Доброй ночи форумчане, с чего можно начать изучения такой деятельности знаю что такое Линукс, вайфай соседа не взламывал, с чего поррекомендуете начать.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Пентестер (Для начинающий)
- Автор темы PuzzieCream
- Дата начала
Начни с курсов по Kali Linux и Metasploit, а так вообще информации много, читай все что заходит, что не заходит все равно читай!
basics of linux, networking
Тут есть разные направления, атака на веб приложения включаем очень много разных типов уязвимостей, не нравится? Тогда эксплоиты и полный вперед, что тоже не нравится? Тогда реверсинг, реверсинг уж точно должен понравиться
Реверс для новичка будет слишком сложен в изучении, соотв. человек быстро сгорит и бросит это дело. Лучше начинать с веба, плавно переходя в инфраструктурный пентест, а потом уже задумываться о более узких темах
Поддерживаю ораторов выше, начни с аудита веб или мобильных приложений, освой высокоуровневый ЯП, обязательно понадобятся сети, администрирование Linux и Windows, k8s и докер.
Общий совет - повторение и практика очень важны. Я учился месяцами и до сих пор не могу взломать WIFI соседей
https://tryhackme.com/ там есть всё что нужно для старта. Даже есть урок как гуглить (Понимание того, как можно раскуривать какую-либо тему)
Еще советую обратить внимание на этот блог https://www.hackingarticles.in/Если у тебя нету вообще понимания в этом, то читай для начала что указали выше
Как только изучишь "азы", можешь перейти к книгам и мануалам:
- книга Active Directory(Ralph)
- http://xssforum7mmh3n56inuf2h73hvhn...3xdnyd.onion/threads/55735/page-7#post-365099
- Conti
- изучишь это, подкину дальше
Дальше найти себе ментора, который будет выслушивать твои неудачи и прочее и будет рад помогать в трудную минуту
А потом будет как в сказке - ученик превзошел учителя и получил выплату 2кк за первый месяц работы
Сливаю курсы по пентестингу и многое другое в данной теме:
https://xss.pro/threads/48396/
С чего начать
Вне зависимости от того, какое направление в ИТ ты выбрал, тебе всегда будут необходимы:
- Цель
- Методика
- Общая компьютерная грамотность
- Английский язык
- Владение поисковыми технологиями
Цель
Данный материал не поможет тебе ответить на вопросы о выборе той или иной профессии, жизненной позиции, стороны баррикад, и прочей философии. Предполагается, что ты уже мотивирован и знаешь если не итоговую цель которой хотел бы достичь, то как минимум общее направление в котором хотел бы развиваться. Статья поможет тебе составить представление о том, с чего можно начать развитие в сфере информационной безопасности.
Методика
Универсальной методики не существует, поэтому я опишу последовательность в общих чертах:
- Выбери интересующее направление
- Определи цель
- Сформулируй последовательность действий для достижения цели
- Определи ресурсы которые ты можешь выделить для комфортного достижение цели
- Поставь срок достижения цели
- Начти реализацию
- Доведи дело до конца
В ходе обучения:
- Двигайся от простого к сложному — раскладывай большую и сложную задачу на небольшие простые подзадачи
- Если книга/курс содержит код или описание решения задач — сразу закрепляй это на практике
- Веди собственные заметки по изученному материалу (описание одного из методов)
Английский
Школьного курса по английскому должно быть достаточно для понимания общего английского (построение предложений, грамматика, и тд). Под необходимостью владения технарями английским языком чаще всего поразумевается способность читать и переводить специализированную техническую литературу. Данное умение развивается на практике, в ходе чтения тематических материалов. Словарный запас будет постепенно пополняться терминами изучаемого направления, и со временем новые слова будут встречаться все реже.
Словари:
multitran.ru
lingvolive.com
Online-переводчики:
translate.google.r
translate.ru
translate.yandex.ru
https://www.deepl.com
Общая компьютерная грамотность
Школьного курса по информатике должно быть достаточно. Также, тебе сэкономят уйму времени:
- Владение слепым методом печати
- Использование горячих клавиш
- Владение продвинутым текстовым редактором (Sublime Text / Atom / Vim / Emacs)
Поисковые технологии
Для того чтобы найти нужную информацию следует понимать несколько вещей:- Почти вся нужная тебе информация есть в Интернет
- Почти все это можно найти с помошью поисковых систем
- Первые кандидаты на поиск:
- google.com — англоязычные сайты
- yandex.ru — русскоязычные сайты
- baidu.com — азиатские сайты
- duckduckgo.com — поисковик с претензией на защиту приватности
- torchtorsearch.com — происк по сети TOR
- Ключевыми условиями успешного поиска являются:
- Понимание контекста запроса (правильно заданный вопрос — половина ответа)
- Знание
поисковых операторов google.com
документных операторов yandex.ru
- Знание английского языка при составлении поисковых запросов в google.com
- Владение online-переводчиками при составлении поисковых запросов в baidu.com
- Определенные типы данных эффективнее искать на специализированных площадках:
- amazon.com
- libgen.io
- readmanuals.github.io — книги
- rutracker.org — книги, видеокурсы
- coderprog.com
- foxebook.net
- bookslibland.com
- порой там можно найти книги, которых нет на ресурсах выше
- youtube.com — видеокурсы
- github.com — проекты с открытым исходным кодом (имеет различные поисковые операторы)
- gist.github.com — поиск по публичным заметкам, кратким статьям, конспектам и скриптам
- Многие из ныне несуществующих веб-ресурсов можно найти в архиве — web.archive.org
Если что-то не получается найти, не стесняйся задавать вопросы, есть множество доброжелателей которые с радостью тебе помогут. Можешь спросить у людей которые засветились при поиске, в тематических чатах, форумах и тд.
Note: Вместе с вопросом опиши работу которую ты проделал чтобы найти ответ, предоставь варианты ответов к которым ты склоняешься. Поискать самому перед тем как спрашивать у людей — правило хорошего тона. Такие вопросы всегда приветствуется, вне зависимости от сферы ИТ. Подробнее о том как правильно задавать вопросы можно почитать здесь
Информационные технологии
Для того чтобы начать свой путь в сфере практической информационной безопасности не нужно начинать с безопасности. Не зная природу защищаемого объекта далеко не уедешь. Начни с изучения фундаментальных основ информационных технологий:
- Сети
- Операционные системы
- Программирование
Сети
Hint: CCNA Routing and Switching является полноценным курсом молодого бойца, включающим в себя базовые аспекты функционирования сетей. Он позволит примерно понять как работает интернет (дополнительно нужно будет только почитать про BGP и DNS) и корпоративные сети в целом.
- 2014, Wendell Odom, Sean Wilkins, Cisco CCNA Routing and Switching 200-120 Official Cert Guide
- 2012, Эндрю Таненбаум, Дэвид Уэзеролл, "Компьютерные сети", 5-е издание — рассмотрено больше технологий, но с позиции теории — есть только описание того как все функционирует, без процесса конфигурирования устройств
NetAcad: Cisco CCNA Routing and Switching
Yandex: Обучение: Системное администрирование: Сети
Операционные системы
Note: Оптимальным решением в начале пути будет выбор одного из двух перечисленных семейств операционных систем.
MS Windows:
курсы:
Официальные курсы Microsoft Technology Associate (MTA)
Microsoft Virtual Academy: IT Pros: Windows 10 / Server
- книги:• 2012, Марк Руссинович, Дэвид А. Соломон, Внутреннее устройство Microsoft Windows, 6-е издание
- 2015, Эндрю Таненбаум, Херберт Бос, Современные операционные системы, 4-е издание
Unix-подобные:
курсы:
- Yandex: Обучение: Системное администрирование: Linux
- Stepik: Введение в Linux
- [edX: Introduction to Linux](https://www.edx.org/course/introduction-linux-linuxfoundationx-lfs101x-0#!)
- Cybrary: CompTIA Linux+
книги:
- 2014, Пол Коббаут, Фундаментальные основы Linux
- 2012, Эви Немет, Гарт Снайдер и др., Unix и Linux. Руководство системного администратора, 4-е издание
- 2015, Эндрю Таненбаум, Херберт Бос, Современные операционные системы, 6-е издание
- 2015, Christopher Negus, Linux Bible, 9th Edition
Hint: Если ты не слышал про виртуализацию — самое время познакомиться с ней.
Программирование
Warning: Без автоматизации рутины, создания своих скриптов, решающих твои насущные проблемы и интересные для тебя задачи ты ничего не запомнишь, сколько бы ты ни прошел курсов и ни прочитал книг.
Python:
- Yandex: Обучение: Системное администрирование: Python
- ubuntu.ru: Программа на Python
- Codecademy: Python
- Coursera: Programming for Everybody — Getting Started with Python
книги:
- 2013, Zed A. Shaw, Learn Python the Hard Way, 3rd Edition
- 2015, Eric Matthes, Python Crash Course: A Hands-On, Project-Based Introduction to Programming
- 2016, Билл Любанович, Простой Python. Современный стиль программирования
Bash:
книги:
- 2010, Мачтелт Гэррелс, Руководство по Bash для начинающих
- 2015, Richard Blum, Linux Command Line and Shell Scripting Bible, 3rd Edition
- Разделы о Bash в книгах о Unix-подобных операционных системах
курсы:
PowerShell:
книги:
- 2013, Lee Holmes, Windows PowerShell Cookbook, 3rd Edition
- Microsoft TechNet: Знакомство со сценариями
- Разделы о PowerShell в книгах об операционных системах MS Windows
курсы:
Hint: Если ты решил в первую очередь изучать Unix-подобные системы, изучай Bash не отвлекаясь на MS PowerShell.
Программирование: hard way
Есть мнение, что стоит сразу начать изучать Си и ассемблер. Оно имеет право на жизнь, но требует пояснения: данный путь невероятно сложен, но ведет к пониманию того как на самом деле все функционирует на самых низких уровнях. Если ты достаточно мотивирован и умен чтобы интересоваться этой темой — ты найдешь всю необходимую информацию самостоятельно. Но для начала сойдут:
- SecurityTube, Vivek Ramachandran, Assembly Language Megaprimer for Linux — введение в asm x86, работу с GDB
- 2013, Аллан О’Доннелл, Изучаем С используя GDB
- 2001, Брайан Керниган, Деннис Ритчи, Язык программирования C — книга от создателя языка. Hard way — учить по указаной выше концепции, с постоянной отладкой примеров в GDB
Информационная безопасность
Сформировав фундамент в ИТ можно смело начинать путь в безопасности среди огромного количества направлений:
- Безопасность программного обеспечения (в т.ч. приложений)
- Безопасность операционных систем
- Безопасность аппаратного обеспечения
- Безопасность сетей
- Инфраструктурная безопасность
- Мониторинг информационной безопасности
- Реагирование на инциденты
- Компьютерная криминалистика
- Анализ защищенности
- Разработка эксплойтов
- Вирусная аналитика
- Криптография
И множество смежных и прочих узкоспециализированных.
Какое направление выбрать
"А давайте вы пойдете по грибы, а я буду давать советы, куда конкретно вам ходить, основываясь на собственном опыте?" Крис Касперски, интервью журналу «Системный Администратор», 2014 год [ссылка]
Универсальной инструкции нет, но есть советы, которые просто нельзя не указать.
"Фокусируйтесь на универсальных областях знаний, которые не зависят от места и времени, в котором Вы родились. [...] Учите английский. Владение английским языком расширяет потенциальное применение Ваших талантов в 50 раз — с российского рынка на глобальный." Павел Дуров, интервью LIVE Plus, 2015 год [ссылка]
Некоторые из них могут сэкономить тебе годы жизни, если будут правильно интерпретированы и вовремя приняты на вооружение.
"Не распыляться: выбрать направление, фокусироваться на нем и добиваться результатов. А главное при достижении целей ставить новые еще более амбициозные."
Александр Матросов, интервью серии "Как работают ИТ-специалисты", 2017 год [ссылка]
После выбора направления
Первые претенденты на поиск по теме:
- Awesome list'ы на github
- Книги
- Форумы
- Конференции
- Компании
- Люди
- Блоги
- Новостные ресурсы
Ссылки
- Словарь multitran.ru
- Словарь lingvolive.com
- Переводчик translate.google.ru
- Переводчик translate.ru
- Переводчик translate.yandex.ru
- Происковая система google.com
- Происковая система yandex.ru
- Происковая система baidu.com
- Происковая система duckduckgo.com
- Магия DuckDuckGo. Изучаем скрытые функции поисковика, которых нет у Google
- Google: Операторы в поисковых запросах
- Google: Как пользоваться поиском в Google
- Yandex: Документные операторы
- Yandex: Морфология и поисковый контекст
- Статья (перевод) Эрика Реймонда: Как правильно задавать вопросы
- Интернет-магазин amazon.com
- Библиотека libgen.io
- Библиотека readmanuals.github.io
- Веб-сервис для хостинга git-репозиториев github.com
- Pastebin веб-приложение gist.github.com
- Веб-архив web.archive.org
- Утекший c NetAcad официальный курс Cisco CCNA Routing and Switching
- Видеолекции Yandex: Обучение: Системное администрирование: Сети
- Официальные курсы Microsoft Technology Associate (MTA)
- Видеолекции Yandex: Обучение: Системное администрирование: Linux
- Курс Stepik: Введение в Linux
- [Курс edX: Introduction to Linux](https://www.edx.org/course/introduction-linux-linuxfoundationx-lfs101x-0#!)
- Курс Cybrary: CompTIA Linux+
- Книга Пола Коббаута, Фундаментальные основы Linux
- Видеолекции Yandex: Обучение: Системное администрирование: Python
- Курс ubuntu.ru: Программа на Python
- Курс Codecademy: Python
- Курс Coursera: Programming for Everybody — Getting Started with Python
- Книга Zed A. Shaw, Learn Python the Hard Way, 3rd Edition
- Книга Мачтелт Гэррелс, Руководство по Bash для начинающих
- Портал The Bash Academy
- Портал Microsoft TechNet: Знакомство со сценариями
- Портал Microsoft Virtual Academy: Getting Started with Microsoft PowerShell
- Системный Администратор: Евангелие от Мыщъха. Часть 1 из 3
- LIVE Plus: интервью с Павлом Дуровым
- Хабрахабр: Как работают ИТ-специалисты: интервью с Александром Матросовым
- Статья DC KB: Еще один способ вести заметки
- Видеокурс SecurityTube, Vivek Ramachandran, Assembly Language Megaprimer for Linux
- Статья (перевод) Аллана О’Доннелла, Изучаем С используя GDB
- Книга Брайана Кернигана и Денниса Ритчи, Язык программирования C
Дополнительные материалы
- GitHub Awesome-List: Awesome Courses
- 174 бесплатные книги по программированию, дизайну и бизнесу
- Библиотека программиста: Каталог книг
- Как стать программистом: руководство от Google
- Бесплатные книги по программированию на русском языке
- Публикации Криса Касперски на русском
- Digininja: Breaking in to Security, Part 1 of 2
- Eric Steven Raymond: How To Become A Hacker
- Egor Homakov: How I started in web security
- SkillFactory: Путь IT-воина: как найти работу мечты и полететь в космос
- Geektimes: Спать мало, но правильно?
- Книга Дениса Юричева "Reverse Engineering для начинающих"
- (EN) Очень большая подборка материалов от Case & S1rlancelot
У меня вот эти ресурсы в закладках, думаю будет интересно:
Welcome to the club, buddy! Или как начать свой путь в ИБ? (codeby.net)
Roadmap для пентестера (codeby.net)
Top 25 Penetration Testing Skills and Competencies (Detailed) (infosecmatter.com)
поиск зеро деев самое прибыльное дело, ну ты один зеро дей может продать за 50к баксов и две хаты купить уже
the guy is a beginner finding 0days for him is going to be near impossible
Спасибо, полезно