Jump to content
¯\_( ツ)_/¯
  • TAD GROUP are currently hiring penetration testers. Please read the topic in Career Central subforum.
  • Sponsored Ad
ТУК НЕ СЕ ПРЕДЛАГАТ ХАКЕРСКИ УСЛУГИ ! ×
rutera

Как се става Security Tester

Recommended Posts

Здравейте,

имам свободно време малко се разкарах от работа по ред причини и се замислям над това да стана pentester та се замислям какво ми е нужно за започването на работа. Гледам в jobs-а там имат горе долу следните изисквания

Цитат

REQUIREMENTS:
Penetration testing tools (OWASP)   - знам малка част от нещата методологии и разни
Experience with web app penetration testing
Linux operating systems  - справям се добре
Git  - нямам проблеми с git
ADVANTAGES: - тези неща ги знам на високо ниво
Experience with PHP and or NodeJS

Цитат

 

Друга фирма

Requirements:

Education (degree) and professional experience required: 
• Degree/Diploma in Computer Science, Computer Engineering, Electrical Engineering, Management Information Systems or equivalent certifications (MCSE, MCP, Oracle/MCDBA, HP-UX, CCNA, CCNP, SNIA).
• Having one of the following will be considered an advantage:
- Minimum of 1-2 years’ experience within IT Operations, infrastructure services support (Systems NT, UX, Backups, DB’s, IT Security or Network management), operations monitoring and end user support.
- SIEM knowledge will be considered an advantage

 

В общи линии са това нещата който изискват всички. Въпроса е изискват ли се разни сертификати без който не може (става дума за прословутите CCNA, CCNP и др. който никога няма да ти влезат в употреба и от тях ще научиш някой основни неща който едва ли ще ги използваш е ежедневието си), нужен ли е опит по трудова книжка абе въобще ще съм благодарен на някой да сподели опит малко за да се ориентирам на някъде. Само да утоним зная как се конфи един juniper, cisco и какво е osi модел и защо се използва. Смятането на мрежите не ми е проблем, зная как се работи с arpspoof, mimtf, ettercap абе стандартните неща. 

Share this post


Link to post
Share on other sites

Абе трудно ми се струва. Имам огромно желание да се започна работа в сферата дори и на по-ниско заплащане докато навлеза яко в нещата но на много места не ме отразяват щото съм нямал едно или друго. Е как да го имам като инвестирам едни 5-6 бона е нали трябва да ги изработя за да ги дам хах. Някой да сподели неговият опит. От къде е почнал и къде е стигнал.

Share this post


Link to post
Share on other sites

Здравейте,

да продължа темата, гледам някакви видеа относно кариера в IT, става въпрос за мнението на Наков (софтуни) и той твърди, че човек който желае да се занимава със секюрити или иначе казано

Information Security Officer,
Information Security Analyst,
Cyber Security Analyst  нещо подобно трябва да има поне 8-10 години опит, да е добър програмист, да е бил добър системен администратор, добър мрежар абе едва ли не бог. И, че всеки един който се занимава с това не може просто да мине един два курса и примерно един сертификат и да работи това. Според вас това така ли и е? И все пак за какво са тези курсове та дори и в софтуни по 3 месеца за етични хакери, дето като ги изкараш и едва ли не не ставаш за нищо.

Нека някой сподели мнение, дали Наков е найстина прав, и има ли сми да се бъхти човек.

 

Share this post


Link to post
Share on other sites

Квантовия отговор: "И да, и не", но според мен е искал да  каже са важни както познанията така и опита.

Виж, секюрити е много общо понятие. Какво искаш да правиш? Имаш много възможности: да си тестър - пързо започваш да тестваш уеб сайтчета и да скарнираш мрежи (vuln assessment, network discoverey, etc), после минаваш на тестове на апликации (web, mobile, clients),  и след това по сложни  работи.

Може да искаш да се развиваш в incident response (blue team) - там е хубаво да имаш опит с мрежи и операционни системи, започваш с това да отмяташ тикетите докато не получиш опит и почнеш да правящиш forensics, malware analysis, etc.

Някой хора се кефят на hardware hacking. 

Има такива който се занимават с research.

A аз играя и ctf игри, защото това според мен е reality-check какъв секюрити специалист си.

Но с каквото и да си избереш е добре да започнеш да се занимаваш професионално колкото се може по-бързо, за да изградиш опит.

Share this post


Link to post
Share on other sites

По-скоро въпроса е не с какво искам а къде има работа, като погледнеш jobs-а и става ясно, че няма почти хляб за нищо свързано със security, освен Information Security.

Иначе съм се занимавал със web app testing, минах малко през мрежите, ама най си ме влече събирането на информация research. Някак ако има повече възможности за работа ще е супер, ама уви никой не желае да наеме човек който има желание да се учи и има опит но не особено голям. Масово искат по няколко години стаж, сертификати, бъбрек и малко от белия дроб.

 

Пс: някой ако знае къде търсят хора които да работят в тази сфера дори и със малко заплащане да свирка.

Edited by rutera
  • Like 1

Share this post


Link to post
Share on other sites

Сега разбрах същността на въпроса. Ами всеки иска елитна нинджа в екипа, а как се измерва това - с резултати. Аз като отворя linkedin и виждам:

image.png.702e7c5110b49944bc2edc9bd987c13b.png

Не е като да няма възножност за работа. Но готов ли си при полужение че нямаш професионален опит със секюрити (<1година) да започнеш на 1000лв заплата - преди данъци. Аз започнах на по-малко от това преди 8г. Но тъй като се занимавах с нещо което ми харесва, малката заплата не ми тежеше.

Моя опит по този път ми докарваше почти двойно увеличение на заплатата всяка година:

г1 - 800лв./м

г2 - 1600лв./м

г3 - 2600лв./м

г4 - 4000лв./м

....

....

естествно това не означава че в момент правя 30к на месец, но се надявам че хвана идеята.

Според мен ставаш специалист след 100 успешно завършени проекта а експерт след 300. Като трябва да си избираш компании които оценяват секюрити а не го имат просто за compliance. Защо? за да може да инвестират постоянно в твоето обучение, за да може да имат елитна нинджа.

Edited by d3k4z
  • Like 1

Share this post


Link to post
Share on other sites

Здрасти, @d3k4z 

сега се зачетох във форума и намерих темата която съм пуснал преди време. 

Та да ти отговоря на въпроса дали съм готов да започна работа за под 1000лв. разбира се, както се казва ако някой дава дори 700лв. съм готов веднага да започна, в крайна сметка желая да се развивам в тази сфера. Знам какво е да работиш и за 1600 и за 700, малко е тегаво но когато си надъхан и имаш желание скоро тези 700 на който си започнал ще станат 900 после 1100 и така. Както се казва за една година ще си дръпнал със матеряла.

Само да уточним нещо, относно опита който имам, минал съм през техник и опъване на оптики, сплайсване, след това прокарване на мрежи, конфигурации на всичко свързано с тях и крайните у-ва това едни 4 години, след това техническата поддръжка за цялото това още едни 3 години, след това няколко хостинг компании ака. хост.бг и суперхост 4 години, там се прави всичко от хакнати сайтове до reverse engineering, след това около година конфигуриране на switch-ове, juniper, hp, d-link, tp-link докато не стигнахме е един дейта център за половин година всичко се прави там, хардуер, софтуер, конфигурация и през цялото това нещо писане на системи който да олеснят работния процес във всяка една фирма на php или чат пат java и така.

 

Аз все още приемам оферти, сега почвам comptia security+ и съм решил да изкарам някой друг сертификат. Сега в предвит положението е covid-19 много хора и аз останахме без работа та реших вместо веднага да започна друга работа да поуча малко за месец и така.

Share this post


Link to post
Share on other sites

Аз не виждам никакъв смисъл от comptia security+ да го ползват като секюрити сертификат, и не съм сигурен колко го вземат на сериозно. Например: В моя тийм CISSP, CompTIA и CEH не ги признаваме за секюрити сертификати, или по-точно не ги признаваме за технически сертификати. Стреми се към Offensive Security и SANS, скъпи са но са признати в индустрията. Даже в момента си говорим с колегите да приемамем hackthebox.eu статистики, а между другото тия вече имат и VIP лабс което може би е по-добро от Offensive Security.

Важното е колкото се може по-бързо да започнеш да правиш професионални проекти, препоръчително с екип в който има хора от които да научиш нещо ново и интересно.

Share this post


Link to post
Share on other sites

Защо точно Security? Според мен за да станеш тестер на някаква система (софтуер) първото и най-важно нещо е да познаваш технологията с която е създаден. Колегите много точно те ориентираха, че това е широко понятие. Качествените тестери са специализирани в една област. За мен тестера трябва на първо време да е програмист и на второ време трябва да е една идея над developer-ите на фирмата. Тестера трябва да умеее да чете код и да търси несъответствия с технологията. Ако има проблеми с топология или изобщо някое основно правило е нарушено, тестера трябва да каже „Колеги, оправете си бакиите!“. За това в качествените фирми, често тестерите взимат по-голяма заплата от някои програмисти. Да си тестер е трудно. Трябва обобщено и основно научаване на много технологии. Ако те влече, не е трудно, но пак се изисква много време и ресурс вложен в теб. 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.