Hackingul etic se referă la testarea ofensivă a sistemelor informatice pentru a descoperi lacune legate de securitate. Aceste lacune se numesc vulnerabilități de securitate. A fost o alegere de carieră foarte populară pentru studenții din toate mediile(studenții care nu sunt CS pot, de asemenea, să o învețe cu ușurință și să fie la fel de buni ca și studenții CS, sau chiar mai buni decât ei).
Din moment ce hackingul etic se referă la compromiterea sistemelor, presupune o familiaritate cu modul în care aceste sisteme funcționează de fapt. În timpul procesului de hacking(etic), veți întâlni rețele, dispozitive de rețea, protocoale de rețea, site-uri web, tehnologii web, mecanisme de livrare de conținut și multe alte componente ale infrastructurilor online. Este esențial să vă simțiți confortabil cu ceea ce fac aceste componente și cum funcționează împreună. Cunoașterea limbajului de marcare a web-ului (HTML), a unui limbaj de scripting (JavaScript), a unui limbaj de transfer de date (XML sau JSON), a componentelor unui sistem bazat pe web, cunoașterea rețelelor de calculatoare și a suitei TCP/IP, precum și cunoștințe de programare de bază în C/C++/Java/Python sunt suficiente pentru a vă ajuta să începeți.
Puteți învăța eficient hackingul etic urmând acest proces în doi pași. Primul pas ar fi să învățați despre concepte și să le înțelegeți bine. Pe internet, resursele de învățare sunt disponibile din abundență. Vă recomandăm:
Cărți recomandate
1. Hacking for Dummies: Seria „for dummies” de la Wiley se concentrează pe publicarea de cărți ușor de citit pentru începători pe diverse subiecte. Această carte introduce utilizatorul în hackingul etic prin concepte și instrumente. Este foarte utilă pentru persoanele care doresc să înceapă să învețe hackingul etic, dar nu se simt foarte confortabil cu programarea. Acest lucru trebuie totuși înțeles că a fi un hacker de elită este aproape imposibil fără a învăța să programezi.
2. Ghidul de studiu CEHv10 de SYBEX: Această carte are ca scop să ajute la pregătirea pentru CEH(Certified Ethical Hacker), un curs popular de certificare în hacking etic. Ea explică metodologia de hacking etic și fazele acestuia. Fiecare fază a hacking-ului etic este bine explicată, cu detalii despre concepte și practică pe instrumente.
3. Hacking, The Art of Exploitation :Această carte este foarte populară de mult timp în comunitatea hackerilor white hat. Probabil din cauza conținutului pe care îl acoperă și a profunzimii în care intră. Partea bună a acestei cărți este că, chiar dacă sunteți un novice fără absolut niciun fel de cunoștințe despre programare și rețele, puteți beneficia enorm. Cartea acoperă Programare de bază în C, Scripting cu Bash, noțiuni de bază despre gestionarea memoriei în calculatoare, sisteme de fișiere, vulnerabilități bazate pe overflow și exploatarea lor, rețele de bază, atacuri asupra rețelelor, scrierea de cod shell și criptologie.
Cursuri online populare
1. Udemy: Aceste cursuri de hacking etic în domeniul securității cibernetice au fost deja urmate de mulți oameni și ratingul lor este destul de bun, așa că presupunem că acestea vor fi cu adevărat utile pentru auto-învățarea ta.
- Learn Ethical Hacking From Scratch
- Cursul complet de hacking etic: De la începător la avansat!
- Hacking în practică: Certified Ethical Hacking MEGA Course
- Ethical Hacking with Hardware Gadgets
- CompTIA Pentest+ (Ethical Hacking) Course & Practice Exam
2. PentesterLab: PentesterLab este util atât pentru începători, cât și pentru cursanții avansați. Tutorialele și laboratoarele lor prietenoase pentru începători sunt de la hackeri etici de mare succes și vânători de recompense de bug-uri și sunt, de asemenea, bine cunoscuți ca instructori și mentori.
3. Pentester Academy: Pentester Academy este o platformă de învățare atât pentru începători, cât și pentru hackerii experimentați. Aceștia au cursuri și laboratoare online pentru principalele vulnerabilități. Pentester Lab are, de asemenea, cursuri de programare, criminalistică, VoIP, securitate DevOps, echipa Red/Blue, etc.
Canale YouTube
1. JackkTutorials: Oferă tutoriale introductive practice pentru aproape toate conceptele, instrumentele și abilitățile importante legate de hackingul etic.
2. Thenewboston: Acest canal nu numai că acoperă elementele de bază ale hacking-ului etic practic, dar oferă, de asemenea, tutoriale de programare, dezvoltare de aplicații, design grafic, chimie, baze de date, editare video etc.
3. HackerSploit: Hackersploit este foarte popular în rândul începătorilor de bug bounty. Dispune de tutoriale de testare a penetrării, walkthrough-uri CTF, sfaturi de vânătoare de bug bounty, tutoriale de programare, tutoriale de analiză malware, tutoriale de steganografie etc.
LiveOverflow, Nahamsec, Bugcrowd și HackerOne sunt, de asemenea, foarte bune și merită verificate.
Site web și bloguri
Aceste site-uri web sunt utile pentru a fi la curent cu descoperirile recente, pentru a obține referințe rapide, pentru a înțelege concepte avansate și multe altele.
1. Blogul lui PortSwigger: Dafydd Stuttart este cunoscut ca portswigger în comunitatea hackerilor. El este un co-creator al instrumentului BurpSuite. Blogul său conține știri despre cele mai recente vulnerabilități ale aplicațiilor web, noi caracteristici ale BurpSuite, sfaturi despre cum să folosești bine BurpSuite și propriile sale descoperiri în calitate de vânător de recompense pentru erori.
2. TheHackerNews: O platformă dedicată pentru cele mai recente știri legate de securitatea cibernetică. The Hacker News oferă informații detaliate despre cele mai recente vulnerabilități, noi evoluții în domeniul securității cibernetice, știri legate de infracțiuni cibernetice, breșe de date, hacktivism etc.
3. HackerOne Hactivity(rapoarte de vulnerabilități dezvăluite): HackerOne este o platformă de recompensă pentru bug-uri. Programele de recompense pentru bug bounty pot permite dezvăluirea publică a unui raport de vulnerabilitate după ce acesta este rezolvat. Aceste rapoarte pot fi folosite pentru a înțelege cum să căutați vulnerabilități pe o țintă, cum să efectuați recunoașterea, cum să abordați puncte finale interesante, cum să exploatați o vulnerabilitate pentru un impact maxim și ce fel de vulnerabilități se găsesc în mod obișnuit pe un anumit tip de țintă.
Al doilea pas este practica: Practicarea este foarte importantă, deoarece vă va ajuta să absorbiți conceptele pe care le-ați învățat. De asemenea, vă va ajuta să căpătați încredere în abilitățile dumneavoastră. Sistemele virtuale vulnerabile în mod intenționat și CTF-urile sunt cel mai bun mod de a exersa. bWApp, DVWA(Damn Vulnerable Web Application), Metasploitable sunt unele dintre cele mai bune VM vulnerabile. OWASP a realizat un index al mașinilor virtuale vulnerabile, care poate fi accesat aici
De asemenea, aruncați o privire la Top 5 locuri pentru a practica hackingul etic
