• XSS.stack #1 – первый литературный журнал от юзеров форума

Возможно ли за месяц обучится этичному хакингу и даже начать зарабатывать?

Отслеживать
Самое главное умение в хакинге - это умение правильно гуглить. Для этого тебе никакие курсы не нужны, тс. Просто, ВНЕЗАПНО, пишешь в гугле: "Операторы расширенного поиска Гугл" и обучаешься. С этими сакральными знаниями ты найдешь любую инфу которая тебе нужна на предмет этичного и не этичного хакинга.
 
Добавлю ещё.
Я, когда только начинал интересоваться всей этой темой, тоже, как и многие сейчас, создавал кучи тредов на форумах о совершенно тривиальных вещах, которые свободно гуглятся. Этим только злил сторожил тех самых форумов и всё время посылался на эти заветные 4 буквы гугл.
Справедливости ради хочу отметить, что на русском языке годную инфу тяжелее искать нежели на ангельском, имхо. Поэтому хорошее знание ангельского не повредит
 
Пожалуйста, обратите внимание, что пользователь заблокирован
senegal55 сказал(а):
Как работает сайт и интернет понимаю, но только начинаю.Читаю книгу "Основы веб-хакинга. Как зарабатывать деньги этичным хакингом" Питера Яровского. Как дочитаю в планах перейти сразу к практике и начать пентест на специализированных сайтах. Возможно ли за месяц "набить руку" и уже начать зарабатывать на таких платформах как "hackerone".
Этичному хакингу и начать зарабатывать - НЕТ.
 
groupby сказал(а):
ну а есть еще и такой контингент который боится что у них отберут хлеб!

Да самое смешное во всем этом то, что вся инфа в открытом доступе. Естественно 0дэи тебе никто давать не будет, но всё что нужно для старта ( и даже намного больше ) находится в паблике.
 
Ну, раз уж пошел такой дисскус, и я свои 5 копеек вставлю. Но не по поводу обучения, там уже выше все подробно разьяснили, а по поводу hackerone и ему подобных:
Сейчас, в 2021, новичку, без опыта и с понимаем только дефолтных багов из книги того же Яворски, заработать на баг баунти практически нереально! Все более-менее нормальные бабки вертятся там сейчас в закрытых проектах. Чтобы попасть в такие проекты нужен инвайт, а для него опыт и репутация на площадке. А чтобы получить репутацию нужно находить баги в открытых для всех проектах. И вот тут начинаются уже две серьезные проблемы: Во-первых, кампании, которые готовы платить баг-хантерам уже в проде серьезные бабки за каждую найденную уязвимость, наверняка озаботились этим вопросом еще во время разработки продукта и денег на безопасность вьебали порядочно. Так что искать там какие-то дефолтные баги по типу простенького XSS в строке поиска - задача, шанс на успех в которой сводится почти к нулю. Но даже если вам повезет и удасться найти какой-то не сложный баг, врят-ли за него получится получить вознаграждение. Потому что, заходя на любой сайт из списка, можете быть уверены, что вместе с вами сейчас на сайте сидят тысячи полторы индусов, которые во все поля ввода и заголовки суют свои скобочки и запускают свои hack_the_site.py скрипты. Так что, ввиду такой высокой конкуренции, даже если что-то найдете, отчет с 99 процентной вероятностью улетит в дубликат и вы не получите ничего, кроме потраченых нервов и сил. Еще конечно опыт, но если кушать нечего...
Вот и получается замкнутый круг - в закрытые программы не попасть, потому что репутация нужна, а репутацию не заработать ввиду огромной конкуренции. Так что я бы сейчас, по своему скромному опыту и мнению, лезть туда не советовал никому, кто не имеет за плечами хотябы лет 5 мощного опыта в веб-сфере. А иначе будете работать за фантомные 250 баксов раз в год, которые еще не факт что повезет выхватить у других. Году в 2015, когда все только начиналось, там еще можно было с нуля начать, но не сейчас уже, к сожалению
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Urob0ros сказал(а):
Ну, раз уж пошел такой дисскус, и я свои 5 копеек вставлю. Но не по поводу обучения, там уже выше все подробно разьяснили, а по поводу hackerone и ему подобных:
Сейчас, в 2021, новичку, без опыта и с понимаем только дефолтных багов из книги того же Яворски, заработать на баг баунти практически нереально! Все более-менее нормальные бабки вертятся там сейчас в закрытых проектах. Чтобы попасть в такие проекты нужен инвайт, а для него опыт и репутация на площадке. А чтобы получить репутацию нужно находить баги в открытых для всех проектах. И вот тут начинаются уже две серьезные проблемы: Во-первых, кампании, которые готовы платить баг-хантерам уже в проде серьезные бабки за каждую найденную уязвимость, наверняка озаботились этим вопросом еще во время разработки продукта и денег на безопасность вьебали порядочно. Так что искать там какие-то дефолтные баги по типу простенького XSS в строке поиска - задача, шанс на успех в которой сводится почти к нулю. Но даже если вам повезет и удасться найти какой-то не сложный баг, врят-ли за него получится получить вознаграждение. Потому что, заходя на любой сайт из списка, можете быть уверены, что вместе с вами сейчас на сайте сидят тысячи полторы индусов, которые во все поля ввода и заголовки суют свои скобочки и запускают свои hack_the_site.py скрипты. Так что, ввиду такой высокой конкуренции, даже если что-то найдете, отчет с 99 процентной вероятностью улетит в дубликат и вы не получите ничего, кроме потраченых нервов и сил. Еще конечно опыт, но если кушать нечего...
Вот и получается замкнутый круг - в закрытые программы не попасть, потому что репутация нужна, а репутацию не заработать ввиду огромной конкуренции. Так что я бы сейчас, по своему скромному опыту и мнению, лезть туда не советовал никому, кто не имеет за плечами хотябы лет 5 мощного опыта в веб-сфере. А иначе будете работать за фантомные 250 баксов раз в год, которые еще не факт что повезет выхватить у других. Году в 2015, когда все только начиналось, там еще можно было с нуля начать, но не сейчас уже, к сожалению
тема вообще не про багбаунти идет а вообще про этичный хакинг реально ли заработать на данной теме скажу что сейчас как раз и реально поднять на этой темке тема хакинга она всегда была и будет актуальна хоть через 100 лет сейчас все компании они все работают через сеть ты можешь тупо начать со своего города и продвигаться постепенно дальше
 
blackteam007 сказал(а):
тема вообще не про багбаунти идет а вообще про этичный хакинг
Автор спросил именно про hackerone и подобные площадки. Да и книга, которую он читает, по сути "библия" баг-хантера, поэтому я этот момент и прокоментировал, основываясь на своем опыте. А что в целом, по белому хакингу, даже для того, чтобы джуном-стажером устроиться куда-нибудь тестировщиком безопасности, уйдет явно не один месяц, не одна книга и не одно собеседование, особенно если вдруг отсутствует профильное образование и диплом. Так что, по моему, ответ тут очевиден - придется пахать и учиться до первого мало-мальского успеха, и скорее всего даже без отдачи, если шляпа белая. А иначе, все бы так и работали: книжку прочел за месяц, пару тасков с дефолтной sql-инъекцией решил, и все, пошел работать за 300к/наносекунду.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Urob0ros сказал(а):
Автор спросил именно про hackerone и подобные площадки. Да и книга, которую он читает, по сути "библия" баг-хантера, поэтому я этот момент и прокоментировал, основываясь на своем опыте. А что в целом, по белому хакингу, даже для того, чтобы джуном-стажером устроиться куда-нибудь тестировщиком безопасности, уйдет явно не один месяц, не одна книга и не одно собеседование, особенно если вдруг отсутствует профильное образование и диплом. Так что, по моему, ответ тут очевиден - придется пахать и учиться до первого мало-мальского успеха, и скорее всего даже без отдачи, если шляпа белая. А иначе, все бы так и работали: книжку прочел за месяц, пару тасков с дефолтной sql-инъекцией решил, и все, пошел работать за 300к/наносекунду.
не ну если хоть немного шаришь хотя бы чуть чуть то и за месяц можно чему то интересному научится не обязательно читать книги
 
blackteam007 сказал(а):
не ну если хоть немного шаришь хотя бы чуть чуть то и за месяц можно чему то интересному научится не обязательно читать книги
Возможно, но точно не в белой сфере. Потому что такой навык, который ты обретешь за месяц, скорее всего это будет что-то очень узконаправленное, например один какой-нибудь баг, который ты на массовости сможешь прокрутить и пару баз слить успешно в блеке, если повезет. А в вайте с тебя спросят и топ OWASP, и умение работать с ОС, и ПО для автоматизации, и знание пары ЯП впридачу, хотябы на минимальном уровне. Потому что такие базовые вопросы как "Что это за регулярное выражение ?" и "Как работает протокол http ?" на собесах никто не отменял. Там ведь задача вроде не только в том, чтобы просто сломать, но и примерно хотябы понимать как защитить. Да и в коде скорее всего копаться придется. А для этого новичку нужны может хоть и поверхностные, но обширные знания в сфере, которые просто невозможно физически получить за месяц, хоть по книжкам, хоть по курсам и другим источникам информации. Люди, как правило, учатся этому если не годами, то как минимум месяцами, и не одним десятком.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Urob0ros сказал(а):
Возможно, но точно не в белой сфере. Потому что такой навык, который ты обретешь за месяц, скорее всего это будет что-то очень узконаправленное, например один какой-нибудь баг, который ты на массовости сможешь прокрутить и пару баз слить успешно в блеке, если повезет. А в вайте с тебя спросят и топ OWASP, и умение работать с ОС, и ПО для автоматизации, и знание пары ЯП впридачу, хотябы на минимальном уровне. Потому что такие базовые вопросы как "Что это за регулярное выражение ?" и "Как работает протокол http ?" на собесах никто не отменял. Там ведь задача вроде не только в том, чтобы просто сломать, но и примерно хотябы понимать как защитить. Да и в коде скорее всего копаться придется. А для этого новичку нужны может хоть и поверхностные, но обширные знания в сфере, которые просто невозможно физически получить за месяц, хоть по книжкам, хоть по курсам и другим источникам информации. Люди, как правило, учатся этому если не годами, то как минимум месяцами, и не одним десятком.
вот с этим не по споришь
 
Urob0ros сказал(а):
Возможно, но точно не в белой сфере. Потому что такой навык, который ты обретешь за месяц, скорее всего это будет что-то очень узконаправленное, например один какой-нибудь баг, который ты на массовости сможешь прокрутить и пару баз слить успешно в блеке, если повезет. А в вайте с тебя спросят и топ OWASP, и умение работать с ОС, и ПО для автоматизации, и знание пары ЯП впридачу, хотябы на минимальном уровне. Потому что такие базовые вопросы как "Что это за регулярное выражение ?" и "Как работает протокол http ?" на собесах никто не отменял. Там ведь задача вроде не только в том, чтобы просто сломать, но и примерно хотябы понимать как защитить. Да и в коде скорее всего копаться придется. А для этого новичку нужны может хоть и поверхностные, но обширные знания в сфере, которые просто невозможно физически получить за месяц, хоть по книжкам, хоть по курсам и другим источникам информации. Люди, как правило, учатся этому если не годами, то как минимум месяцами, и не одним десятком.
Все так, паблик программы пропаханы индусами с окунями . А если брать блек , то куда сунуться новичку?
 

6 лучших ресурсов для обучения этичному хакингу

Статья для тех, кто мечтает стать хакером и не нарушать закон.
proglib.io

⛑️ Этичный взлом: учимся белому хакингу

Хакинг – то, о чем мы часто слышим, но не очень понимаем, что это такое. Из этой статьи вы узнаете, как стать этичным хакером и легально зарабатывать деньги прямо у себя дома.
proglib.io
 
Нет. Нереально. Решает опыт, даже не знания. Ты знаешь как - но не знаешь где = отсутствие опыта. Знаешь где - но не знаешь как = отсутствие практики (и знаний). У опыта преимущество, ты на интуитивном уровне это чуствуешь, иногда даже не в состоянии обьяснить свои действия, а "просто вот так". Все это в совокупности и дает скилл.Но это не месяц и не год. И уж не по книжкам точно. Хочешь в вайты? Лезь по тихому в блэк, в вайтах основы, в блэке рил. Не поняв рил не поймешь и основы. Обычно в вайты идут с блэков, и ооооочень редко наоборот. Кто скажет обратное - пиздабол.
 
0xd3f1l3r сказал(а):
Добавлю ещё.
Я, когда только начинал интересоваться всей этой темой, тоже, как и многие сейчас, создавал кучи тредов на форумах о совершенно тривиальных вещах, которые свободно гуглятся. Этим только злил сторожил тех самых форумов и всё время посылался на эти заветные 4 буквы гугл.
Справедливости ради хочу отметить, что на русском языке годную инфу тяжелее искать нежели на ангельском, имхо. Поэтому хорошее знание ангельского не повредит
Да все правильно делал, красава. Часто то что гуглится, это вопросы которые задают на форуме чайники. Старожилы помогают и так находится ответ. А если бы ты и такие как ты не задавали бы вопросц на форумах, было бы намного тяжелее рыть инфу тем людям, которые просто гуглят
 
Desoxyn сказал(а):
Нет. Нереально. Решает опыт, даже не знания. Ты знаешь как - но не знаешь где = отсутствие опыта. Знаешь где - но не знаешь как = отсутствие практики (и знаний). У опыта преимущество, ты на интуитивном уровне это чуствуешь, иногда даже не в состоянии обьяснить свои действия, а "просто вот так". Все это в совокупности и дает скилл.Но это не месяц и не год. И уж не по книжкам точно. Хочешь в вайты? Лезь по тихому в блэк, в вайтах основы, в блэке рил. Не поняв рил не поймешь и основы. Обычно в вайты идут с блэков, и ооооочень редко наоборот. Кто скажет обратное - пиздабол.
Ну блин, всё-таки есть темки как можно за месяц заработать на хакинге. Естественно, чернуха. Но есть. Взял SQL дампер, спарсил 500к сайтов, нашёл инъекции на 50-ти сайтах, получил доступ к базам данных и всё. Дальше или продавать базы mail:pass. Или прогонять эти базы на готовых чекерах. С дампером новичок справится за неделю, с тем как прокси импортировать и базы в чекер вообще за день может. Вот тебе и профит
 
Urob0ros сказал(а):
Автор спросил именно про hackerone и подобные площадки. Да и книга, которую он читает, по сути "библия" баг-хантера, поэтому я этот момент и прокоментировал, основываясь на своем опыте. А что в целом, по белому хакингу, даже для того, чтобы джуном-стажером устроиться куда-нибудь тестировщиком безопасности, уйдет явно не один месяц, не одна книга и не одно собеседование, особенно если вдруг отсутствует профильное образование и диплом. Так что, по моему, ответ тут очевиден - придется пахать и учиться до первого мало-мальского успеха, и скорее всего даже без отдачи, если шляпа белая. А иначе, все бы так и работали: книжку прочел за месяц, пару тасков с дефолтной sql-инъекцией решил, и все, пошел работать за 300к/наносекунду.
Ты прав лишь отчасти. На h1 находится достаточно большое кол-во банальных багов, а-ля xss в рандомном параметре. Вон чуваки даже паблик окунем снимают какие-то баги. Да что уж там, я сам, будучи полным нубом, году в 17 - подучив рекон, позапускал пару тулз с огромными словарями, нашел поддомены, натыкал из какого-то гайда степ про поиск линков в wayback machine - надыбал список старых ссылок с js скриптами, в одном из которых была xss, потом нашел ещё одну - просто забытый богами сабдомен с рефлектящимся инпутом на странице. Посмотри сколько и какие убогие и простейшие баги находят в DoD, а это прога с огромнейшим числом доменов - отличный способ получить репу и опыт. Так что бывает все что угодно) И на счёт работы ты тоже не прав. У меня нет вышки в ИБ, бросил после 1 курса БИКС'ы, ибо юзлесс хрень, кроме софтскиллов в универе ничему не научишься, особенно если интересует Offensive security, тем не менее - в данный момент работаю, всем насрать на твое образование, а тем кому не насрать - с теми не стоит работать, если это не бурги офк, у них там другая вышка и они ее ценят. Касательно месяца - срок нереальный даже для самого способного ученика, который будет сидеть практически 24/7 над обучением, раз тс задаёт такие вопросы - он явно не из таких.
 
seidziwhitehat сказал(а):
Ты прав лишь отчасти. На h1 находится достаточно большое кол-во банальных багов, а-ля xss в рандомном параметре. Вон чуваки даже паблик окунем снимают какие-то баги. Да что уж там, я сам, будучи полным нубом, году в 17 - подучив рекон, позапускал пару тулз с огромными словарями, нашел поддомены, натыкал из какого-то гайда степ про поиск линков в wayback machine - надыбал список старых ссылок с js скриптами, в одном из которых была xss, потом нашел ещё одну - просто забытый богами сабдомен с рефлектящимся инпутом на странице. Посмотри сколько и какие убогие и простейшие баги находят в DoD, а это прога с огромнейшим числом доменов - отличный способ получить репу и опыт. Так что бывает все что угодно) И на счёт работы ты тоже не прав. У меня нет вышки в ИБ, бросил после 1 курса БИКС'ы, ибо юзлесс хрень, кроме софтскиллов в универе ничему не научишься, особенно если интересует Offensive security, тем не менее - в данный момент работаю, всем насрать на твое образование, а тем кому не насрать - с теми не стоит работать, если это не бурги офк, у них там другая вышка и они ее ценят. Касательно месяца - срок нереальный даже для самого способного ученика, который будет сидеть практически 24/7 над обучением, раз тс задаёт такие вопросы - он явно не из таких.
Да тут он уже понял, что за месяц ты даже банальный html не выучишь
не говоря уже про хаккинг
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх