Какие нужны навыки для тестирования безопасности сайтов/приложений?

Question

[Бауыржан (Баур) Советкали]

Привет.
Подскажите пожалуйста, какие навыки требуются для того, чтобы полноценно проводить тестирование безопасности веб-сайтов/приложений?

1. Например, возможно нужно изучить курс криптографии? Если да, то что посоветуете изучить: книги, курсы и т.п.
2. Нужна ли математика, какие-нибудь определенные курсы: линейная алгебра и т.д. :)
3. Какие инструменты нужны? Сейчас освоил Fiddler, OWASP ZAP.
4. Какие языки программирования могут пригодиться? Знаю немного PHP, JS.

Answer 1

[Konstantin Malyarov]

Ну для начала, воде можно считать и шуткой, но в тоже время отнестись к этому серьезно - знание УК той страны, в которой будет происходить тестирование безопасности объекта.
Во вторых, нужно заранее предупредить объект, о том что будет производится тестирование его безопасности, если объект говорит вам чтоб вы не тестировали его безопасность, то вам просто придется отказаться от этого.

Что нужно знать о безопасности - во первых читать актуальные новости по ПО. Новая версия ПО - новые баги, новые уязвимости - ищем уязвимость, ищем компанию которая использует данное ПО и предлагаем заплатку в обмен на деньги или баг на деньги.

Если начали изучать PHP и JS - продолжайте изучать дальше расширяя знания в данной области.
Изучайте новые инструменты.
Самое главное определить цель взлома! Взломать сайт - это не цель. Получить на сайте привилегию прописав в БД своего пользователя, угнать домен, прописать майнера - вот это цель.

Comments

[Бауыржан (Баур) Советкали]

Спасибо за развернуты ответ. Есть над чем подумать.