我如何成為滲透測試人員/道德黑客?我們問專家!這是最權威的回答!
我們經常被初學者問到「我如何成為一名道德黑客」;或者「我如何成為滲透測試員」?所以,我們認為,不是反覆回復相同的問題,最好的辦法是請現在在該領域工作的滲透測試人員,聽聽這些安全界的前輩是怎麼從Pentesting(網絡安全)行業開始的?
毫無疑問:網絡安全市場正在蓬勃發展,預計到2022年該行業的職業薪資會達到非常好的標準,這也是這方面除惡學者的工作保障以及職業發展的前景。滲透測試員在網絡中可以是一個有趣且高度充實的角色,但當然,就像生活中的其他工作一樣,它可能會遇到挑戰。
根據各個國家的用工情況統計,網絡安全人員仍然面臨非常大的空缺,目前在職的安全人員,遠遠無法滿足正常的市場需要,由此可見,如果你能成為一個合格的網絡安全從業者,你的未來前景一定是非常廣闊的。但問題仍然是「如何開始網絡安全事業!」
在這篇文章中,我們詢問了當前或者曾經在該領域工作的專業滲透測試人員,就如何成為職業黑客,發表了各自的看法,我相信這是非常有涵養的內容,遠遠超過你可以在任何搜尋引擎隨意搜索到的內容價值,我建議初學者,一定要好好看完。
你會從這篇文章中學到什麼?
你必須對它充滿熱情('黑客,網絡安全,測試等');你必須學習黑客工具以及懂得如何最好地使用它們;參與認證很重要,也很有幫助!CEH,CISSP,Security+,OSCP,C)PTE大量的學習,及時掌握各種前沿的技巧等
SulemanMalik[取自Suleman的TED簡介]
SulemanMalik是一位專注且資源豐富的計算機專業人員,在網絡安全,滲透測試,安全研究,恢復和維護各種硬體和軟體方面擁有9年以上的豐富學習經驗。他在利茲工作,目前是全日制學者,學習計算機取證與安全。他是一名IT安全專家,對道德黑客攻擊/測試,社會工程,安全研究和開發攻擊非常感興趣。
你是怎麼成為滲透測試員的?
道德黑客,計算機攻擊是我個人的興趣,當我12歲時,我就進入了這個行列。自從我還是個孩子以來,我一直這樣做。所以,我開始從網際網路上學習道德黑客並學到很多關於它的信息。我還在深入學習[網絡安全]。如果你沒有這方面的知識,那麼成為道德黑客並不是一件容易的事。如果你熱衷於此那麼你必須深入了解它,網絡以及兩個設備如何通過網際網路相互通信以及它們用於從一個設備到另一個設備逐位傳輸的協議;以及兩個設備連接時引發的安全問題是什麼?一旦理解,你就會開始愛上它!
您對有興趣成為滲透測試員的人有什麼建議?
要成為一名滲透測試員,您需要從獨立學習開始。我建議您從Web應用程式測試開始學習。它將使您更加了解客戶端和伺服器端攻擊。您還將了解常見的Web應用程式漏洞以及如何利用它們。有一些最新的虛擬機可以在線使用,它們可以幫助您了解漏洞以及如何利用這些漏洞。少數流行的VM工具是Metasploitable,Dojoweb,PentestLab和HackLabs。您可以下載它們並開始向這些工具學習,因為它們是為初學者準備的。您將在OWASP網站上找到十大常見Web漏洞。您還可以找到有關使用OWASP大量詳細信息
因此,最好開始學習測試如何破解Web應用程式,當您認為自己精通時,可以進入「網絡黑客」和其他領域。
注意:如果您具有PHP,JAVA和HTML語言基礎,您將了解更多。
JustinKeller,C)PTE,ACMT,ACTC
Justin是認證滲透測試工程師(CPTE),Apple認證技術協調員,Apple認證Macintosh技師,HurricaneElectricIPv6認證Sage。
你是怎麼成為滲透測試員的?
我一直很喜歡電腦和學習。有一天,我在線開始閱讀有關要求的內容,其中包括對系統的深入了解。我決定要深入了解並且測試是應用它的最佳方式。
您對有興趣成為滲透測試員的人有什麼建議?
購買教科書,閱讀它們。購買認證指南,即使您不打算參加他的認證。指南提供了可用于衡量您理解的問題。從受信任的來源在線或親自接受培訓。最後,準備好後,獲得認證。我推薦C)PTE,C)PTC和CEH
NijatTaghiyev,OSCPIT安全專家,亞塞拜然
你是怎麼成為滲透測試員的?
我開始閱讀一些文章,書籍,論壇和參加PWK課程(使用KaliLinux進行滲透測試)
您對有興趣成為滲透測試員的人有什麼建議?大量重複的練習,閱讀書籍,博客
Scott'R4v3N'DrewPenetrationTester和TopHatSec的所有者(一個非常棒的黑客論壇)
你是怎麼成為滲透測試員的?
經過多年的奉獻和展示我的知識,我能夠找到我喜歡的工作。它必須是一種激情,它必須是你在業餘時間作為業餘愛好開始的東西。沒人在一夜之間成為一名滲透測試員。在成為令人滿意的職業之前,這總是一種愛好。
您對有興趣成為滲透測試員的人有什麼建議?
滲透測試是一個熱門市場。總的來說安全性是需求的,尤其是現在比以往任何時候都或缺。你真的需要對它充滿熱情。如果你想脫穎而出,這些也是你需要去做的。這並不意味著計算機科學的學士學位。也並不代表您擁有的CISSP。或者你有一個安全博客,或者你是否在任何安全論壇上活躍,或者你是否正在使用github或bitbucket自己開展任何項目,或者你參加過任何CTF?
你應該明白,首先你應該參與當地的黑客組織,您需要讓自己參與安全社區。您需要成為該社區的一員,並與擁有相同激情的人一起環繞自己。也許很多時候很多事情,會讓你有時候你可能會想要離開,或者想要放棄,但你必須繼續並投入時間。總有一天你會因為你的激情而獲得獎勵。
這是一門藝術。這是一項技能。這需要時間來學習,如果你願意,這可能是一生的旅程。你永遠不應該停止學習,全面發展並選擇一個安全的主題,你會發現自己更喜歡它。
ChoudharyMuhammadOsama
滲透測試員和應用安全研究員
你是怎麼成為滲透測試員的?
從童年開始,我一直對信息安全充滿熱情;如果要認真的來說,我是一個十幾歲就去網吧的人,一切都從那裡開始,我被這些傢伙們所做的事情所迷戀,我深深地愛上了黑客。發現目標,攻擊機器,竊取信息,圖片等,從中獲得樂趣。然後我參加了其他的一些活動,一些「安全專業的工作」。
您對有興趣成為滲透測試員的人有什麼建議?
愛學習!如果您因為需要快速學習新技能,作業系統,程序語法或攻擊策略而感到畏縮,您可能會感到不知所措,但是,請保持希望!以你喜歡的方式,找到改進的方法,並為那些瘋狂地需要更多有安全意識的人的「黑客」工作。
戴爾SecureWorks的RazvanGabrielComanPenetration測試顧問
(為財富500強醫療保健客戶提供滲透測試等服務)
你是怎麼成為滲透測試員的?
我可以說自從高中畢業後我就想這樣做,但是在進入滲透測試職位之前,我是一名物理學學士,一名物理學碩士和5年的多個IT安全角色。
您對有興趣成為滲透測試員的人有什麼建議?
首先,要有嘗試進入黑客核心的心態。安全無處不在,不僅僅是在計算機上,每天學些新東西。學習一些密碼學原理。了解計算機網絡和協議,使用Wireshark和GNS3等網絡模擬器進行練習。學習作業系統原理,安裝Linux,每天嘗試使用它。了解Web技術和安全性(HTML,JavaScript,PHP,SQL,OWASPTop10),使用BurpSuite,OWASPZAP,SQLmap,Firebug分析在線提供的易受攻擊的應用程式,獲取通用程式語言(如Python),在處理您選擇的小項目時學習它。啟動一些易受攻擊的虛擬機並創建一個小型的測試實驗室,使用Nmap,Metasploit和其他KaliLinux工具。進入任何可行的IT/安全工作,因為有些事情只能在工作中學習。在那裡學習所有你能做到的事情。不要指望熬夜的結果,這是一條漫長的道路,需要不斷的學習,但如果你足夠熱情,這絕對是值得的。
SCASSI MohamedTehami
滲透測試員
你是怎麼成為滲透測試員的?
因為我很年輕的時候,我就對安全和黑客感興趣,這完全是出於好奇心,想要了解具體的計算機很多事情是如何運作的,以及我們如何改變他們的工作方式。這是我在大學選擇計算機研究生涯的主要原因(現在有幾個關於信息安全的專業);學習所有與IT,網絡,編程,設計等相關的基礎知識,在我這段時間裡,我喜歡在家裡的本地實驗室做一些測試,而現在有很多網站提供黑客攻擊對初學者來說很有挑戰性的挑戰。與安全相關的實習對於成為專業的筆友來說也很重要,但這並不總是必要的。
您對有興趣成為滲透測試員的人有什麼建議?
為了成為一名優秀的測試者,您首先應該對計算器的運作方式,網絡協議,應用程式有一個很好的了解。因為測試不僅僅是使用黑客工具(我們稱之為腳本小子),但它是關於知道你正在做什麼,而工具可以幫助減少你的工作。在掌握了良好的IT基礎知識之後,你應該開始閱讀安全性和漏洞以及利用它們的方式,這需要耐心和好奇心來學習,而且不通過測試,你永遠不會知道所有的事情,因為每次你可以測試不同類型的平臺不同的技術,你需要找到你的方法來打破它,但如果你不知道事情是如何工作的,所以你永遠應該在不斷的學習過程中。
MoatazMoustafa
道德黑客和滲透測試員
你是怎麼成為滲透測試員的?
當我12歲的時候,我對計算機世界,編程和網際網路非常感興趣,我想成為Android開發人員,所以在我13歲的暑假,我開始學習用Java和Eclipse編寫代碼,我開始訪問一個名為XDADevelopers的網站,這是我的一次經歷,我花了一整天的時間在這個網站上,學習和獲得經驗。然後我開始學習Linux,root和開源項目,然後我製作了我的第一個腳本來用於我的華為手機。我看到安全和黑客是一個非常令人興奮的話題,所以我開始閱讀越來越多的東西並學習,然後我開始學習在線課程,閱讀文章,並進入在線社區,學習編程,網絡,Linux管理和滲透測試,我的職業生涯始於自由職業滲透測試員,然後我開始在公司中建立職位。
您對有興趣成為滲透測試員的人有什麼建議?
作為一個滲透測試人員需要努力和動力,對技術和信息安全的熱情是必須的,作為一個滲透測試員並不意味著知道如何編寫一些終端命令或自動寫一些工具,滲透測試員對於計算機,系統和網絡如何工作必須是有廣泛知識的人,每個滲透測試人員必須掌握程式語言,了解網絡如何工作和操作,如何設計系統,了解網際網路和信息安全,然後是時候學習黑客技術,掌握滲透測試最重要的是實踐,所以新的滲透測試人員應該準備易受攻擊的虛擬機並試圖破解它們並參加CTF競賽,有人可以從易受攻擊的黑客攻擊的vm中學到技術的最好的書籍之一(kalilinuxctfblueprints),當然這不是最後一件事,你每天都必須學習新東西,所以你應該每天更新自己,不斷練習,不斷獲得新技能,永不停止學習。
OoPpS先生
OoPpSs先生是一位非常年輕的網絡安全和網絡犯罪調查員。
他從6年開始參與信息技術和網絡安全領域。他擁有CEH,CPH,CHFI,LPT,CISE,CEHIE,認證信息系統安全專家,網際網路網絡安全專家,認證Android開發,雲計算機應用開發專家,認證網絡犯罪調查員,EnCase認證考官等專業國際認證,認證計算機取證審查員,印度法律研究所網絡法,MCSE和CCNA認證,數字法醫和網絡犯罪調查文憑,認證信息系統安全專家法醫文憑等。
您對有興趣成為滲透測試員的人有什麼建議?
基於對初學者福利的一種奉獻。請遵循道德黑客的十條誡命:
1. 始終從網絡法開始,因為這將清楚地說明我們為道德黑客行為的約束。
2. 總是教「道德黑客」而不是「黑客」。由於指導不當,許多初學者都在監獄裡。
3. 提高對「道德黑客」的認識和信息安全領域的職業前景。
4. 為未來的研究和國際認證提供適當的指導,如MS,M.Tech(信息安全和網絡法)或將幫助他們的認證。
5. 始終明確可以做什麼/不能做什麼,不要誤導初學者,比如「沒有人能抓住你/追蹤你」。
6. 討論如何解決網絡案例並激勵他們成為道德黑客而不是黑客。
7. 不要教授違反網絡法的非法行為。
8. 推廣開源軟體的使用,鼓勵初學者學習和編寫自己的工具/軟體。
9. 始終引用您教授的任何內容,以便初學者也會關注您而不會複製其他材料/代碼。
10.清楚地告訴他們道德黑客不是遊戲也不是娛樂。告訴他們這是多麼重要,並告訴他們如何能夠拯救很多人的現實生活場景。
DimitrisPallis,OSCP
Dimitris目前是一名自由職業者
使用bug-bounty/freelancing平臺的資源(BitdefenderBugBounty名人堂Bitdefender)探測和利用基於Web的應用程式,網絡和系統中的安全漏洞。
你是怎麼成為滲透測試員的?
這實際上是我的職業規劃。我一直很好奇計算機是如何工作的,並且對於它們如何相互作用感到著迷。打破規則更令人興奮(總是一個「白帽子」的話題),為什麼不為它付錢?我在網上做了大量研究,我100%自學成才,一開始很難,但它仍然是最好的學習方式。當我對KaliLinux作業系統及其工具感到滿意時,我選擇了安全行業和IT中最嚴格的認證之一OSCP。然後,我正式成為一名專業的滲透測試員,並有足夠的信心申請這些職位。
您對有興趣成為滲透測試員的人有什麼建議?
首先,除了技能,我建議必須他/她有決心,耐心。這可能聽起來有些陳詞濫調,但沒有它們你就無法繼續。在技術方面,我建議對KaliLinux作業系統熟悉。網上有很多免費課程,查看它們會很有幫助。當你有足夠的信心時,你也可以下載易受攻擊的虛擬機器並試圖獲得root權限!
AlfonsoGarciaAlguacil
Alfonso是思科的PenetrationTester
您對有興趣成為滲透測試員的人有什麼建議?
我會說,一旦你在編程,網絡和作業系統方面擁有良好的知識基礎,最好的方法就是使用CTF。玩CTF會打開你的大腦,你將開始考慮如何打破軟體,你也將學習自己學習,尋找有關每個挑戰中隱含的技術的文檔,尋找過去發現的類似漏洞等。而最重要的部分,它非常有趣!
馬修泰米(temmyscript)
你是怎麼成為滲透測試員的?
這是我作為業餘愛好開始的事情,然後開始變得專業
您對有興趣成為滲透測試員的人有什麼建議?
您可以從在線和真實的人身上學到大量的知識。如果您有問題不要退縮,請堅持下去。
SurajRajkumarWaghmare
Suraj是JainamTechnologiesPvtLtd的安全分析師
你是怎麼成為滲透測試員的?
是興趣驅動。
您對有興趣成為滲透測試員的人有什麼建議?
大量學習,大量獲得知識。
RanjanKathuria
Ranjan是NestAwayTechnologiesPvtLtd的安全工程師
你是怎麼成為滲透測試員的?
在我們大學一個人用鍵盤記錄器攻擊Facebook後,我開始進入安全領域。
您對有興趣成為滲透測試員的人有什麼建議?
不要在Google上搜索:「如何破解Facebook」。這是最愚蠢的行為。
MohamedMagdyHassan
Mohamed在道德黑客攻擊,滲透測試和漏洞評估以及安全代碼審計方面擁有豐富的經驗。除了熟悉程式語言(C,PHP,Java,JavaScript......)和腳本語言(如Bash,Python,Ruby)之外,他還是「InfoSecElities」的技術主管,這是利雅得的一個信息安全社區。
你是怎麼成為滲透測試員的?
我開始作為安全工程師工作。我從事防火牆,IP,Web網關,防病毒,高級威脅等工作。在此期間,我學習了網絡和Windows系統。之後我開始進行Web滲透測試,因為我最初是一名Web開發人員,通過了eWAPT證書。之後我開始作為網絡滲透測試員工作。在那期間,我正在為我的OSCP學習,直到我終於得到它。
您對有興趣成為滲透測試員的人有什麼建議?
要成為成功的滲透測試人員,您需要了解2個主題,網絡和系統(Windows/Linux)。之後,這取決於你的目標。如果您計劃進行Web滲透測試,我建議得到eWPT證書並參與bug賞金計劃。如果您計劃進行基礎設施滲透測試,我建議得到eCPPT和/或OSCP證書並參與CTF。一些可以幫助你的常用工具是:Nikto,Nmap,Metasploit,Ettercap,JohnTheRipper,Wireshark,BurpSuite,Sqlmap,BeEF和Hydra。
ChaitanyaBobhate
作為愛國者,我一直渴望為我的國家作為網絡安全和信息安全領域工作,這是我渴望的領域之一。
你是怎麼成為滲透測試員的?
在這個不斷發展的技術世界中,一切都是數位化的,並且是平行的,安全性在於圖像,每個組織都關注其系統安全性;您需要保護入侵者的機密數據。滲透測試人員會探測和利用模擬真實網絡攻擊的漏洞和安全漏洞,您的最終目標是幫助組織改善其安全狀況。滲透測試是一個「酷孩子」的工作,但它也是我個人的興趣;黑客是我的熱情,這是一個充滿挑戰的職業,你需要集思廣益來完成你的任務。為了追求我的專業水平,我已經獲得了滲透測試認證,並完成了CEH(認證道德黑客)。我也在準備OSCP認證,以提升我在我的領域的知識。
您對有興趣成為滲透測試員的人有什麼建議?
根據我的理解知識,滲透測試領域的重要事項是,人們應該充滿熱情,需要對技術進行更新積累。一個人應該是自學者,自我激勵者,應該了解網絡,作業系統,資料庫和編程基礎知識。
HarshitSharma
Harshit是Techinvo的網絡安全研究員,道德黑客和執行長。
你是怎麼成為滲透測試員的?
我曾經在網絡上被欺負,因此我才成為了道德黑客。
您對有興趣成為滲透測試員的人有什麼建議?
充滿激情地追求它。