Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

 
Reply to this topicStart new topic
> Pentesting/Security
MBU
post 13.06.2018, 09:27:18
Post #1





Grupa: Zarejestrowani
Postów: 0
Pomógł: 0
Dołączył: 13.06.2018

Ostrzeżenie: (0%)
-----


Hej,

ciekawa jestem czy powszechne wśród PHP devów jest myślenie o ścieżce IT security? Pytam bo jako rekruter szukam obecnie Pentesterów z aktualną wiedzą PHPową (PHP 7, Symfony) lub programistów z pasją w tym kierunku, nie musi być to doświadczenie komercyjne, ale duża motywacja i samodzielne uczenie wystarczą smile.gif Także mega fajna szansa. Pytanie jednak czy spotkaliście się z takimi zainteresowaniami u kolegów?

pozdrawiam,
Monika
Go to the top of the page
+Quote Post
athabus
post 13.06.2018, 14:15:58
Post #2





Grupa: Zarejestrowani
Postów: 863
Pomógł: 44
Dołączył: 2.11.2005
Skąd: Poznań

Ostrzeżenie: (0%)
-----


Moniko, a co ma do zaoferowania taka ścieżka kariery. Pytam zupełnie serio, bo sam nigdy czegoś takiego nie rozważałem, a własnie szukam pracy w PHP w kierunkach niestandardowych, tj. coś co nie jest robieniem stronek/sklepów i innych podobnych rzeczy. Na razie w poszukiwaniach skupiam się na tematach typu aplikacje backendowe / przetwarzanie danych / api etc. W sumie temat wydaje się ciekawy - zastanawiam się jak tutaj wygląda ścieżka kariery, czy w perspektywie czasu można tu zarobić jakieś uczciwe pieniądze, jak wygląda zapotrzebowanie rynku itp.
Go to the top of the page
+Quote Post
MBU
post 14.06.2018, 09:02:29
Post #3





Grupa: Zarejestrowani
Postów: 0
Pomógł: 0
Dołączył: 13.06.2018

Ostrzeżenie: (0%)
-----


Cytat(athabus @ 13.06.2018, 14:15:58 ) *
Moniko, a co ma do zaoferowania taka ścieżka kariery. Pytam zupełnie serio, bo sam nigdy czegoś takiego nie rozważałem, a własnie szukam pracy w PHP w kierunkach niestandardowych, tj. coś co nie jest robieniem stronek/sklepów i innych podobnych rzeczy. Na razie w poszukiwaniach skupiam się na tematach typu aplikacje backendowe / przetwarzanie danych / api etc. W sumie temat wydaje się ciekawy - zastanawiam się jak tutaj wygląda ścieżka kariery, czy w perspektywie czasu można tu zarobić jakieś uczciwe pieniądze, jak wygląda zapotrzebowanie rynku itp.


Hej,

bezpieczeństwo IT to razem z cloudem i Big Datą oraz AI najbardziej przyszłościowe kierunki - wystarczy pragmatycznie spojrzeć na to, jak rozwija się nam wszystko i w którym kierunku iidzie smile.gif Pieniądze w ITSec są dobre. Pentesterzy zarabiają coraz wiecej, przekraczają zarobki programistów coraz bardziej. Poszukaj trochę w sieci - sporo pentesterów dzieli się wiedzą, jak zaczynali itp. Zdecydowana większość z nich uczyła się sama w domu. Często są to ex programiści Javy,Pythona, PHP

pozdrawiam,
Monika
Go to the top of the page
+Quote Post
athabus
post 14.06.2018, 10:26:42
Post #4





Grupa: Zarejestrowani
Postów: 863
Pomógł: 44
Dołączył: 2.11.2005
Skąd: Poznań

Ostrzeżenie: (0%)
-----


Dzięki za odpowiedź. Zdziwił mnie trochę Twój pierwszy post szczerze mówiąc. Zawsze wydawało mi się, że takie rzeczy jak testy penetracyjne to jest domena jakiejś wąskiej grupy wysokiej klasy specjalistów. Oczywiście wszystkiego można się nauczyć, ale (tak mi się wydawało) droga od programisty PHP (czy innego) do zostanie specjalistą od zabezpieczeń jest długa i liczona raczej w latach. Piszesz, że wystarczy znajomość PHP + chęć do nauki - rzeczywiście są dzisiaj firmy, które chciałyby zainwestować w programistę PHP i szkolić go na pentestera?

Wybacz trywialne pytania, ale temat mnie zainteresował, ale wydaje mi się, że przebranżowienie wymagałoby pewnie przynajmniej z 2 lat pracy za niskie stawki i uczenia się praktycznie fachu od nowa. O ile np. zmiana technologii wydaje mi się prost - w końcu wszędzie chodzi o to samo i ogólne zasady się nie zmieniają, to jednak pentester musi mieć szeroką wiedzę z tematów (prawie) zupełnie nie związanych z programowaniem.
W mojej opinii (znów może mam błędne wyobrażenie) firmie na dzisiaj mógłbym zaoferować jedynie chęć uczenia się i zrozumienie podstaw działania php/mysql - co więcej bycie tu juniorem/regularem/seniorem niewiele zmienia.
Go to the top of the page
+Quote Post
Damonsson
post Wczoraj, 13:05
Post #5





Grupa: Zarejestrowani
Postów: 2 352
Pomógł: 533
Dołączył: 15.01.2010
Skąd: Bydgoszcz

Ostrzeżenie: (0%)
-----


Przeszedłem ścieżkę od developera PHP do Pentestera, więc trochę opowiem.

Na pewno ciężko zostać specem od IT Security w każdej dziedzinie, bo Security ma mnóstwo specjalizacji. Ja skupiłem się na Web Security i w tym się wyskillowałem, wszedłem na bardzo wysoki poziom w ciągu ~9 miesięcy "zabawy" z Security po godzinach. Przed rozpoczęciem wdrażania się nie potrafiłem znaleźć trudniejszej dziury SQLinjection, więć startowałem naprawdę z niskiego poziomu. Dzisiaj jestem osobą, która pracowała jako Team Leader w zespole testującym największe polskie banki.

Oczywiście wszystko zależy jaki masz chłonny mózg. Jeśli po X latach nie jesteś dobrym devem, to dobrym pentesterem pewnie też nie zostaniesz nagle w X czasu. Ja też nie uważam siebie za wyjątkowo zdolnego, porównując wiedzę z całego przekroju Security (sieci, hardware, revers engineering itd.) osób z którymi np. pracowałem. Dlatego specjalizacja w jednej dziedzinie (web) była moim wyborem i możliwością zaistnienia.

Zarobki określiłbym tak:
- Jeśli zaczynasz w Security i zaczynasz jako Developer, więcej statystycznie zarobisz w Security. Mało osób się tym w ogóle interesuje i jeżeli coś umesz to jest już duża wartość. Oczywiście "zaczynasz" w sensie coś tam już umiesz,a nie jesteś kompletnie zielony.
- Jeśli jesteś ekspertem to te stawki już są bardzo podobne. Bardzo dobry dev (leader) zarobi podobnie jak bardzo dobry pentester. I tu i tu znajdziesz bardzo fajne warunki jak będziesz dobrze szukał.

Znanie jakiegoś języka np. PHP i testowanie aplikacji napisanej w tej języku na pewno jest jakims ułatwieniem (wiesz gdzie można łatwo popełnić błąd). Ale jeśli jesteś programistą, a nie wyuczyłeś sie manuala PHP, to naprawdę nie robi róznicy czy pentestujesz coś napisanego w PHP, JAVA czy .NET itd.

Nikt raczej nie zainwestuje w kogoś totalnie zielonego, musisz najpierw sam zainwestować w naukę.

Bycie Pentesterem nie wygląda tak jak na filmach w Hollywood, 90% czasu to nudne, powtarzalne robienie tego samego. Ale za to te 10% to spora dawka emocji. Pytanie czy dla Ciebie to będzie ok.
Go to the top of the page
+Quote Post
athabus
post Wczoraj, 15:02
Post #6





Grupa: Zarejestrowani
Postów: 863
Pomógł: 44
Dołączył: 2.11.2005
Skąd: Poznań

Ostrzeżenie: (0%)
-----


Dzięki za relację z pierwszej ręki ;-) Temat zawodowo raczej mnie nie interesuje (choć nigdy nie mów nigdy). Bardziej zainteresowało mnie to, że można zostać pentesterem w zasadzie od tak z ulicy znając trochę programowanie - nigdy jakoś tych tematów ściśle nie łączyłem. W sumie potwierdzasz to co mi się wydawało, że jest to po prostu jedna z wielu rzeczy, która może się okazać czasami przydatna.

Natomiast szczerze mnie zdziwiłeś, że można zostać pentesterem "po godzinach". Może faktycznie trochę za dużo filmów o hakerach się naoglądałem i myślałem, że każdy w tym zawodzie porozumiewa się kodem binarnym, a rzeczywistość jest taka jak wszędzie, że mając 20% wiedzy w dziedzinie można wykryć 80% potencjalnych dziur. Pewnie więc po godzinach zdobywasz te 20%, a potem kolejne lata zbierasz pozostałem 80%.

Trochę mi tu z MBU odczarowaliście ten zawód.
Go to the top of the page
+Quote Post
Damonsson
post Wczoraj, 15:16
Post #7





Grupa: Zarejestrowani
Postów: 2 352
Pomógł: 533
Dołączył: 15.01.2010
Skąd: Bydgoszcz

Ostrzeżenie: (0%)
-----


Wiesz prawda jest taka, że jeśli chodzi o Web Security to jedyne co musisz umieć to wysłać Request i odczytać Response. Czasami, ale bardzo rzadko, przeanalizowac jakiś kod źródłowy.

Dla jednego po godzinach to 1h dziennie, dla mnie to myślę było ponad 20h tygodniowo, więc kwestia jest tylko chęci i ile czasu możesz poświęcić.

Jeżeli jesteś dobrym programistą, logicznie myślisz, masz analityczny umysł, jesteś cierpliwy i zawsze szukasz dziury w całym to nie jest to jakieś rocket science. Ale już np. Reverse Engineering dla mnie jest nie do przeskoczenia, nie da się wejść tak z marszu jak do Web security. Znam wielu programistów, którzy są teraz bardzo dobrymi pentesterami.
Go to the top of the page
+Quote Post
sazian
post Wczoraj, 19:19
Post #8





Grupa: Zarejestrowani
Postów: 984
Pomógł: 133
Dołączył: 19.09.2006
Skąd: B-tów

Ostrzeżenie: (0%)
-----


Nie wiem na ile ma to coś wspólnego z rzeczywistością ale jakiś czas temu natrafiłem na ciekawy film którego autor pokazuje jak złamać "idealnie zabezpieczony kod" https://www.youtube.com/watch?v=MpeaSNERwQA
To co można mi się najbardziej nasuwa po obejrzeniu tego filmu to to jak bardzo trzeba zmienić sposób myślenia żeby znaleźć dziurę w całym
Go to the top of the page
+Quote Post

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Wersja Lo-Fi Aktualny czas: 19.06.2018 - 13:37