Kezdő útmutató | Hogyan válhatnak etikus hackerekké

Unod már, hogy végtelen híreket olvas az etikus hackelésről, és nem igazán tudja, mit jelent ez? Cseréljük meg!

Ez a bejegyzés azoknak az embereknek szól, akik:

  • Nincs tapasztalata a kiberbiztonsággal (hackelés)
  • Korlátozott tapasztalattal rendelkezik.
  • Azok, amelyek csak nem tudnak eltörni

Oké, merüljünk el a postaba, és javasoljunk néhány módszert a kiberbiztonság terén.

Számos e-mailt kapok arról, hogyan lehet hackerekké válni. „A kezdődő vagyok a hackeléshez, hogyan kell elkezdeni?” Vagy „Szeretném feltörni a barátom Facebook-fiókját” a leggyakoribb kérdések. Ebben a cikkben megpróbálom megválaszolni ezeket és még sok más. Részletes technikai utasításokat adok arról, hogyan kezdjük el kezdőként, és hogyan fejlődhessünk, ha több ismeretet és szakértelmet szerezzünk a területen. A hackelés készség. És nem szabad elfelejtenie, hogy ha csak a barátja Facebook-fiókjába vagy e-mailjébe történő becsapódás kedvéért akarsz tanulni a hackelést, akkor a dolgok nem fognak helyedbe kerülni. Hacsak a technológia iránti kedve és a számítógépes rendszerek szakértője iránti vágya, úgy dönt, hogy megtanulja a hackelést. Itt az ideje, hogy megváltoztassa a sapka színét

Jó részesedésem volt a kalapokban. Fekete, fehér vagy néha szürkés árnyalatú. Minél sötétebb lesz, annál szórakoztatóbb. -MakMan

Bevezetés!

Először is, csak állapodjunk meg arról, hogy a „karrier a kiberbiztonságban” kifejezés kicsit olyan, mint a „karrier a banki szolgáltatásokban”, azaz esernyő kifejezés, amely tucatnyi rést foglal magában az iparban. A kiberbiztonságban például beszélhetünk a digitális kriminalisztikáról mint karrierről, vagy a rosszindulatú szoftverek / szoftverek felismeréséről, ellenőrzéséről, teszteléséről, szociális tervezéséről és sok más karrier-pályáról. A kiberbiztonság ezen alkategóriáinak mindegyike külön blogbejegyzést érdemel, de ennek a cikknek a céljaira összpontosítsunk néhány fontos általános követelményre, amelyekre mindenkinek szüksége van, mielőtt az informatikai biztonságban sikeres karriert kezdenénk.

Ha nincs tapasztalata, ne aggódjon. Mindannyian valahol kellett indulnunk, és mindannyian segítségre volt szükségünk ahhoz, hogy ma odaérjünk. Senki sem sziget, és senki sem születik minden szükséges készséggel. Period.OK, tehát nulla tapasztalattal és korlátozott képességekkel rendelkezik ... ebben az esetben azt tanácsolom, hogy tanítson magának néhány abszolút alapot.

Kezdődjön a buli.

1. Mi a hackelés?

A hackelés valamely rendszer gyengeségeinek és sebezhetőségének azonosítását és az ahhoz való hozzáférés megszerzését jelenti.

A hackerek jogosulatlan hozzáférést kapnak egy célzó rendszerrel, míg az etikus hackerek törvényes és törvényes módon hivatalos engedéllyel rendelkeznek a célrendszer (ek) biztonsági testtartásának felmérésére.

Vannak bizonyos típusú hackerek, egy kicsit a „terminológia”.
Fehér kalap - etikus hacker.
Fekete kalap - klasszikus hacker, jogosulatlan hozzáférést kaphat.
Szürke kalap - olyan személy, aki illetéktelen hozzáférést kap, de feltárja a gyengeségeket a vállalat számára.
Script kiddie - műszaki ismeretek nélküli ember csak előre készített eszközöket használt.
Hacktivista - olyan személy, aki felveszi az ötletet és üzeneteket hagy. Például sztrájk a szerzői jogok ellen.

Valójában az etikus hackelés célja az, hogy felfedje a vállalat rendszerének gyengeségeit és sebezhetőségét, hogy kijavítsák azokat. Az etikus hackerek dokumentálnak mindent, amit tett.

2. Az etikus hackerekké váláshoz szükséges készségek.

Mindenekelőtt a büntetés végrehajtásához hajlandó folyamatosan tanulni új dolgokat menet közben vagy gyorsan otthon. Másodszor, legalább egy kódoló / szkriptnyelvnek alapvető ismeretekkel kell rendelkeznie, valamint meg kell értenie a hálózati és webbiztonságot.

Tehát itt van néhány lépés, ha mostantól szeretne kezdeni ...

  1. Tanuld meg kódolni (programozás).
  2. Megérteni az operációs rendszer alapfogalmait
  3. A hálózatépítés és a biztonság alapjai
  4. Jelölés és a lehető legtöbb technológia!

3. Milyen platformot kell kódolni: -

Ez attól függ, hogy milyen platformon fog dolgozni. Webes alkalmazásokhoz javaslom HTML, PHP, JSP és ASP ismereteit. Mobil alkalmazásokhoz próbáljon ki Java (Android), Swift (iOS), C # (Windows Phone) lehetőséget. Asztali szoftverekhez próbáljon ki Java, C #, C ++ szoftvert.

A Python-ot is szeretném ajánlani, mert az általános nyelv, és manapság egyre népszerűbb, hordozhatóságának köszönhetően.

De minden programozási nyelvhez valóban szükség van a programozás alapjainak, az olyan fogalmak megismerésére, mint az adattípusok, a változó manipuláció a program egészében az operációs rendszer szintjén, az alprogramok vagy más funkciók használatához. Ha ezeket megtanulod, ez nagyjából megegyezik minden programozási nyelvvel, néhány szintaxisváltoztatás kivételével.

ProTips: -

  1. Bármely programozási nyelv szakértője legyen, megértse az adott nyelv operációs szintű műveleteit (különböző fordítókonként eltérő) vagy tanulja meg az összeszerelési nyelvet általánosabbá
  2. Ne tegye magasra a reményeit, ha rövid idő alatt nem ér el eredményeket. Jobban szeretem a „Miyagi” tanulási stílust. Tehát motiváld magad arra, hogy mi következik.
  3. Soha ne becsülje alá a hálózati és rendszergazdák hatalmát. Ők tehetik * hipotetikus * rabszolgává vállalati infosec környezetben

Az induláshoz szükséges erőforrások:

Szeretnék megosztani néhány olyan forrást, amelyekre a legjobban találtam a nulláról történő tanulás során.

Van egy teljes lista az általad létrehozott forrásokról (https://github.com/husnainfareed/Resources-for-learning-ethical-hacking/)

További tanácsok ... Rendszeresen kövesse a http://h1.nobbd.de/ oldalt a HackerOne nyilvános hibajelentésekkel frissítve. Sokat tanulhat tőlük, kövesse a https://www.owasp.org/index.php/Cat… oldalt.

Alternatív megoldásként csatlakozhat a hackerek Slack közösségéhez

https://bugbounty-world.slack.com/

https://bugbountyforum.com/

Szintén fontolóra kell vennie a készségek gyakorlását

http://www.itsecgames.com/

http://www.dvwa.co.uk/

http://www.vulnerablewebapps.org/

http://hackyourselffirst.troyhunt.com/

https://github.com/s4n7h0/xvwa

http://zero.webappsecurity.com/

http://crackme.cenzic.com/kelev/view/home.php

http://demo.testfire.net

https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project

HackerOne nyilvános jelentések!

Ezek a jelentések segíthetnek srácoknak, hogy alapos képet kapjanak a BugBounty vadászatáról ...

HackerOne Public Reports.csv

Néhány megjegyzendő szempont:

  • Öntanuló: Miért? Mivel anélkül nem fog tanulni olyan dolgokról, amelyeket megtapasztal, nem fogja tudni megoldani a problémáit.
  • Nevelje magát minden nap: olvassa el cikkeket, felírásokat, videókat vagy diákat saját magának oktatása érdekében
  • Ismerje meg a célt, mielőtt folytatná, győződjön meg róla, hogy ismeri a célt. Időt töltsön be a céljának azonosításába, és azonosítsa a cél által használt szolgáltatásokat.
  • Térkép a cél: jobb képet kap a cél infrastruktúrájáról annak érdekében, hogy jobban megértse, mit céloz.
  • Sétálj az ösvényen, amellyel senki sem jár: Ne legyél ott a közönséges srác. Gondoljon a dobozból, gondoljon arra, mit hagyott ki a fejlesztő, és gondoljon arra, hogy a közönséges srácok mit céloznak, attól függően, hogy melyik utat választja.
  • Legyen ninja: Gyorsnak és pontosnak kell lennie, mint nindzsa. Tudja, térképezze, pontosan és gyorsan célozza meg az áldozatát. Ez csak akkor működik, ha jó vagy, ha más utat beszélsz, és ha egyedi vagy.

Ha többet szeretne tudni a Reconról és a Bug Bounty üldözéséről, olvassa el ezt a cikket: „Hogyan kell a felderítést megfelelően elvégezni, mielőtt egy Bug Bountyot üldözi”.

Reméljük, hogy életed végéig nem fogja feketelistára venni ezt a posztot. Nagyon sok érdekes dolgom van. Szia.

Ha tetszett ez a történet, kérjük, kattintson a gombra, és ossza meg, hogy mások megtalálják. Nyugodtan kommentálhatsz.