我如何成为渗透测试人员/道德黑客?我们问专家!这是最权威的回答!
我们经常被初学者问到“我如何成为一名道德黑客”;或者“我如何成为渗透测试员”?所以,我们认为,不是反复回复相同的问题,最好的办法是请现在在该领域工作的渗透测试人员,听听这些安全界的前辈是怎么从Pentesting(网络安全)行业开始的?
毫无疑问:网络安全市场正在蓬勃发展,预计到2022年该行业的职业薪资会达到非常好的标准,这也是这方面除恶学者的工作保障以及职业发展的前景。渗透测试员在网络中可以是一个有趣且高度充实的角色,但当然,就像生活中的其他工作一样,它可能会遇到挑战。
根据各个国家的用工情况统计,网络安全人员仍然面临非常大的空缺,目前在职的安全人员,远远无法满足正常的市场需要,由此可见,如果你能成为一个合格的网络安全从业者,你的未来前景一定是非常广阔的。但问题仍然是“如何开始网络安全事业!”
在这篇文章中,我们询问了当前或者曾经在该领域工作的专业渗透测试人员,就如何成为职业黑客,发表了各自的看法,我相信这是非常有涵养的内容,远远超过你可以在任何搜索引擎随意搜索到的内容价值,我建议初学者,一定要好好看完。
你会从这篇文章中学到什么?
你必须对它充满热情('黑客,网络安全,测试等');你必须学习黑客工具以及懂得如何最好地使用它们;参与认证很重要,也很有帮助!CEH,CISSP,Security+,OSCP,C)PTE大量的学习,及时掌握各种前沿的技巧等
SulemanMalik[取自Suleman的TED简介]SulemanMalik是一位专注且资源丰富的计算机专业人员,在网络安全,渗透测试,安全研究,恢复和维护各种硬件和软件方面拥有9年以上的丰富学习经验。他在利兹工作,目前是全日制学者,学习计算机取证与安全。他是一名IT安全专家,对道德黑客攻击/测试,社会工程,安全研究和开发攻击非常感兴趣。
你是怎么成为渗透测试员的?
道德黑客,计算机攻击是我个人的兴趣,当我12岁时,我就进入了这个行列。自从我还是个孩子以来,我一直这样做。所以,我开始从互联网上学习道德黑客并学到很多关于它的信息。我还在深入学习[网络安全]。如果你没有这方面的知识,那么成为道德黑客并不是一件容易的事。如果你热衷于此那么你必须深入了解它,网络以及两个设备如何通过互联网相互通信以及它们用于从一个设备到另一个设备逐位传输的协议;以及两个设备连接时引发的安全问题是什么?一旦理解,你就会开始爱上它!
您对有兴趣成为渗透测试员的人有什么建议?
要成为一名渗透测试员,您需要从独立学习开始。我建议您从Web应用程序测试开始学习。它将使您更加了解客户端和服务器端攻击。您还将了解常见的Web应用程序漏洞以及如何利用它们。有一些最新的虚拟机可以在线使用,它们可以帮助您了解漏洞以及如何利用这些漏洞。少数流行的VM工具是Metasploitable,Dojoweb,PentestLab和HackLabs。您可以下载它们并开始向这些工具学习,因为它们是为初学者准备的。您将在OWASP网站上找到十大常见Web漏洞。您还可以找到有关使用OWASP大量详细信息
因此,最好开始学习测试如何破解Web应用程序,当您认为自己精通时,可以进入“网络黑客”和其他领域。
注意:如果您具有PHP,JAVA和HTML语言基础,您将了解更多。
JustinKeller,C)PTE,ACMT,ACTC
Justin是认证渗透测试工程师(CPTE),Apple认证技术协调员,Apple认证Macintosh技师,HurricaneElectricIPv6认证Sage。
你是怎么成为渗透测试员的?
我一直很喜欢电脑和学习。有一天,我在线开始阅读有关要求的内容,其中包括对系统的深入了解。我决定要深入了解并且测试是应用它的最佳方式。
您对有兴趣成为渗透测试员的人有什么建议?
购买教科书,阅读它们。购买认证指南,即使您不打算参加他的认证。指南提供了可用于衡量您理解的问题。从受信任的来源在线或亲自接受培训。最后,准备好后,获得认证。我推荐C)PTE,C)PTC和CEH
NijatTaghiyev,OSCPIT安全专家,阿塞拜疆
你是怎么成为渗透测试员的?
我开始阅读一些文章,书籍,论坛和参加PWK课程(使用KaliLinux进行渗透测试)
您对有兴趣成为渗透测试员的人有什么建议?大量重复的练习,阅读书籍,博客
Scott'R4v3N'DrewPenetrationTester和TopHatSec的所有者(一个非常棒的黑客论坛)
你是怎么成为渗透测试员的?
经过多年的奉献和展示我的知识,我能够找到我喜欢的工作。它必须是一种激情,它必须是你在业余时间作为业余爱好开始的东西。没人在一夜之间成为一名渗透测试员。在成为令人满意的职业之前,这总是一种爱好。
您对有兴趣成为渗透测试员的人有什么建议?
渗透测试是一个热门市场。总的来说安全性是需求的,尤其是现在比以往任何时候都或缺。你真的需要对它充满热情。如果你想脱颖而出,这些也是你需要去做的。这并不意味着计算机科学的学士学位。也并不代表您拥有的CISSP。或者你有一个安全博客,或者你是否在任何安全论坛上活跃,或者你是否正在使用github或bitbucket自己开展任何项目,或者你参加过任何CTF?
你应该明白,首先你应该参与当地的黑客组织,您需要让自己参与安全社区。您需要成为该社区的一员,并与拥有相同激情的人一起环绕自己。也许很多时候很多事情,会让你有时候你可能会想要离开,或者想要放弃,但你必须继续并投入时间。总有一天你会因为你的激情而获得奖励。
这是一门艺术。这是一项技能。这需要时间来学习,如果你愿意,这可能是一生的旅程。你永远不应该停止学习,全面发展并选择一个安全的主题,你会发现自己更喜欢它。
ChoudharyMuhammadOsama
渗透测试员和应用安全研究员
你是怎么成为渗透测试员的?
从童年开始,我一直对信息安全充满热情;如果要认真的来说,我是一个十几岁就去网吧的人,一切都从那里开始,我被这些家伙们所做的事情所迷恋,我深深地爱上了黑客。发现目标,攻击机器,窃取信息,图片等,从中获得乐趣。然后我参加了其他的一些活动,一些“安全专业的工作”。
您对有兴趣成为渗透测试员的人有什么建议?
爱学习!如果您因为需要快速学习新技能,操作系统,程序语法或攻击策略而感到畏缩,您可能会感到不知所措,但是,请保持希望!以你喜欢的方式,找到改进的方法,并为那些疯狂地需要更多有安全意识的人的“黑客”工作。
戴尔SecureWorks的RazvanGabrielComanPenetration测试顾问
(为财富500强医疗保健客户提供渗透测试等服务)
你是怎么成为渗透测试员的?
我可以说自从高中毕业后我就想这样做,但是在进入渗透测试职位之前,我是一名物理学学士,一名物理学硕士和5年的多个IT安全角色。
您对有兴趣成为渗透测试员的人有什么建议?
首先,要有尝试进入黑客核心的心态。安全无处不在,不仅仅是在计算机上,每天学些新东西。学习一些密码学原理。了解计算机网络和协议,使用Wireshark和GNS3等网络模拟器进行练习。学习操作系统原理,安装Linux,每天尝试使用它。了解Web技术和安全性(HTML,JavaScript,PHP,SQL,OWASPTop10),使用BurpSuite,OWASPZAP,SQLmap,Firebug分析在线提供的易受攻击的应用程序,获取通用编程语言(如Python),在处理您选择的小项目时学习它。启动一些易受攻击的虚拟机并创建一个小型的测试实验室,使用Nmap,Metasploit和其他KaliLinux工具。进入任何可行的IT/安全工作,因为有些事情只能在工作中学习。在那里学习所有你能做到的事情。不要指望熬夜的结果,这是一条漫长的道路,需要不断的学习,但如果你足够热情,这绝对是值得的。
SCASSI MohamedTehami
渗透测试员
你是怎么成为渗透测试员的?
因为我很年轻的时候,我就对安全和黑客感兴趣,这完全是出于好奇心,想要了解具体的计算机很多事情是如何运作的,以及我们如何改变他们的工作方式。这是我在大学选择计算机研究生涯的主要原因(现在有几个关于信息安全的专业);学习所有与IT,网络,编程,设计等相关的基础知识,在我这段时间里,我喜欢在家里的本地实验室做一些测试,而现在有很多网站提供黑客攻击对初学者来说很有挑战性的挑战。与安全相关的实习对于成为专业的笔友来说也很重要,但这并不总是必要的。
您对有兴趣成为渗透测试员的人有什么建议?
为了成为一名优秀的测试者,您首先应该对计算器的运作方式,网络协议,应用程序有一个很好的了解。因为测试不仅仅是使用黑客工具(我们称之为脚本小子),但它是关于知道你正在做什么,而工具可以帮助减少你的工作。在掌握了良好的IT基础知识之后,你应该开始阅读安全性和漏洞以及利用它们的方式,这需要耐心和好奇心来学习,而且不通过测试,你永远不会知道所有的事情,因为每次你可以测试不同类型的平台不同的技术,你需要找到你的方法来打破它,但如果你不知道事情是如何工作的,所以你永远应该在不断的学习过程中。
MoatazMoustafa
道德黑客和渗透测试员
你是怎么成为渗透测试员的?
当我12岁的时候,我对计算机世界,编程和互联网非常感兴趣,我想成为Android开发人员,所以在我13岁的暑假,我开始学习用Java和Eclipse编写代码,我开始访问一个名为XDADevelopers的网站,这是我的一次经历,我花了一整天的时间在这个网站上,学习和获得经验。然后我开始学习Linux,root和开源项目,然后我制作了我的第一个脚本来用于我的华为手机。我看到安全和黑客是一个非常令人兴奋的话题,所以我开始阅读越来越多的东西并学习,然后我开始学习在线课程,阅读文章,并进入在线社区,学习编程,网络,Linux管理和渗透测试,我的职业生涯始于自由职业渗透测试员,然后我开始在公司中建立职位。
您对有兴趣成为渗透测试员的人有什么建议?
作为一个渗透测试人员需要努力和动力,对技术和信息安全的热情是必须的,作为一个渗透测试员并不意味着知道如何编写一些终端命令或自动写一些工具,渗透测试员对于计算机,系统和网络如何工作必须是有广泛知识的人,每个渗透测试人员必须掌握编程语言,了解网络如何工作和操作,如何设计系统,了解互联网和信息安全,然后是时候学习黑客技术,掌握渗透测试最重要的是实践,所以新的渗透测试人员应该准备易受攻击的虚拟机并试图破解它们并参加CTF竞赛,有人可以从易受攻击的黑客攻击的vm中学到技术的最好的书籍之一(kalilinuxctfblueprints),当然这不是最后一件事,你每天都必须学习新东西,所以你应该每天更新自己,不断练习,不断获得新技能,永不停止学习。
OoPpS先生
OoPpSs先生是一位非常年轻的网络安全和网络犯罪调查员。
他从6年开始参与信息技术和网络安全领域。他拥有CEH,CPH,CHFI,LPT,CISE,CEHIE,认证信息系统安全专家,互联网网络安全专家,认证Android开发,云计算机应用开发专家,认证网络犯罪调查员,EnCase认证考官等专业国际认证,认证计算机取证审查员,印度法律研究所网络法,MCSE和CCNA认证,数字法医和网络犯罪调查文凭,认证信息系统安全专家法医文凭等。
您对有兴趣成为渗透测试员的人有什么建议?
基于对初学者福利的一种奉献。请遵循道德黑客的十条诫命:
1. 始终从网络法开始,因为这将清楚地说明我们为道德黑客行为的约束。
2. 总是教“道德黑客”而不是“黑客”。由于指导不当,许多初学者都在监狱里。
3. 提高对“道德黑客”的认识和信息安全领域的职业前景。
4. 为未来的研究和国际认证提供适当的指导,如MS,M.Tech(信息安全和网络法)或将帮助他们的认证。
5. 始终明确可以做什么/不能做什么,不要误导初学者,比如“没有人能抓住你/追踪你”。
6. 讨论如何解决网络案例并激励他们成为道德黑客而不是黑客。
7. 不要教授违反网络法的非法行为。
8. 推广开源软件的使用,鼓励初学者学习和编写自己的工具/软件。
9. 始终引用您教授的任何内容,以便初学者也会关注您而不会复制其他材料/代码。
10.清楚地告诉他们道德黑客不是游戏也不是娱乐。告诉他们这是多么重要,并告诉他们如何能够拯救很多人的现实生活场景。
DimitrisPallis,OSCPDimitris目前是一名自由职业者
使用bug-bounty/freelancing平台的资源(BitdefenderBugBounty名人堂Bitdefender)探测和利用基于Web的应用程序,网络和系统中的安全漏洞。
你是怎么成为渗透测试员的?
这实际上是我的职业规划。我一直很好奇计算机是如何工作的,并且对于它们如何相互作用感到着迷。打破规则更令人兴奋(总是一个“白帽子”的话题),为什么不为它付钱?我在网上做了大量研究,我100%自学成才,一开始很难,但它仍然是最好的学习方式。当我对KaliLinux操作系统及其工具感到满意时,我选择了安全行业和IT中最严格的认证之一OSCP。然后,我正式成为一名专业的渗透测试员,并有足够的信心申请这些职位。
您对有兴趣成为渗透测试员的人有什么建议?
首先,除了技能,我建议必须他/她有决心,耐心。这可能听起来有些陈词滥调,但没有它们你就无法继续。在技术方面,我建议对KaliLinux操作系统熟悉。网上有很多免费课程,查看它们会很有帮助。当你有足够的信心时,你也可以下载易受攻击的虚拟机器并试图获得root权限!
AlfonsoGarciaAlguacilAlfonso是思科的PenetrationTester
您对有兴趣成为渗透测试员的人有什么建议?
我会说,一旦你在编程,网络和操作系统方面拥有良好的知识基础,最好的方法就是使用CTF。玩CTF会打开你的大脑,你将开始考虑如何打破软件,你也将学习自己学习,寻找有关每个挑战中隐含的技术的文档,寻找过去发现的类似漏洞等。而最重要的部分,它非常有趣!
马修泰米(temmyscript)
你是怎么成为渗透测试员的?
这是我作为业余爱好开始的事情,然后开始变得专业
您对有兴趣成为渗透测试员的人有什么建议?
您可以从在线和真实的人身上学到大量的知识。如果您有问题不要退缩,请坚持下去。
SurajRajkumarWaghmareSuraj是JainamTechnologiesPvtLtd的安全分析师
你是怎么成为渗透测试员的?
是兴趣驱动。
您对有兴趣成为渗透测试员的人有什么建议?
大量学习,大量获得知识。
RanjanKathuriaRanjan是NestAwayTechnologiesPvtLtd的安全工程师
你是怎么成为渗透测试员的?
在我们大学一个人用键盘记录器攻击Facebook后,我开始进入安全领域。
您对有兴趣成为渗透测试员的人有什么建议?
不要在Google上搜索:“如何破解Facebook”。这是最愚蠢的行为。
MohamedMagdyHassan
Mohamed在道德黑客攻击,渗透测试和漏洞评估以及安全代码审计方面拥有丰富的经验。除了熟悉编程语言(C,PHP,Java,JavaScript......)和脚本语言(如Bash,Python,Ruby)之外,他还是“InfoSecElities”的技术主管,这是利雅得的一个信息安全社区。
你是怎么成为渗透测试员的?
我开始作为安全工程师工作。我从事防火墙,IP,Web网关,防病毒,高级威胁等工作。在此期间,我学习了网络和Windows系统。之后我开始进行Web渗透测试,因为我最初是一名Web开发人员,通过了eWAPT证书。之后我开始作为网络渗透测试员工作。在那期间,我正在为我的OSCP学习,直到我终于得到它。
您对有兴趣成为渗透测试员的人有什么建议?
要成为成功的渗透测试人员,您需要了解2个主题,网络和系统(Windows/Linux)。之后,这取决于你的目标。如果您计划进行Web渗透测试,我建议得到eWPT证书并参与bug赏金计划。如果您计划进行基础设施渗透测试,我建议得到eCPPT和/或OSCP证书并参与CTF。一些可以帮助你的常用工具是:Nikto,Nmap,Metasploit,Ettercap,JohnTheRipper,Wireshark,BurpSuite,Sqlmap,BeEF和Hydra。
ChaitanyaBobhate
作为爱国者,我一直渴望为我的国家作为网络安全和信息安全领域工作,这是我渴望的领域之一。
你是怎么成为渗透测试员的?
在这个不断发展的技术世界中,一切都是数字化的,并且是平行的,安全性在于图像,每个组织都关注其系统安全性;您需要保护入侵者的机密数据。渗透测试人员会探测和利用模拟真实网络攻击的漏洞和安全漏洞,您的最终目标是帮助组织改善其安全状况。渗透测试是一个“酷孩子”的工作,但它也是我个人的兴趣;黑客是我的热情,这是一个充满挑战的职业,你需要集思广益来完成你的任务。为了追求我的专业水平,我已经获得了渗透测试认证,并完成了CEH(认证道德黑客)。我也在准备OSCP认证,以提升我在我的领域的知识。
您对有兴趣成为渗透测试员的人有什么建议?
根据我的理解知识,渗透测试领域的重要事项是,人们应该充满热情,需要对技术进行更新积累。一个人应该是自学者,自我激励者,应该了解网络,操作系统,数据库和编程基础知识。
HarshitSharmaHarshit是Techinvo的网络安全研究员,道德黑客和首席执行官。
你是怎么成为渗透测试员的?
我曾经在网络上被欺负,因此我才成为了道德黑客。
您对有兴趣成为渗透测试员的人有什么建议?
充满激情地追求它。
