то надо обойти весь периметр и заделать все дырки, отрапортовать "все секурно!", если всё же сломают - получить за это звездюлей от начальства, если нештатный то ковырять баг-баунти, с риском найти дубль, и что характерно в обоих случаях - смиренно ждать "подачки" (могут и не заплатить, а ты уже известный и "на карандаше" у товарища майора, кстати - ещё минус) от "щедрого (или не очень) хозяина" - нннуу не знааааю... нннуу "такоооое себе" "удовольствие" то... хотя конечно же "на вкус и цвет все фломастеры разные", как говорится.
Последнее редактирование:
Как стать хакером с нуля?
Хакер - это специалист своего дела, который понимает КАК работает система. Эти знания даются только практикой использования и/или кодингом этих систем. Выбирай какое-то определенное направление и вперед. 10 000 часов практики и ты хакер.
сканишь сеть, берёшь сплойт, юзаешь сплойт, поздравляю, ты - хакер (преступник)!
Underbafer посмотри про MITRE ATT&CK - на видео на русском языке просто и доступно объясняют "роадмап" :
На мой взгляд, обучение программированию - это первый фундамент в изучении того, как можно что-то сломать. Если вас интересует, например, взлом веб-сайтов, научитесь их создавать. В дальнейшем вы автоматически начнете понимать, что вызывает проблемы, а что нет.
Вы начнете понимать, почему вместо того, чтобы работать, что-то работает, а затем вы начнете понимать, что можно сделать, чтобы сломать это.
Вы начнете понимать, почему вместо того, чтобы работать, что-то работает, а затем вы начнете понимать, что можно сделать, чтобы сломать это.
если не затруднит можно в лс скинуть
интересуют всё - знаний много не бывает
(теоретические) знания они сильно отличаются от (практических) умений ;-)
я к тому что курсы это хорошо конечно (раньше их не было, было всё раскидано и разрознено и "каша в голове" у начинающих), но иногда надо "в поле" выходить "похакать" ;-)
ну это как ещё дофига курсов пикапа, просмотривая которые и даже ходя на них, молодые люди удивляются как это женщины сами собой не появляются в их жизни
но увы, курсы курсами, а жёпу с дивана надо поднимать и практиковаться на улицу "в поля" идти - в любой отрасли народного хозяйства так.не знает "начинающий" например "чего хакать"? о! да ты только спроси брат тут, только спроси... ;-)
(recon делать у больших таргетов - дело муторное, жалающие выстроятся в очередь, вот увидите)