Mirki mamy jakiegoś pentestera tutaj? Mam kilka pytań #cybersecurity #bezpieczenstwo #pentesting #pentester #hacking
Wszystko
Wszystkie
Archiwum
@dzikaswinia1: wołam @KacperSzurek
Czy praca jako #pentester to w większości testowanie czy aplikacje itd. są podatne na ogólnie znane błędy bezpieczeństwa wcześniej gdzieś opisane czy może to w większości przypadków dużo bardziej kreatywne zajęcie tylko dla ludzi z ponadprzeciętną inteligencją?
#hacking #bezpieczenstwo #pentesting #security #niebezpiecznik #zaufanatrzeciastrona @Gynvael @niebezpiecznik-pl @ZaufanaTrzeciaStrona
#hacking #bezpieczenstwo #pentesting #security #niebezpiecznik #zaufanatrzeciastrona @Gynvael @niebezpiecznik-pl @ZaufanaTrzeciaStrona
To zalezy :-) scislych ram nie ma (przynajmniej u nas). Choc glownie sa to pentesty aplikacji webowych na dzien dzisiejszy, to w ramach pentestow realizujemy takze audyty kodu zrodlowego (reczne inautomatyczne), testy sieciowe (zarowno zewnetrzne jak i wewnetrzne polaczone z analiza konfiguracji i "hardeningiem"), ataki socjotechniczne (zupelnie inny zestaw umiejetnosci jest tu kluczowy) oraz testy wydajnosciowe (czyt. Ataki DDoS). Czesto w ramach wyzej wymionionych natrafiamy na jakis "problem"/anomalie, gdzie trzeba do umiejetnosci
Przydało by się, żeby wypowiedział się ktoś, kto faktycznie pentestami zajmuje się na co dzień. Coś tam postaram się napisać, natomiast od kilku lat pentesty robię sporadycznie (siedzę raczej w security research / bug hunt).
EDIT: Widzę, że @niebezpiecznik-pl też napisał - good :)
Ad meritum:
Generalnie dużo zależy od konkretnego klienta/zlecenia, przy czym mam wrażenie, że w większości przypadków najważniejszym wymaganiem jest solidna wiedza z najpopularniejszych klas błędów w danej technologi, z której korzysta klient, wspomagana np. listą znalezionych wcześniej i publicznie znanych błędów. Plus umiejętność wykorzystania tej wiedzy (czasem bardzo kreatywnego). Oraz oczywiście znajomość samej metodyki przeprowadzania pentestów + etyki z nimi związanej. To w zasadzie jest taki próg wejścia.
A potem z jednej strony to kwestia doświadczenia - ilości technologii poznanych, nabycia umiejętności przenoszenia potencjalnych ataków między technologiami przez analogię (o ile to możliwe oczywiście), a także zrozumienia, że klasy błędów to jedynie to, co zostało sklasyfikowane (a więc oprócz nich istnieje cała masa potencjalnych problemów z bezpieczeństwem, które są unikatowe dla danego przypadku i raczej nigdy nie zostaną sklasyfikowane jako oddzielna/istotna
EDIT: Widzę, że @niebezpiecznik-pl też napisał - good :)
Ad meritum:
Generalnie dużo zależy od konkretnego klienta/zlecenia, przy czym mam wrażenie, że w większości przypadków najważniejszym wymaganiem jest solidna wiedza z najpopularniejszych klas błędów w danej technologi, z której korzysta klient, wspomagana np. listą znalezionych wcześniej i publicznie znanych błędów. Plus umiejętność wykorzystania tej wiedzy (czasem bardzo kreatywnego). Oraz oczywiście znajomość samej metodyki przeprowadzania pentestów + etyki z nimi związanej. To w zasadzie jest taki próg wejścia.
A potem z jednej strony to kwestia doświadczenia - ilości technologii poznanych, nabycia umiejętności przenoszenia potencjalnych ataków między technologiami przez analogię (o ile to możliwe oczywiście), a także zrozumienia, że klasy błędów to jedynie to, co zostało sklasyfikowane (a więc oprócz nich istnieje cała masa potencjalnych problemów z bezpieczeństwem, które są unikatowe dla danego przypadku i raczej nigdy nie zostaną sklasyfikowane jako oddzielna/istotna
A może by tak obrabować bank?
Opowieść pentestera, który atakował banki... Za Schneierem...
z- 2
- #
- #
- #
- #
- #
- #
- #
źródło: comment_1650750764TkRpKUoy2o7d4YCRutt09x.jpg
Pobierz