Что выбрать по пентесту: курс или практика?

Question

[Twee1K9]

Всем здравствуйте!

Решил начать обучаться тому как проводить тестирование безопасности WEB'а.
И вот, у меня стоит выбор, курс по пентестингу "белый хакер" или практика на сайтах по типу hackthebox, попутно самому изучая информацию из различных источников.

Мои знания сейчас это базовые знания Linux (прочел книгу на 400 страниц по основам linux) и базовые знания сетей (прошел курс сети для самых маленьких). Посоветуйте что по вашему мнению и опыту лучше подходит для обучения.

P.S. Английского не знаю, только начал изучать

Comments

[Everything_is_bad]

базовые знания Linux (прочел книгу на 400 страниц по основам linux)

это не базовые знания, без практики это нулевые знания

[Twee1K9]

Everything_is_bad, Спасибо за комментарий. Практика была, все что было в книге, я использовал на реальной ОС

[alexalexes]

Практика - это, в смысле, поработать 3-5 лет в администрировании сетей/ОС, а потом уже думать про аспекты безопасности или тестирования.
Безопасники на курсах не создаются, они образуются только при такой практике.

[Pavelsha]

Опасно тратить на это 3–5 лет. Это может затянуть (найдет вытянутый свитер, отрастит бороду, начнет пить Гиннесс), и мы потеряем перспективного специалиста в области информационной безопасности.

По теме: в сфере информационной безопасности тоже есть позиции стажёров и junior-специалистов. Какой у вас опыт и знания? Почему вы решили изучать тестирование безопасности веб-приложений? Это только из-за денег и популярности этой темы или у вас действительно есть интерес к этому?

Советую посмотреть фильмы «Джонни-мнемоник» с Киану Ривзом и «Хакеры» с Анджелиной Джоли. Может Эти фильмы помогут вам понять, что на самом деле всё будет совсем не так, как в кино.

[Twee1K9]

pavelsha, Здравствуйте, спасибо за ответ. Интерес к пентестингу действительно есть, и возник он не из за фильмов (я их не смотрю). Опыта в этой сфере у меня нет, только решил начать учиться по этому направлению.

[Zanak]

и теория и практика нужны. где их брать - это отдельный вопрос.
хакеров ни кто не готовит - просто нет такой профессии. есть специалисты в определенных областях знаний, как признание достижений которых, иногда, окружающие считают достойными этого звания. нельзя просто назвать себя хакером, и тем более, нельзя пройти курсы или купить корки хакера. любой, кому ты решишь их предъявить получит полное право называть тебя ламером, ну или просто дурачком.
определись с направлением, что тебя больше интересует.
взлом ОС - это больше администрирование, хотя asm и компилируемые языки тоже важны. здесь больше кракинга, и поковырять бинарь, которую порождают те же плюсы придется. для начала смотришь найденные эксплоиты, на чем срабатывают они, потом есть шанс начать искать свои.
веб приложения и скриптовые языки все еще дают надежду на наличие ошибок. к несчастью, есть достаточно много типовых ошибок, их описание ищется в сети, а их использование можно отработать в лабораторных условиях. здесь больше всего шансов продвинуться.
можно еще поковырять прошивки. вендор часто отдает обновления, и, не редко сообщает, в чем же проблемы старой. разобрать их не ахти какая сложная задача, бывает, потому что речь про компилированные файлы идет не всегда, и все опять сводится к веб приложениям на скриптовых языках.

[Zanak]

Был такой дядька, Крис Касперски. Считался хакером, хотя, как по мне, просто талантливый журналист. Он довольно много писал, в том числе и книги.
Можно попробовать его почитать, как введение в профессию :)
Потом может прийти понимание, надо вам этим заниматься, или стоит уйти в более понятные и предсказуемые, в том числе финансово, области знаний.

Answer 1

[Pasha]

очень рекомендую Web Security Academy
https://portswigger.net/web-security/learning-paths

также
https://www.freecodecamp.org/learn/information-sec...
+ курсы отсюда можно
https://youtube.com/playlist?list=PLWKjhJtqVAbnklG...

Comments

[Twee1K9]

Спасибо за ответ!

Answer 2

[Арсений Трутнев]

Лично я в пентесте ноль, но видел что многие люди советуют всякие микро курсы в ютубе, там они говорят о юникс подобных системах, всякие утилиты в основном для kali linux и.т.д.

HackTheBox довольно крутой сайт, но также есть такие сайты как OWASP Juice Shop

Ну а так нужно очень много гуглить на эту тему и уже с каждым разов вероятно всего будешь находить что то новое

А ну и напоследок советую подписаться на всякие телеграм каналы опытных пентестеров, там они часто годноту могут дать