• XSS.stack #1 – первый литературный журнал от юзеров форума

Из django разраба в пентестеры... стоит ли?

Отслеживать

Nosferatu

RAM
Пользователь
Регистрация
24.08.2021
Сообщения
114
Реакции
61
Проходил ли кто путь от рядового разработчика в пентестеры и сколько это заняло по времени? я python/middle хочу нырнуть в пентест. Но так как тема пентеста для меня новая, хотелось бы узнать мнение тех кто прошел по этому пути так сказать. Спасибо за возможные ответы и рассуждения! Добра всем!
 
Сортировать по дате Сортировать по голосам
Lanted сказал(а):
Чтобы стать пентестером, тебя волнует только этот вопрос?
время.
условно - если уделять занятиям(освоению новых технологий: сканеры, дорки, различные скрипты, методы и т.д. ) от 4 часов в день, то сколько времени уйдет на прокачку скилов для конкурентноспособности? Ясное дело, что сломать какую-нибудь тестовую фигню много ума стоить не будет. Но вот, чтобы зарыться глубоко нужно много чего знать и уметь. Я просто интересуюсь, есть ли разрабы, которые свернули в пентест и сколько у них ушло времени на въезжание в тему на уровень профи?
 
За 0 Против
Если бы такой вопрос задал ДевОпс, то ему реально за годик набить практики и перейти в пентестеры. А прогеру, хз. Пентест чего: веба(браузер), винды или линукса? Пентестер это по сути матерый юзер\админ, знающий все входы и выходы. Чтобы проникать в системы, надо знать как они строятся, из чего и кем, иначе - никак. Можно хоть годами запускать весь софт из Kali linux, но это уровень скрипт-кидди, работать по кем-то придуманной схеме. Тоже вариант, но тогда получится ломать типовые сетки на винде, и то там надо знать как это все администрировать. Кто же будет писать мануал или софт по работе с той или иной инфраструктурой?

Кодинг здесь не играет большой роли - поможет только автоматизировать какиую-то уже наработанную тактику ну или масштабировать подход. А вот опыт в настройке среды для кодинга, энвайремент, администрирование сервера и пр. - это более ценный опыт в пентесте. Знать где пароли дефолтные, куда как пишутся логи, понимать конфиги, интеграцию софта и пр.

Так что определяйтесь с платформой для начала и становитесь на ноги в любом онлайн тренажере по типу hackthebox.

А вообще уже была такая тема на форуме: https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/61032/
 
Последнее редактирование:
За 0 Против
Пожалуйста, обратите внимание, что пользователь заблокирован
Не стоит, рансом всё, умер.
 
За 0 Против
Пожалуйста, обратите внимание, что пользователь заблокирован
LockBitSupp сказал(а):
Не стоит, рансом всё, умер.
Ну пентест это ведь не только рансом)
Да и нет, он вовсе не умер)
Или это всё же был сарказм ?)
 
За 0 Против
Nosferatu сказал(а):
время.
условно - если уделять занятиям(освоению новых технологий: сканеры, дорки, различные скрипты, методы и т.д. ) от 4 часов в день, то сколько времени уйдет на прокачку скилов для конкурентноспособности? Ясное дело, что сломать какую-нибудь тестовую фигню много ума стоить не будет. Но вот, чтобы зарыться глубоко нужно много чего знать и уметь. Я просто интересуюсь, есть ли разрабы, которые свернули в пентест и сколько у них ушло времени на въезжание в тему на уровень профи?
Ты очень сильно потеряешь по деньгам, программисты получают на работе больше в раза два и геморроя меньше. Пентестер это ручная собачка корпораций, там не нужны профи :)
 
За 0 Против
Тебе будет сложно, потому что образ мышления кодера прямолинеен и логичен. Шаблонный даже, если ты мидл или синиор. Если уперся из-за нехватки знаний, идешь на соф или в доки, и вопрос закрыт.
В пентесте такого нет, там нужна смекалка и куча знаний (хотя бы поверхностных) о различных системах, протоколах, защитах и обходах. Дохуя нелогичных решений, и подводных камней.
Во-вторых - не всегда можно получить результат. Дыры может не быть, а может и не там искал (не верный вектор, или чего-то не заметил). Как повезет, но время потратишь. Как кодера, привыкшего к результату, тебя это будет сильно огорчать, а дальше выгорание и прочее говно... Ну ты в курсе.

Касаемо времени на обучение. Все зависит от твоего бэкграунда и понимания, как работает вообще всё (а не один ебучий фреймворк). Попробуй простые курсы, или лабы hackthebox. Можешь посмотреть видосы, и просто оценить, понимаешь ли ты что там происходит в каждый момент времени. Тогда и решай, надо оно тебе или нет
 
Последнее редактирование:
За 0 Против
pewpewpew да , выгорание из-за фелс позитива это самое тяжелое. Дебагера и трейсбека же нет, работа в слепую и не получается - а почему хз и всегда висит сложный вопрос - стоит ли продолжать или сменить вектор. Можно поднять тестовые стенды и на них тренироваться, но это не пентест, а целевой реверс\фазинг, тоже кстати как вариант более узкой и не менее востребованной специализации
 
Последнее редактирование:
За 0 Против
Nosferatu сказал(а):
всем спасибо, друзья! Как вариант - решил остаться на своем стеке а пентест, в качестве хобби, для души, так сказать) Всем добра!
Кстати, на кодебай есть челик, который начинал с ноля, и он там постил свои сподвижки. Очень даже зачетно, учитывая его ситуацию (бэбиситор). И чел просто упорно идет к этому, потому что интересно. Извини, линков не дам, но ты сможешь найти... А иначе, какой ты пентестер) Удачи
 
За 0 Против
pewpewpew сказал(а):
Кстати, на кодебай есть челик, который начинал с ноля, и он там постил свои сподвижки. Очень даже зачетно, учитывая его ситуацию (бэбиситор). И чел просто упорно идет к этому, потому что интересно. Извини, линков не дам, но ты сможешь найти... А иначе, какой ты пентестер) Удачи
Спасибо) нашел)
 
За 0 Против
Nosferatu сказал(а):
верно.
Но этому государство способствует, я вот наоборот смотрю в сторону пентеста.... только вот не совсем понимаю как в текущей реалии это может пригодиться, многие ИБ компании, они зарубежом

Если ты разработчик и например постоянно работаешь с сетями, то тогда тебе почти вкатываться не придётся в пентест сеток, но если ты хочешь вкатиться в ВАПТ, то тут уже будет нужно очень много учить.
И если ты всё время писал бекенд для сайтов/сервисов, тебе будет легко вкатиться в ВАРТ и трудно в сети....

Программисты они такие, такие как и пентестеры - все разные
 
За 0 Против
whiteDot сказал(а):
Но этому государство способствует, я вот наоборот смотрю в сторону пентеста.... только вот не совсем понимаю как в текущей реалии это может пригодиться, многие ИБ компании, они зарубежом
учитывая положение вещей, появляется все больше вакансий по пентесту и не только. но требования просто запредельные. и все почему-то хотят крутых спецов за 150к в месяц. Но проблема пентеста, как мне кажется( не только в России) в том, что тебе приходиться работать с клиентом и играть по его правилам. Когда ты работаешь в красной команде, тебе расписывают, что ты можешь делать, а что нет. Допустим, ты можешь проникать в сеть любым способом, кроме беспроводной. Или ты не можешь использовать фишинг или социальную инженерию. Вот в чем проблема. Особенно когда ты переключаешься с блэка на уайт, В блеке ты сам себе начальник, сам себе указ и сам себе ангел-хранитель. Для этичного пентеста нужны еще и стальные нервы, чтоб не поддастся соблазну.
 
За 0 Против
Nosferatu сказал(а):
учитывая положение вещей, появляется все больше вакансий по пентесту и не только. но требования просто запредельные. и все почему-то хотят крутых спецов за 150к в месяц. Но проблема пентеста, как мне кажется( не только в России) в том, что тебе приходиться работать с клиентом и играть по его правилам. Когда ты работаешь в красной команде, тебе расписывают, что ты можешь делать, а что нет. Допустим, ты можешь проникать в сеть любым способом, кроме беспроводной. Или ты не можешь использовать фишинг или социальную инженерию. Вот в чем проблема. Особенно когда ты переключаешься с блэка на уайт, В блеке ты сам себе начальник, сам себе указ и сам себе ангел-хранитель. Для этичного пентеста нужны еще и стальные нервы, чтоб не поддастся соблазну.
Как мистер робот решил сразу корпорации хакать? начни с чего-то полегче.... не надо тянуться сразу к звёздам. Для того, чтобы стать оператором красной команды, нужно провести много времени за реверсом и написанием эксплойтов.
И где-то в книге прочитал, что хакер - это программист который виртуозно пишет код. Я не понимаю как вообще многие тут на форуме пытаются стать хакером непрочитав даже пару книг..... хотя если они хотят встать на этот путь, это следует делать постоянно.
 
За 0 Против
Как кодер который на этом пути и у которого в дев опс было знаний вообще 0. Скажу что что это писец как тяжко. Оно вообще все новое другое и малопонятное, часто сталкиваешся с ситуациями когда непонятно что не так и даже не ясно с чего и как начинать разбор проблемы. Начинаешь сетку и сталкиваешся с чем то, разбираешь проблему, кодишь ее обход что бы не ручками а автоматом, и так постоянно. В каком то смысле утешает что ты постоянно что то пилишь сталкиваясь с новыми затыками, значит прогресс идет. Очень много надо делать самому, ну или знать где купить и иметь деньги на покупку. Если не умеешь в лов левел код ждут тебя хождения по мукам, типа чем дампить лсасс, как обойти то и это, где найти честного партнера. Но вообще для кодера эта тема чуждая и от того муторно тяжелая. По началу казалось что раз у меня есть набор инструмов и понимание как не бодатся с ав, еще я могу сам делать недостающие инструмы то будет не сильно сложно, но нет - это сложно.
 
За 0 Против
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх