Здравствуйте, уважаемые друзья! Давече я заинтересовался информационной безопасностью (по большей части веб, реверсинг не интересует) и хочу получить как можно больше знаний за как можно более короткий отрезок времени, посему - составляю план, по которому буду работать. Хотелось бы ваших советов, с чего лучше начать, на что обратить большее внимание. Прошу не ради хайпа, хочу услышать как можно больше советов коллективного разума, чтобы ничего не пропустить и уложить в своей голове. Приветствуются ссылки на ресурсы, полезные утилиты, личное мнение, да в общем все что касается темы. Как бы вы подошли к изучению ИБ?
Что на данный момент я знаю и умею: языки программирования C++ и Python (+ общее понимание программирования, поэтому изучение новых языков не проблема), совсем базовые знания механизмов SQLinj и XSS, OllyDbg+IDAPro (использовал для дебагинга), Linux знаю на уровне опытного пользователя.
UPDATE:
Вот составляю список, того, что нужно знать и понимать, дополняйте пожалуйста:
- PHP (Laravel/Yii2/Symfony);
- SQL Injection, XSS;
- Устройство сети, сетевые протоколы;
Jinsus, Чем глубже тем лучше. :) Фильтрация/валидация данных, преобразование типов, фишки нестрогой динамической типизации, иметь представление о большой тройке фреймворков (Laravel/Yii2/Symfony).
Jinsus, Многие проекты пишутся именно на них. Так что зная сильные и слабые стороны каждого из них можно понимать насколько надёжно защищено приложение.
С паранойи. Сначала надо научиться искать места, где могут скрываться проблемы. SQL injection это одно из них с собственным названием. Как следствие, учиться их закрывать, или изменением кода, чтобы SQL injection не пролез, или анализом интерфейса и обработкой данных, чтобы не пролез какой-нибудь параметр не в том месте, и так далее.
Ну, а как научиться находить проблемные места? Практика видимо только? Вроде есть специальные сайты, которые специально предназначены для поиска уязвимостей
