#pentesting - strona 2

Wszystko

Najnowsze

Archiwum

24.10.2021, 09:25:32 via Zakop

Uczę się #pentesting #security

Odpaliłem sobie lokalnie https://github.com/ScaleSec/vulnado i sprawdzam różne wektory ataków (na pewno jest możliwe xss, sql injection, xsrf, rce reverse shell. Do tych jest załączony konspekcik). Próbuję też naprawić appkę np użyć do przechowywania jwt ciasteczek httpOnly zamiast local storage.

Myślę że taki sposób nauki da dużo więcej niż samo czytanie czy oglądanie filmików. Znacie jeszcze jakieś projekty, na których można praktykować? Najlepiej jakby były

l.....c

konto usunięte 24.10.2021, 10:49:42 via Wykop Mobilny (Android)

@wpoldokomina: tu jest lista różnych dziurawych VM, ale może są dostępne warianty dockerowe: https://owasp.org/www-project-vulnerable-web-applications-directory/

D.....n

konto usunięte 24.10.2021, 12:03:38

@wpoldokomina: hackthebox(darmowe maszyny co pewien czas) i sekurak miał też

wpoldokomina

22.10.2021, 23:03:05 via Zakop

Jaki sens mają studia czy kursy security skoro to jest bardzo interdyscyplinarna dziedzina? Wydaje mi się, że trzeba mieć w małym palcu programowanie i sieci, a i z linuxem trzeba być za pan brat. Jeśli powyższe jest prawdziwe, to znaczy że jest to raczej działka dla byłych devów (zwłaszcza pentesting), którzy chociaż wiedzą jak działają aplikacje od podszewki, aniżeli ludzi po jakimś kursie czy studiach.

#security #pentesting #

j.....6

konto usunięte 22.10.2021, 23:23:45

Komentarz usunięty przez autora

y.....l

konto usunięte 23.10.2021, 08:08:50

@wpoldokomina:
Studia są ważne i warto je skończyć, ja skończyłem inne studia inżynierskie, podobno hardkorowe. Były bardzo ciekawe, rozwinąłem moją pasję, ale żałuje, że nie wybrałem informatyki. Z powodu moich braków w wiedzy teoretycznej, którą musiałem uzupełniać we własnym zakresie.

Więc tak.
1. Można iść od juniora na security i się douczać w trakcie np. programowania aplikacji internetowych jeżeli chcesz się w tym specjalizować.
2. Nie musisz mieć 10+ lat doświadczenia w 15

DominiCanes

08.10.2021, 14:21:41

Hej Mirki,
Czy ktoś pomógłby w doborze narzędzi co do inżynierki?
Poproszę priv ;)
#pentest #pentesting #cyberbezpieczenstwo

DominiCanes

08.10.2021, 17:29:39

@DajToMi: szkoda Miras, że na priv nie moge napisac. Na pewno nie aplikacji webowych, bo mam tylko ksiazke od sekuraka. Zastanawiam sie nad zastosowaniem wiresharka, hydry, burp suite i napisanie wlasnego exploita w pythonie (główna część).

DajToMi

08.10.2021, 17:49:00

@DominiCanes: priv odblokowany, pisz

p.....1

konto usunięte 23.09.2021, 17:40:02

#cyberbezpieczenstwo #cybersecurity #bezpieczenstwo #pentesting

Certyfikat, który zdaje się przez 24h zdalnie. Można wykupić dostęp do kursów na tej platformie w postacie abonamentu na 3/6/więcej miesicy.
Co to było? Może ktoś kojarzy.

Nie zanotowałam sobie w zakładce, jeden Mirek mi o tym mówił.

@ponczek721: OCSP?

Komentarz usunięty przez autora

qwertynq88

27.08.2021, 19:07:36

Dlaczego na popularnych portalach z pracą w IT jest stosunkowo mało pracy dla juniorów #security ? W porównaniu do #programowanie to zaledwie kilka ofert. Czy rynek wygląda tak, że trudno się załapać do pierwszej pracy komuś spoza branży?
Jeszcze nie tak dawno czytałem różne artykuły, ze specjalistów od bezpieczeństwa potrzebują coraz więcej, więc juniorów chętnie się szuka.

Próbowałem wcześniej programować, ale to nie dla mnie, dużo bardziej podobają

cecyl

27.08.2021, 19:16:15

@qwertynq88: 99% firm w Polsce ma gdzieś bezpieczeństwo to i mało ofert

LubieSzaszylkiZLublina

27.08.2021, 19:17:41 via Wykop Mobilny (Android)

@cecyl: nie tylko w Polsce :P No ale to smutna prawda.

TestoPowroci

15.08.2021, 20:20:30

Siema mircy.

Czas ogrnąć życie.

Jestem front-end developerem od 2 lat, w-----a mnie ta praca niemiłosiernie, jest nudna i wypalam się w niej (pomimo w miarę dobrego hajsu).
Zainteresowałem się kilka tygodni temu CTFami. Kilka flag znalazłem, kilka boxów zhakowałem, kilka filmów o hakierach obejrzałem i podjąłem męską decyzje że w to chcę iść na ostro.

AjentSzprot

16.08.2021, 19:39:48

@TestoPowroci: no tak, ale proces rekrutacji deva != proces rekrutacji przyszłego pentestera (i jego pochodnych). Rozmowy rekrutacyjnej i tak nie będziesz w stanie pominąć, nawet jakbys miał OSCP, CEH, CISSP i nie wiem co tam jeszcze. Samym certyfikatem nikogo nie przekonasz. Tak jak napisał @AusserKontrolle firma później i tak Ci opłaci taki certyfikat jak będziesz chciał, a wiedza nabyta podczas testu nie przyda Ci się aż tak bardzo w

AusserKontrolle

17.08.2021, 15:56:17

@TestoPowroci: Mam rok stażu zaledwie, ale nie chce mi się więcej pisać do osoby która jak widać już podjęła decyzje i szuka potwierdzenia. O porównywaniu bądź co bądź dwóch bardzo różnych rynków nie wspominam

Życze powodzenia.

Stivo75

26.05.2021, 11:03:23 via Wykop Mobilny (Android)

Chciałbym zgłębić swoją wiedzę dotyczącą testów penetracyjnych systemów opartych o autonomiczne mechanizmy wykrywania włamań bazujące na heurestyce (AI). Z cloudflare sobie radzę, ale są lepsze systemy. Co polecacie w tej materii aby bez problemu penetrować ejpijaje dostawców usług finansów którzy pośredniczą w przelewach do Afryki z UK?
#programowanie #osint #pentesting

K.....a

konto usunięte 05.03.2021, 00:18:50

Co 1?
#programowanie #pentesting

Co pierwsze

nauka Python- docelowo exploit 54.5% (12)
Narzędzia kaliego 45.5% (10)

Saly

05.03.2021, 00:27:36

@Koniec_przegrywania: wszystkiego się ucz. Na tym polega działka security: musisz znać dosłownie wszystko z danej dziedziny, żeby ogarniać. Z tych dwóch to raczej wybrałbym python, bo język programowania na pewno bardziej poszerzy twoje horyzonty niż jakieś narzędzia z kali linuxa

K.....a

konto usunięte 05.03.2021, 00:46:17

@Saly: mam wlasnie mętlik w głowie. Zdaję sobie sprawę, że każda dziedzina się liczy tylko nie wiem od czego zacząć. Na THM wchodzę w roomy początkujące i linuxa. Mam rozgardiasz na czaszce

K.....a

konto usunięte 23.02.2021, 21:56:01

Poszukuję opini odnośnie tryhackme.com
Ktoś może miał styczność? Zastanawiał się nad wykupem subskrypcji
Z kolei networkchuck poleca (sponsorowane ma odcinki) itpro.tv
Może ktoś z Was Mirki miał styczność i będzie potrafił doradzić
#programowanie #security #programista15k #pentesting

Edit: na reedicie są pochlebne opinie

PseudoProgramista

23.02.2021, 22:14:41

@Koniec_przegrywania: Nie chce się kłócić, zrobisz jak uważasz. Ale czemu wchodzić w coś co jest mało znane zamiast wybrać hackthebox ? I pytasz się kolesia na Twitchu o to czy coś poleci jak przecież napisałem ze zapewne sponsorowane wiec zapewne zapłacili za reklamę

Ulq_

24.02.2021, 12:16:02

@Koniec_przegrywania: kiedyś oglądałem kurs na itpro.tv, z tego co pamiętam jest jakiś trial za darmo który wystarczył mi na obejrzenie kursu którym byłem zainteresowany. Fajnie poprowadzony, troche jak tv show ale niewiele się z z tego nauczyłem

K.....a

konto usunięte 31.01.2021, 17:20:13

Czy w pracy inżynierskiej z zakresu pentestingu mogę wrzucić teorię z inżynierii oprogramowania jeżeli tylko wykorzystam skrypt pythona (laczy sie z wybranym portem i nasluchuje) oraz exploit w pythonie? Usunę po otrzymaniu odp :)

Bo na 90% jestem przekonany, że nie

#python #programista15k #programowanie #itsecurity #pentesting

Czy mogę wykorzystać teorię

TAK 75.0% (15)
NIE 25.0% (5)

mprzemo

31.01.2021, 17:27:02

@Koniec_przegrywania: pytaj promotora niech za nic hajsu nie bierze.

mprzemo

31.01.2021, 17:55:38

@Koniec_przegrywania: z doświadczenia wiem, że można napisać zajebistą pracę bez promotora ale później siedzi i wymyśla byle obniżyć ocenę. Pytaj nawet jak się nie dowiesz to będziesz miał podkładkę, że pytanie było zadane.

neederland

22.11.2020, 18:04:38

Yubico ma promocje z okazji Black Friday - yubico.com
Podstawowy model, niebieski NFC, obniżono o 50% (rabat nalicza się w koszyku). Do tego doliczcie wysyłkę w cenie €5 i podatek. Dla przykładu koszt dwóch kluczy z wysyłką ze Szwecji do Polski to €36.88 (~165 PLN), co dalej jest świetną ceną w porównaniu do serwisów aukcyjnych/sklepów online.

Dlaczego warto korzystać z takiego klucza do zabezpieczenia swojej firmowej (a także prywatnej) skrzynki email i innych kont

MercedesBenizPolska

22.11.2020, 18:46:24 via iOS

@neederland: Świetna sprawa, mam 2szt. Jeden przy kluczach, drugi skitrany w szafie pancernej i jest git :)

123admin

17.10.2020, 09:30:24

Przez przejście na zdalne w #studbaza mam więcej czasu i chciałbym go dobrze wykorzystać. Wymyśliłem, że przygotuję się pod jakiś konkretny certyfikat. Moglibyście jakiś polecić? Ewentualnie może macie jakieś wskazówki? Mam otwartą głowę na różne rozwiązania, a certa wymyśliłem, by pouczyć się czegoś konkretnego.
#pentesting
#informatyka
#hacking
#security
#bezpieczenstwo

@123admin: ccna?

@Dapson: @123admin: CySA+ to może niekonicznie, bo jest trudniejszy od Sec+ i wymaga też sporej wiedzy z zakresu analizy logów. Jako sam materiał do nauki - spoko, ale na start, jeśli myślisz o uzyskaniu certu, to Sec+ daje i jakąś podstawową wiedzę i rozpoznawalność, a koszt nie jest zaporowy. Możesz też za chyba $500 zrobić eJPT od eLS.

Lawsuit

02.10.2020, 19:48:52

Potrzebuje jakichś materiałów do przyskillowania angielskiego, ucze się w branży pentesterskiej, 99% nauki to czytanie po angielsku, potrzebuje go ogarnąć jeszcze lepiej aby zwiększyć efektywność

#security
#hacking
#pentesting
#infromatyka

D.....n

konto usunięte 02.10.2020, 19:52:45

@Lawsuit: reddit/raporty z pentestow. Polecam ostatnic cykl od @imlmpe

D.....n

konto usunięte 02.10.2020, 20:29:21

@Dapson: https://pentesting.mrugalski.pl/ tutaj mozna sie dopisac

L.....e

konto usunięte 30.09.2020, 20:47:55

Po roku udało mi się zdać egzamin eCPPT! ( ͡° ͜ʖ ͡° )つ──☆*:・ﾟA tak naprawdę po połowie, ponieważ zapomniałem, że muszę napisać pracę dyplomową na studia i trzeba było zatrzymać pociąg zanim na dobre ruszył.
Od końca kwietnia więc siedziałem i kułem przepisując sobie do zeszytów co ważniejsze polecenia i objaśnienia, a także robiąc cheatsheet najczęściej wykorzystywanych poleceń. Długo nie gadać

wutermelon

01.10.2020, 06:35:32

@LongWayHome: Gratuluję! Jeśli chodzi o buffer overflow to polecane są kursy TCMa i Tib3riusa. Oba na udemy po jakieś 40 zł. Jak planujesz przygotowania do OSCP to możesz sobie zobaczyć try hack me - konkurencja dla HTB. Mają tam dedykowaną ścieżkę pod OSCP, która się zowie Offensive Pentesting, ale dostęp do niej jest tylko dla subskrybentow ($10). Do tego też otworzyli dodatkowy lab ze środowiskiem AD z tutorialem. ELS testuje

5da4266d3de6dbaf425a2d4fc16225d0

01.10.2020, 18:45:57

@LongWayHome: ( ͡° ͜ʖ ͡°)

Naruszenie poczty elektronicznej SANS Institute

Wyciekło 28 000 rekordów użytkowników.

z dodany: 12.08.2020, 17:35:54

Łamanie haseł w chmurze, wypożyczamy GPU na godziny!

Wielu początkujących pentesterów nie ma pod ręką mocy obliczeniowej, pozwalającą na swobodne łamanie haseł. Jak tanio stworzyć takie gdy zaczynamy przygodę z hackingiem/pentestami i nie mamy paru tysięcy na karty graficzne?

z dodany: 27.07.2020, 07:36:34

AnonimoweMirkoWyznania

12.07.2020, 12:59:28 via AMWv2

#anonimowemirkowyznania
Pytanie do wszystkich z #cybersecurity #cyberbezpieczenstwo #hacking #pentesting #pracait

Od 8 miesięcy ucze się pentestów aplikacji webowych. Zrobiłem parę kursów, uzupełniam wiedzę na bieżąco i robie jakieś zadania z hackthebox i innych podobnych stron. Czasami jakieś CTF'y się trafią to podłubię. Tutaj jednak pojawia się jednak problem. Jak znaleźć pracę? Jak szukałem pracy jako programista to zalałem swoim CV wszystkie

checklogin

12.07.2020, 13:11:43

@AnonimoweMirkoWyznania: myślisz, że po 8 miesiącach robienia czasami ctf'ów jesteś gotów do pracy jako pentester?xD Same podstawy sqli czy xss nie są wystarczające, a co do bug bounty, to się z tobą nie zgodzę, a jak nie potrafisz znaleźć żadnego błędu w programie publicznym, to jest dla ciebie sygnał, że tak naprawdę mało jeszcze wiesz i trzeba się jeszcze dokształcić/

warning_sign

12.07.2020, 14:08:16

@checklogin: To nadal nie jest odpowiedź na zadane przez opa pytanie. Ujął ważną rzecz. Security jest fajne ale w Polsce raczkuje i osobiście nie pchałbym się w to. Lepiej zostać przy klepaniu kodu. Mało ambitne, ale za wiele do roboty w It w Polsce nie ma.

Sherlock czyli oprogramowanie przydatne przy rekrutacjach

Jak szybko i automatycznie sprawdzić profile osób za pomocą Sherlocka? Tak tutaj idę bardziej w stronę zastosowań, które są powiedzmy, że są legalne. Każde oprogramowanie "hakersie" ma dwie strony. Możemy go użyć do dobrych celów, a możemy do złych.

z dodany: 05.07.2020, 09:57:30