Обязательно ли специалисту по ИБ знание веб-разработки?

Question

[Андрей]

Нравится тема ИБ , а вот веб не нравится.Можно ли обойтись без веб-программирования в работе пентестера ?

Answer 1

[DevMan]

имхо, не нужно знать web-dev полностью, нужно знать основные векторы атаки (sqli/xss/csrf/etc) и что они из себя представляют/как реализовываются. иначе как вы собираетесь пентестить?
ну и кагбе ИБ, не ограничивается только web'ом.

Comments

[Андрей]

Хм , а какой вы язык порекомендуете для веба в ИБ ?)

[DevMan]

Андрей: python весьма распространен и удобен для повседневной автоматизации, пентестинга в том числе.

[Андрей]

DevMan: А можете подсказать материалы для его изучения?В своре время хотел начать , но не нашел нужных обучающих материалов )

[DevMan]

Андрей: увы, нет. я учился во времена когда инет был недоступной роскошью, а всяких скринкастов и учебных курсов онлайн не было и в помине.

[Андрей]

DevMan: Да , с этим сейчас гораздо проще )

Answer 2

[Владимир Куц]

Не обязательно. Но специалист ИБ, знающий тонкости веб-программирования - будет иметь больше преимуществ.

Comments

[Андрей]

Спасибо, а кокой язык вы порекомендуете брать специалисту по ИБ для веба ?

[Владимир Куц]

Андрей: в моем случае - я выбрал Python. Для вникания в тонкости реализации работы протоколов и базовые основы построения веб-приложений мне его хватило.

[Андрей]

Владимир: Быстро освоили ?

[Владимир Куц]

Андрей: ну как сказать, - года 3 до разработчика среднего уровня. Но у меня была основа из знания нескольких языков "по чуть-чуть" до этого и обширный опыт работы в Unix/Linux в т.ч. специалистом по ИБ.

[Андрей]

Владимир: А можете подсказать материалы для его изучения?В своре время хотел начать , но не нашел нужных обучающих материалов ))

[Владимир Куц]

Андрей: Классика - Марк Лутц "Изучаем Python", "Программирование на Python"

[Андрей]

Владимир: Там и веб тоже затрагивается?

[Владимир Куц]

Андрей: да. В основном в "Программирование на Python"

[Андрей]

Владимир: Спасибо))

Answer 3

[АртемЪ]

Нужно ли директору службы безопасности атомной электростанции знать как выращивают бананы?
ИБ и Веб разработка никак не связаны и не имеют ничего общего.

Comments

[Андрей]

А как же атаки на веб приложения ?

[АртемЪ]

Андрей: Какое отношение имеют веб приложения к информации и к безопасности этой информации?

[Андрей]

АртемЪ: Ну я думал ,что чтобы уметь анализировать сайты на уязвимости , надо глубоко разбираться в их устройстве ?)

[Yustas Alexu]

Некорректное сравнение. Банан не имеет никакого отношения к атомной электростанции, а пентесты бывают и на веб-приложения. Я бы даже сказал чаще

[Андрей]

АртемЪ: я думал ,что чтобы уметь анализировать сайты на уязвимости , надо глубоко разбираться в их устройстве ?)Разве не так ??

[АртемЪ]

Андрей: А при чем тут сайты????

[АртемЪ]

Yustas Alexu: Ну и на банановых плантациях бывает служба безопасности, и местным безопасникам приходится разбираться и в бананах. Но это же не значит что все безопасники будут работать с бананами.

Несомненно есть специалисты по ИБ которые будут плотно работать с вебом, и им придется разбираться в его тонкостях.
А остальным то это зачем?

[Андрей]

АртемЪ: Как я знаю ,большинство ИБ-шников занимается пентестом , или нет ?

[АртемЪ]

Андрей: В том числе и этим.
Пентест это испытание информационной системы на безопасность моделированием атаки.
Вот есть у вас БД с ценными данными, к которой имеет доступ сотня сотрудников, и нужно провести пентест.

С какого боку тут веб, если интернет в здание не проведен?

[Андрей]

АртемЪ: НУ возможно вы и правы.Но ,судя по вашим ответам ,вы ведь и вебом тоже занимаетесь?Фриласите?Какие технологии используете ?

[АртемЪ]

Андрей: Сейчас практически нет, связан но сам уже не занимаюсь, несколько на другом деньги зарабатываю, хотя и в ИТ.

[Андрей]

АртемЪ: Секрет ?)

[АртемЪ]

Не то что бы секрет, но сильно не распространяюсь :)

[Андрей]

АртемЪ: Ясно, понимаю :) А какой бы стек технологий вы порекомендовали изучать будущему ИБ-шнику ? :D

[АртемЪ]

Андрей: Ну для начала надо четко определиться в какой области вы хотите работать.
ИБ понятие довольно широкое, и уже исходя из этого выбирать наиболее широко используемые и перспективные технологии.

[Андрей]

АртемЪ: Хотелось бы зарабатывать на жизнь пентестом :) То есть я не хочу быть веб-программистом ,но иметь представления для пентеста о том ,как функционирует веб сайт надо ))Что лучше php , Django или RoR ?)

[Андрей]

АртемЪ: подскажите ,если не составит труда :)

Answer 4

[Дмитрий]

Все же желательно разбираться в программировании для спеца по безопасности. Хотя бы на минимальном уровне. Основы web-разработки не сложны в понимании и изучении. Для атак типа XSS, SQLi нужны только основы PHP и SQL. А они еще долго будут актуальны.

Comments

[Андрей]

А Python/Django ?

[Дмитрий]

Андрей: тоже, но большинство "дырявых" сайтов сейчас работают именно на PHP. Python пригодится тоже. Но на нем пока мало сайтов еще...

[Андрей]

Дмитрий: А я слышал ,что PHP - это говно язык для былокодеров и он вообще подохнет скоро :D Это не правда ?)

[Дмитрий]

Андрей: без фреймворков возможно... )) Но он постоянно дорабатывается и совершенствуется. Просто компании не будут переписывать свои web-приложения на новый язык, если старый доступен и проще... PHP еще долго будет править )) Он прост, доступен и понятен для абсолютных новичков. Поэтому его и не любят. Плюс материалы по нему выходят устаревшими...

[Андрей]

Дмитрий: Ну а я ничего не потеряю ,если начну изучать не Джанго , а пыху ? Или лучше сразу питонить ?)

[Дмитрий]

Андрей: Тогда лучше изучать Питон, но PHP прост и его можно просто просмотреть )) Для понимания уязвимостей основ будет достаточно

[Андрей]

Дмитрий: Ну а питон с джанго быстро не выучить ?)Я просто хочу на CTF в следующем году пойти , пыха для всех тасков подойдет ?)

[Дмитрий]

Андрей: Питон тоже прост и понятен. Но он более универсален. Там просто принципы "правильного" программирования очень хорошо реализованы. MVC, модульность и тому подобное... Насчет CTF не скажу, не знаю )) Но думаю должна подойти...

[Андрей]

Дмитрий: Спасибо огромное вам за ответ.Мне просто очень нравится тема ИБ , а с чего начать правильнее я не знал ) Спасибо за направление!