Οδηγός για αρχάριους Πώς να γίνει ηθικός χάκερ

Έχετε κουραστεί να διαβάζετε ατελείωτες ειδήσεις σχετικά με την ηθική hacking και δεν γνωρίζετε πραγματικά τι σημαίνει αυτό; Ας το αλλάξουμε!

Αυτή η δημοσίευση είναι για τους ανθρώπους που:

  • Δεν έχουν καμία εμπειρία με Cybersecurity (Hacking)
  • Έχετε περιορισμένη εμπειρία.
  • Εκείνοι που απλά δεν μπορούν να πάρουν ένα διάλειμμα

Εντάξει, ας σκεφτούμε τη θέση και να προτείνουμε κάποιους τρόπους με τους οποίους μπορείτε να προχωρήσετε στην Cybersecurity.

Λαμβάνω πολλά μηνύματα ηλεκτρονικού ταχυδρομείου για το πώς να γίνω χάκερ. "Είμαι αρχάριος στο hacking, πώς πρέπει να ξεκινήσω;" ή "Θέλω να μπορώ να χάσω τον λογαριασμό του φίλου μου στο Facebook" είναι μερικές από τις συχνότερες ερωτήσεις. Σε αυτό το άρθρο θα προσπαθήσω να απαντήσω σε αυτά και πολλά άλλα. Θα σας δώσω λεπτομερείς τεχνικές οδηγίες για το πώς να ξεκινήσετε ως αρχάριος και πώς να εξελιχθεί καθώς κερδίζετε περισσότερες γνώσεις και εξειδίκευση στον τομέα. Η πειρατεία είναι μια δεξιότητα. Και πρέπει να θυμάστε ότι αν θέλετε να μάθετε hacking μόνο για τη διασκέδαση του hacking στο λογαριασμό του φίλου σας στο Facebook ή το ηλεκτρονικό ταχυδρομείο, τα πράγματα δεν θα λειτουργήσουν για σας. Θα πρέπει να αποφασίσετε να μάθετε hacking λόγω της γοητείας σας για την τεχνολογία και την επιθυμία σας να είστε ειδικός στα συστήματα πληροφορικής. Ήρθε η ώρα να αλλάξετε το χρώμα του καπέλου σας

Είχα το καλό μερίδιο μου στα Καπέλα. Μαύρο, λευκό ή μερικές φορές μαύρη σκιά γκρίζου χρώματος. Όσο πιο σκούρα γίνεται, τόσο πιο διασκεδαστικό έχετε. -MakMan

Εισαγωγή!

Πρώτα απ 'όλα, ας συμφωνήσουμε ότι η λέξη «μια σταδιοδρομία στην ασφάλεια στον κυβερνοχώρο» είναι λίγο σαν να λέει «μια σταδιοδρομία στον τραπεζικό τομέα», δηλ. Είναι ένας όρο ομπρέλα που ενσωματώνει δεκάδες κόγχες μέσα στη βιομηχανία. Στην Cybersecurity μπορούμε, για παράδειγμα, να μιλάμε για την ψηφιακή εγκληματολογία ως καριέρα ή για την ανίχνευση κακόβουλου λογισμικού / λογισμικού, τον έλεγχο, την εκπαίδευση, την κοινωνική μηχανική και πολλά άλλα κομμάτια σταδιοδρομίας. Κάθε μία από αυτές τις υποκατηγορίες μέσα στον κυβερνοχώρο αξίζει μια ξεχωριστή θέση blog, αλλά, για τους σκοπούς αυτού του κομμίου, ας επικεντρωθούμε σε ορισμένες σημαντικές γενικές απαιτήσεις που χρειάζονται όλοι πριν ξεκινήσουν μια επιτυχημένη σταδιοδρομία στον τομέα της Ασφάλειας ΤΠ.

Αν δεν έχετε εμπειρία, μην ανησυχείτε. Όλοι έπρεπε να ξεκινήσουμε κάπου και όλοι χρειαζόμασταν βοήθεια για να φτάσουμε εκεί που είμαστε σήμερα. Κανείς δεν είναι νησί και κανείς δεν γεννιέται με όλες τις απαραίτητες δεξιότητες. Επομένως, έχετε μηδενική εμπειρία και περιορισμένες δεξιότητες ... η συμβουλή μου σε αυτή την περίπτωση είναι ότι διδάσκετε τον εαυτό σας μερικές απόλυτες βασικές αρχές.

Ας ξεκινήσουμε αυτό το πάρτι.

1. Τι είναι η πειρατεία;

Hacking εντοπίζει τις αδυναμίες και τις ευπάθειες κάποιου συστήματος και αποκτά πρόσβαση σε αυτό.

Ο χάκερ αποκτά μη εξουσιοδοτημένη πρόσβαση μέσω συστήματος στόχευσης, ενώ ο ηθικός χάκερ έχει επίσημη άδεια με νόμιμο και νόμιμο τρόπο για να αξιολογήσει τη στάση ασφαλείας ενός συστήματος-στόχων.

Υπάρχουν ορισμένοι τύποι χάκερ, λίγο "ορολογία".
Λευκό καπέλο - ηθικός χάκερ.
Μαύρο καπέλο - κλασικός χάκερ, αποκτάτε μη εξουσιοδοτημένη πρόσβαση.
Γκρι καπέλο - ένα άτομο που αποκτά μη εξουσιοδοτημένη πρόσβαση αλλά αποκαλύπτει τις αδυναμίες της εταιρείας.
Script kiddie - ένα άτομο χωρίς τεχνικές δεξιότητες χρησιμοποίησε απλά προκατασκευασμένα εργαλεία.
Hacktivist - ένα άτομο που hacks για κάποια ιδέα και αφήνει μερικά μηνύματα. Για παράδειγμα, απεργία κατά των δικαιωμάτων πνευματικής ιδιοκτησίας.

Στην πραγματικότητα, ένας στόχος της ηθικής hacking είναι να αποκαλύψει τις αδυναμίες του συστήματος και τα τρωτά σημεία μιας εταιρείας για να τα διορθώσει. Ο ηθικός χάκερ καταγράφει όλα όσα έκανε.

2. Δεξιότητες που απαιτούνται για να γίνει ηθικός χάκερ.

Πρώτα απ 'όλα να είσαι Pentester πρέπει να είσαι πρόθυμος να μαθαίνεις συνεχώς νέα πράγματα όταν μιλάς ή γρήγορα στο σπίτι. Δεύτερον, πρέπει να έχετε μια ισχυρή θεμελιώδη κατανόηση τουλάχιστον μιας γλώσσας κωδικοποίησης / δέσμης ενεργειών καθώς και μια κατανόηση της ασφάλειας δικτύων και ιστού.

Εδώ είναι μερικά βήματα αν θέλετε να ξεκινήσετε από τώρα ...

  1. Μάθε να κωδικοποιήσει (Προγραμματισμός).
  2. Κατανοήστε τις βασικές έννοιες του λειτουργικού συστήματος
  3. Βασικές αρχές δικτύωσης και ασφάλειας
  4. Μαρκάρισμα και όσες τεχνολογίες μπορείτε!

3. Ποιες πλατφόρμες πρέπει να κωδικοποιηθούν: -

Αυτό εξαρτάται από την πλατφόρμα στην οποία θα εργαστείτε. Για εφαρμογές ιστού, προτείνω να μάθετε HTML, PHP, JSP και ASP. Για κινητές εφαρμογές, δοκιμάστε Java (Android), Swift (iOS), C # (Windows Phone). Για το λογισμικό που βασίζεται σε επιτραπέζιο υπολογιστή δοκιμάστε Java, C #, C ++.

Θα ήθελα να συστήσω την Python επίσης επειδή είναι μια γλώσσα γενικού σκοπού και όλο και πιο δημοφιλής στις μέρες μας λόγω της φορητότητάς της.

Αλλά αυτό που είναι πραγματικά απαραίτητο για κάθε γλώσσα προγραμματισμού είναι να μάθετε τα βασικά στοιχεία του προγραμματισμού, τις έννοιες όπως οι τύποι δεδομένων, τη μεταβλητή χειραγώγηση σε όλο το πρόγραμμα σε επίπεδο OS με τη χρήση των υπορουτίνων γνωστών ως aka λειτουργίες κ.ο.κ. Αν μάθετε αυτά, είναι σχεδόν το ίδιο για κάθε γλώσσα προγραμματισμού εκτός από μερικές συντακτικές αλλαγές.

ProTips: -

  1. Για να είστε εμπειρογνώμονας σε οποιαδήποτε γλώσσα προγραμματισμού, κατανοείτε τις λειτουργίες του επιπέδου του λειτουργικού συστήματος αυτής της γλώσσας (ποικίλλει σε διαφορετικούς μεταγλωττιστές) ή μάθετε τη γλώσσα συναρμολόγησης για να γίνει πιο γενικευμένη
  2. Μην πάρετε τις ελπίδες σας υψηλές εάν δεν μπορείτε να επιτύχετε αποτελέσματα σε σύντομο χρονικό διάστημα. Προτιμώ το στυλ μάθησης "Miyagi". Επομένως κρατήστε τον εαυτό σας κίνητρο για αυτό που έρχεται στη συνέχεια.
  3. Ποτέ μην υποτιμάτε τη δύναμη των διαχειριστών δικτύων και συστημάτων. Μπορούν να σας κάνουν τους * υποθετικούς * σκλάβους τους σε ένα εταιρικό περιβάλλον infosec

Πόροι για να ξεκινήσετε:

Θα ήθελα να μοιραστώ μερικούς πόρους που βρήκα καλύτερα στην εκμάθηση από την αρχή.

Υπάρχει ένας ολόκληρος κατάλογος πόρων που έχω δημιουργήσει για τη βοήθειά σας (https://github.com/husnainfareed/Resources-for-learning-ethical-hacking/)

Μια άλλη συμβουλή ...... Παρακολουθείτε τακτικά το http://h1.nobbd.de/ to b ενημερώθηκε με τις αναφορές HackerOne Public Bug Μπορείτε να μάθετε πολλά από αυτά, Ακολουθήστε https://www.owasp.org/index.php/Cat ...

Εναλλακτικά, μπορείτε να εγγραφείτε στο Slack Community for Hackers

https://bugbounty-world.slack.com/

https://bugbountyforum.com/

Επίσης θα πρέπει να εξετάσετε την άσκηση των δεξιοτήτων σας

http://www.itsecgames.com/

http://www.dvwa.co.uk/

http://www.vulnerablewebapps.org/

http://hackyourselffirst.troyhunt.com/

https://github.com/s4n7h0/xvwa

http://zero.webappsecurity.com/

http://crackme.cenzic.com/kelev/view/home.php

http://demo.testfire.net

https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project

HackerOne Δημόσιες Αναφορές!

Αυτές οι Αναφορές μπορεί να σας βοηθήσουν να αποκτήσετε κάποια ιδέα για το κυνήγι BugBounty ...

HackerOne Public Reportss.csv

Μερικά από τα σημεία που πρέπει να σημειωθούν:

  • Με έναν αυτοαπασχολούμενο: Γιατί; Διότι χωρίς αυτό δεν θα μάθετε από τα πράγματα που βιώνετε, δεν θα είστε σε θέση να λύσετε τα προβλήματά σας.
  • Εκπαιδεύστε τον εαυτό σας καθημερινά: διαβάστε άρθρα, αναφορές, βίντεο ή διαφάνειες για να εκπαιδεύσετε τον εαυτό σας
  • Γνωρίστε τον στόχο σας, πριν προχωρήσετε βεβαιωθείτε ότι γνωρίζετε τον στόχο σας. Επενδύστε το μεγαλύτερο μέρος του χρόνου σας στον προσδιορισμό του στόχου σας που προσδιορίζει τις υπηρεσίες που χρησιμοποιεί ο στόχος.
  • Χάρτης του στόχου: να έχετε καλύτερη εικόνα της υποδομής του στόχου, προκειμένου να έχετε καλύτερη κατανόηση του τι πρέπει να στοχεύσετε.
  • Περπατήστε το μονοπάτι που κανείς δεν ταξιδεύει: Μην είστε ο συνηθισμένος τύπος εκεί έξω. Σκεφτείτε από το κιβώτιο, σκεφτείτε τι ο προγραμματιστής έχασε σκέφτονται τι κοινά παιδιά στοχεύουν, ανάλογα με αυτό που επιλέγουν τη διαδρομή σας.
  • Να είστε ninja: Πρέπει να είστε γρήγοροι και ακριβείς ως Ninja. Γνωρίστε, Χάρτης, Στοχεύστε το θύμα σας με ακρίβεια και ταχύτητα. Αυτό λειτουργεί μόνο αν είστε καλοί μιλάνε το διαφορετικό μονοπάτι και αν είστε μοναδικοί.

Αν θέλετε να μάθετε περισσότερα για το Recon και πώς να κυνηγάτε το Bug Bounty, διαβάστε αυτό το άρθρο "Πώς να κάνετε την Αναγνώρισή σας σωστά πριν να κυνηγήσετε μια Bounty Bug".

Ας ελπίσουμε ότι δεν πρόκειται να μαυρίσετε αυτή τη θέση για το υπόλοιπο της ζωής σας. Έχω πολλά ενδιαφέροντα πράγματα που έρχονται. Ciao.

Εάν σας άρεσε αυτή η ιστορία, κάντε κλικ στο κουμπί and και μοιραστείτε για να βοηθήσετε άλλους να το βρουν. Μη διστάσετε να αφήσετε ένα σχόλιο.