Ethisk hacking refererer til offensiv testning af computersystemer for at finde ud af sikkerhedsrelaterede huller. Disse huller kaldes sikkerhedssårbarheder. Det har været et meget populært karrierevalg for studerende med alle baggrunde (ikke-CS studerende kan også nemt lære det og blive lige så gode som CS studerende, eller endda bedre end dem).
Da etisk hacking handler om at kompromittere systemerne, forudsætter det kendskab til, hvordan disse systemer rent faktisk fungerer. I løbet af din proces med at hacke(etisk) vil du støde på netværk, netværksenheder, netværksprotokoller, websteder, webteknologier, indholdsleveringsmekanismer og mange andre komponenter i online-infrastrukturer. Det er vigtigt at være fortrolig med, hvad disse komponenter gør, og hvordan de arbejder sammen. Kendskab til webudmærkningssprog (HTML), et scriptsprog (JavaScript), et dataoverførselssprog (XML eller JSON), komponenter i et webbaseret system, kendskab til computernetværk og TCP/IP-suite samt kendskab til grundlæggende programmering i C/C++/Java/Python er tilstrækkeligt til at komme i gang.
Du kan lære etisk hacking effektivt ved at følge denne totrinsproces. Det første trin vil være at lære om begreber og at forstå dem godt. På internettet er ressourcerne til læring tilgængelige i overflod. Vi anbefaler:
Anbefalede bøger
1. Hacking for Dummies: Wiley’s “for dummies”-serie fokuserer på at udgive nybegyndervenlige bøger om forskellige emner. Denne bog introducerer brugeren til etisk hacking gennem begreber og værktøjer. Den er meget nyttig for folk, der ønsker at begynde at lære etisk hacking, men som ikke er særlig fortrolige med programmering. Det skal dog forstås, at det er næsten umuligt at være en elitehacker uden at lære at programmere.
2. CEHv10 Study Guide by SYBEX: Denne bog har til formål at hjælpe med at forberede sig til CEH(Certified Ethical Hacker), et populært certificeringskursus i etisk hacking. Den forklarer den etiske hacking-metodologi og faserne i den. Hver fase af etisk hacking er godt forklaret med detaljer om begreberne og praksis på værktøjerne.
3. Hacking, The Art of Exploitation :Denne bog har været meget populær i samfundet af white hat hackere i lang tid. Sandsynligvis på grund af det indhold den dækker og den dybde den går i. Det gode ved denne bog er, at selv hvis du er en nybegynder med absolut ingen viden om programmering og netværk, kan du stadig få enormt meget gavn af den. Bogen dækker grundlæggende programmering i C, scripting med Bash, det grundlæggende om hukommelsesstyring i computere, filsystemer, overløbsbaserede sårbarheder og udnyttelsen af dem, grundlæggende netværk, angreb på netværk, skrivning af shell-kode og kryptologi.
Populære onlinekurser
1. Udemy: Disse cybersikkerheds etiske hacking kurser er allerede blevet taget af mange mennesker, og deres rating er ret god, så vi antager, at disse vil være virkelig nyttige til din selvlæring.
- Learn Ethical Hacking From Scratch
- The Complete Ethical Hacking Course: Begynder til Avanceret!
- Hacking i praksis: Certified Ethical Hacking MEGA Course
- Ethical Hacking with Hardware Gadgets
- CompTIA Pentest+ (Ethical Hacking) Course Practice Exam
2. PentesterLab: PentesterLab er nyttigt for begyndere og avancerede elever i lige høj grad. Deres begyndervenlige tutorials og laboratorier er fra meget succesfulde etiske hackere og bug bounty hunters, og de er også velkendte som instruktører og mentorer.
3. Pentester Academy: Pentester Academy er en platform for læring for begyndere såvel som erfarne hackere. De har kurser og online laboratorier for større sårbarheder. Pentester Lab har også kurser om programmering, forensics, VoIP, DevOps Security, Red/Blue team osv.
YouTube-kanaler
1. JackkTutorials: Giver praktiske introduktionsvejledninger til næsten alle de vigtige koncepter, værktøjer og færdigheder i forbindelse med etisk hacking.
2. Thenewboston:: Giver hands-on introduktionsvejledninger til næsten alle vigtige koncepter, værktøjer og færdigheder i forbindelse med etisk hacking.
Denne kanal dækker ikke kun det grundlæggende i praktisk etisk hacking, men giver også tutorials om programmering, app-udvikling, grafisk design, kemi, databaser, videoredigering osv.
3. HackerSploit: HackerSploit: Denne kanal tilbyder en række værktøjer og værktøjer til at lære at bruge etisk hacking: Hackersploit: Hackersploit er meget populær blandt begyndere inden for bug bounty. Det har vejledninger om penetrationstest, CTF-walkthroughs, tips om bug bounty-jagt, programmeringsvejledninger, vejledninger om malware-analyse, vejledninger om steganografi osv.
LiveOverflow, Nahamsec, Bugcrowd og HackerOne er også meget gode og værd at tjekke ud.
Websites og blogs
Disse websites er nyttige til at holde sig ajour med de seneste resultater, til at få hurtige referencer, til at forstå avancerede koncepter og meget mere.
1. PortSwigger’s Blog: Dafydd Stuttart er kendt som portswigger i hackerkredse. Han er medskaberen af værktøjet BurpSuite. Hans blog indeholder nyheder om de seneste sårbarheder i webapplikationer, nye funktioner i BurpSuite, tips om, hvordan man bruger BurpSuite godt, og hans egne fund som bug bounty hunter.
2. TheHackerNews: En dedikeret platform for de seneste cybersikkerhedsrelaterede nyheder. The Hacker News giver detaljerede oplysninger om de seneste sårbarheder, nye udviklinger inden for cybersikkerhedsområdet, nyheder vedrørende cyberkriminalitet, databrud, hacktivisme osv.
3. HackerOne Hactivity(disclosed vulnerability reports): HackerOne er en bug bounty-platform. Bug bounty-programmer kan tillade offentliggørelse af en sårbarhedsrapport, efter at den er blevet løst. Disse rapporter kan bruges til at forstå, hvordan man leder efter sårbarheder på et mål, hvordan man udfører rekognoscering, hvordan man nærmer sig interessante slutpunkter, hvordan man udnytter en sårbarhed for at opnå maksimal effekt, og hvilke slags sårbarheder der almindeligvis findes på en bestemt type mål.
Det andet trin er praksis: Øvelse er meget vigtigt, fordi det vil hjælpe dig med at absorbere de begreber, du har lært. Det vil også hjælpe dig med at få tillid til dine færdigheder. Bevidst sårbare virtuelle systemer og CTF’er er den bedste måde at øve sig på. bWApp, DVWA(Damn Vulnerable Web Application), Metasploitable er nogle af de bedste sårbare VM’er. OWASP har opstillet et indeks over sårbare virtuelle maskiner, som kan tilgås her
Se også Top 5 places to practice ethcial hacking
