Ethisk hackning är en offensiv testning av datorsystem för att hitta säkerhetsrelaterade kryphål. Dessa kryphål kallas för säkerhetsbrister. Det har varit ett mycket populärt karriärval för studenter med alla bakgrunder (studenter som inte är civilingenjörer kan också lätt lära sig det och bli lika bra som civilingenjörer, eller till och med bättre än dem).
Då etisk hackning handlar om att kompromettera systemen, förutsätter det att man är bekant med hur dessa system faktiskt fungerar. Under din process att hacka (etiskt) kommer du att stöta på nätverk, nätverksenheter, nätverksprotokoll, webbplatser, webbteknik, mekanismer för innehållsleverans och många andra komponenter i online-infrastrukturer. Det är viktigt att du känner till vad dessa komponenter gör och hur de fungerar tillsammans. Kunskaper om webbens uppmärkningsspråk (HTML), ett skriptspråk (JavaScript), ett dataöverföringsspråk (XML eller JSON), komponenterna i ett webbaserat system, kunskaper om datornätverk och TCP/IP-sviten samt kunskaper om grundläggande programmering i C/C++/Java/Python räcker för att du ska komma igång.
Du kan lära dig etisk hackning på ett effektivt sätt genom att följa denna tvåstegsprocess. Det första steget skulle vara att lära sig om begrepp och att förstå dem väl. På Internet finns det gott om resurser för inlärning. Vi rekommenderar:
Rekommenderade böcker
1. Hacking for Dummies: Wileys ”for dummies”-serie fokuserar på att publicera nybörjarvänliga böcker om olika ämnen. Den här boken introducerar användaren till etisk hackning genom begrepp och verktyg. Den är mycket användbar för personer som vill börja lära sig etisk hackning men som inte är särskilt bekväma med programmering. Man bör dock vara medveten om att det är nästan omöjligt att vara en elithacker utan att lära sig programmera.
2. CEHv10 Study Guide by SYBEX: Denna bok syftar till att hjälpa till med förberedelserna för CEH(Certified Ethical Hacker), en populär certifieringskurs i etisk hackning. Den förklarar metodiken för etisk hackning och dess faser. Varje fas av etisk hackning är väl förklarad med detaljer om begreppen och praktik på verktygen.
3. Hacking, The Art of Exploitation :Den här boken har varit mycket populär bland white hat-hackare under en lång tid. Förmodligen på grund av det innehåll den täcker och det djup den går in på. Det som är bra med den här boken är att även om du är en nybörjare med absolut inga kunskaper om programmering och nätverk kan du ändå dra stor nytta av den. Boken täcker grundläggande programmering i C, scripting med Bash, grunderna i minneshantering i datorer, filsystem, överflödsbaserade sårbarheter och deras utnyttjande, grundläggande nätverk, attacker på nätverk, skrivande av skalkod och kryptologi.
Populära onlinekurser
1. Udemy: Dessa kurser i etisk hackning av cybersäkerhet har redan tagits av många människor och deras betyg är ganska bra, så vi antar att de kommer att vara riktigt användbara för ditt självlärande.
- Lär dig etisk hackning från grunden
- Den kompletta kursen i etisk hackning: Nybörjare till avancerad!
- Hacking i praktiken: Certified Ethical Hacking MEGA Course
- Ethical Hacking with Hardware Gadgets
- CompTIA Pentest+ (Ethical Hacking) Course & Practice Exam
2. PentesterLab: PentesterLab är användbart för nybörjare och avancerade elever lika mycket. Deras nybörjarvänliga handledningar och laborationer kommer från mycket framgångsrika etiska hackare och bug bounty hunters och de är också välkända som instruktörer och mentorer.
3. Pentester Academy: Pentester Academy: Pentester Academy är en plattform för lärande för såväl nybörjare som erfarna hackare. De har kurser och onlinelaborationer för större sårbarheter. Pentester Lab har också kurser i programmering, kriminalteknik, VoIP, DevOps Security, Red/Blue team etc.
YouTube Channels
1. JackkTutorials: Ger praktiska introduktionshandledningar till nästan alla viktiga begrepp, verktyg och färdigheter i samband med etisk hackning.
2. Thenewboston: JackkTurnering: Ger praktiska introduktionshandledningar till nästan alla viktiga begrepp, verktyg och färdigheter i samband med etisk hackning.
2: Denna kanal täcker inte bara grunderna i praktisk etisk hackning utan ger också handledning i programmering, apputveckling, grafisk design, kemi, databaser, videoredigering osv.
3. HackerSploit: HackerSploit är en kanal som ger en grundläggande utbildning i etisk hackning: Hackersploit: Hackersploit är mycket populärt bland nybörjare inom bug bounty. Här finns handledningar om penetrationstestning, CTF-genomgångar, tips om bug bounty-jakt, handledningar om programmering, handledningar om analys av skadlig kod, handledningar om steganografi etc.
LiveOverflow, Nahamsec, Bugcrowd och HackerOne är också mycket bra och värda att kolla in.
Websidor och bloggar
Dessa webbplatser är användbara för att hålla sig uppdaterad om nya rön, för att få snabba referenser, för att förstå avancerade begrepp, med mera.
1. PortSwiggers blogg: Dafydd Stuttart är känd som portswigger i hackersamfundet. Han är medskapare av verktyget BurpSuite. Hans blogg innehåller nyheter om de senaste sårbarheterna i webbapplikationer, nya funktioner i BurpSuite, tips om hur man använder BurpSuite på ett bra sätt och hans egna upptäckter som bug bounty hunter.
2. TheHackerNews: En särskild plattform för de senaste cybersäkerhetsrelaterade nyheterna. The Hacker News ger detaljerad information om de senaste sårbarheterna, ny utveckling inom cybersäkerhetsområdet, nyheter om cyberbrott, dataintrång, hacktivism osv.
3. HackerOne Hactivity (disclosed vulnerability reports): HackerOne är en bug bounty-plattform. Bug bounty-program kan tillåta offentliggörande av en sårbarhetsrapport efter att den har lösts. Dessa rapporter kan användas för att förstå hur man letar efter sårbarheter på ett mål, hur man utför spaning, hur man närmar sig intressanta slutpunkter, hur man utnyttjar en sårbarhet för maximal effekt och vilken typ av sårbarheter som är vanligt förekommande på en viss typ av mål.
Det andra steget är övning: Att öva är mycket viktigt eftersom det hjälper dig att ta till dig de begrepp som du har lärt dig. Det kommer också att hjälpa dig att få förtroende för dina färdigheter. Avsiktligt sårbara virtuella system och CTF:er är det bästa sättet att öva. bWApp, DVWA (Damn Vulnerable Web Application), Metasploitable är några av de bästa sårbara virtuella systemen. OWASP har upprättat ett index över sårbara virtuella maskiner, som kan nås här
Se även Top 5 places to practice ethcial hacking