#heheszki #raspberrypi #pentester
Wszystko
Wszystkie
Archiwum
robekk1978
robekk1978
- 5
Mirki mamy jakiegoś pentestera tutaj? Mam kilka pytań #cybersecurity #bezpieczenstwo #pentesting #pentester #hacking
wacek_1984
wacek_1984
- 0
@dzikaswinia1: wołam @KacperSzurek
lolen
lolen
- 0
@dzikaswinia1: to je zadaj ( ͡° ͜ʖ ͡°)
Czy praca jako #pentester to w większości testowanie czy aplikacje itd. są podatne na ogólnie znane błędy bezpieczeństwa wcześniej gdzieś opisane czy może to w większości przypadków dużo bardziej kreatywne zajęcie tylko dla ludzi z ponadprzeciętną inteligencją?
#hacking #bezpieczenstwo #pentesting #security #niebezpiecznik #zaufanatrzeciastrona @Gynvael @niebezpiecznik-pl @ZaufanaTrzeciaStrona
#hacking #bezpieczenstwo #pentesting #security #niebezpiecznik #zaufanatrzeciastrona @Gynvael @niebezpiecznik-pl @ZaufanaTrzeciaStrona
To zalezy :-) scislych ram nie ma (przynajmniej u nas). Choc glownie sa to pentesty aplikacji webowych na dzien dzisiejszy, to w ramach pentestow realizujemy takze audyty kodu zrodlowego (reczne inautomatyczne), testy sieciowe (zarowno zewnetrzne jak i wewnetrzne polaczone z analiza konfiguracji i "hardeningiem"), ataki socjotechniczne (zupelnie inny zestaw umiejetnosci jest tu kluczowy) oraz testy wydajnosciowe (czyt. Ataki DDoS). Czesto w ramach wyzej wymionionych natrafiamy na jakis "problem"/anomalie, gdzie trzeba do umiejetnosci
- 8
Przydało by się, żeby wypowiedział się ktoś, kto faktycznie pentestami zajmuje się na co dzień. Coś tam postaram się napisać, natomiast od kilku lat pentesty robię sporadycznie (siedzę raczej w security research / bug hunt).
EDIT: Widzę, że @niebezpiecznik-pl też napisał - good :)
Ad meritum:
Generalnie dużo zależy od konkretnego klienta/zlecenia, przy czym mam wrażenie, że w większości przypadków najważniejszym wymaganiem jest solidna wiedza z najpopularniejszych klas błędów w danej technologi, z której korzysta klient, wspomagana np. listą znalezionych wcześniej i publicznie znanych błędów. Plus umiejętność wykorzystania tej wiedzy (czasem bardzo kreatywnego). Oraz oczywiście znajomość samej metodyki przeprowadzania pentestów + etyki z nimi związanej. To w zasadzie jest taki próg wejścia.
A potem z jednej strony to kwestia doświadczenia - ilości technologii poznanych, nabycia umiejętności przenoszenia potencjalnych ataków między technologiami przez analogię (o ile to możliwe oczywiście), a także zrozumienia, że klasy błędów to jedynie to, co zostało sklasyfikowane (a więc oprócz nich istnieje cała masa potencjalnych problemów z bezpieczeństwem, które są unikatowe dla danego przypadku i raczej nigdy nie zostaną sklasyfikowane jako oddzielna/istotna
EDIT: Widzę, że @niebezpiecznik-pl też napisał - good :)
Ad meritum:
Generalnie dużo zależy od konkretnego klienta/zlecenia, przy czym mam wrażenie, że w większości przypadków najważniejszym wymaganiem jest solidna wiedza z najpopularniejszych klas błędów w danej technologi, z której korzysta klient, wspomagana np. listą znalezionych wcześniej i publicznie znanych błędów. Plus umiejętność wykorzystania tej wiedzy (czasem bardzo kreatywnego). Oraz oczywiście znajomość samej metodyki przeprowadzania pentestów + etyki z nimi związanej. To w zasadzie jest taki próg wejścia.
A potem z jednej strony to kwestia doświadczenia - ilości technologii poznanych, nabycia umiejętności przenoszenia potencjalnych ataków między technologiami przez analogię (o ile to możliwe oczywiście), a także zrozumienia, że klasy błędów to jedynie to, co zostało sklasyfikowane (a więc oprócz nich istnieje cała masa potencjalnych problemów z bezpieczeństwem, które są unikatowe dla danego przypadku i raczej nigdy nie zostaną sklasyfikowane jako oddzielna/istotna
12
A może by tak obrabować bank?
Opowieść pentestera, który atakował banki... Za Schneierem...
z- 2
- #
- #
- #
- #
- #
- #
- #