Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

 
Reply to this topicStart new topic
> Pentesting/Security
MBU
post 13.06.2018, 09:27:18
Post #1





Grupa: Zarejestrowani
Postów: 0
Pomógł: 0
Dołączył: 13.06.2018

Ostrzeżenie: (0%)
-----


Hej,

ciekawa jestem czy powszechne wśród PHP devów jest myślenie o ścieżce IT security? Pytam bo jako rekruter szukam obecnie Pentesterów z aktualną wiedzą PHPową (PHP 7, Symfony) lub programistów z pasją w tym kierunku, nie musi być to doświadczenie komercyjne, ale duża motywacja i samodzielne uczenie wystarczą smile.gif Także mega fajna szansa. Pytanie jednak czy spotkaliście się z takimi zainteresowaniami u kolegów?

pozdrawiam,
Monika
Go to the top of the page
+Quote Post
athabus
post 13.06.2018, 14:15:58
Post #2





Grupa: Zarejestrowani
Postów: 880
Pomógł: 44
Dołączył: 2.11.2005
Skąd: Poznań

Ostrzeżenie: (0%)
-----


Moniko, a co ma do zaoferowania taka ścieżka kariery. Pytam zupełnie serio, bo sam nigdy czegoś takiego nie rozważałem, a własnie szukam pracy w PHP w kierunkach niestandardowych, tj. coś co nie jest robieniem stronek/sklepów i innych podobnych rzeczy. Na razie w poszukiwaniach skupiam się na tematach typu aplikacje backendowe / przetwarzanie danych / api etc. W sumie temat wydaje się ciekawy - zastanawiam się jak tutaj wygląda ścieżka kariery, czy w perspektywie czasu można tu zarobić jakieś uczciwe pieniądze, jak wygląda zapotrzebowanie rynku itp.
Go to the top of the page
+Quote Post
MBU
post 14.06.2018, 09:02:29
Post #3





Grupa: Zarejestrowani
Postów: 0
Pomógł: 0
Dołączył: 13.06.2018

Ostrzeżenie: (0%)
-----


Cytat(athabus @ 13.06.2018, 14:15:58 ) *
Moniko, a co ma do zaoferowania taka ścieżka kariery. Pytam zupełnie serio, bo sam nigdy czegoś takiego nie rozważałem, a własnie szukam pracy w PHP w kierunkach niestandardowych, tj. coś co nie jest robieniem stronek/sklepów i innych podobnych rzeczy. Na razie w poszukiwaniach skupiam się na tematach typu aplikacje backendowe / przetwarzanie danych / api etc. W sumie temat wydaje się ciekawy - zastanawiam się jak tutaj wygląda ścieżka kariery, czy w perspektywie czasu można tu zarobić jakieś uczciwe pieniądze, jak wygląda zapotrzebowanie rynku itp.


Hej,

bezpieczeństwo IT to razem z cloudem i Big Datą oraz AI najbardziej przyszłościowe kierunki - wystarczy pragmatycznie spojrzeć na to, jak rozwija się nam wszystko i w którym kierunku iidzie smile.gif Pieniądze w ITSec są dobre. Pentesterzy zarabiają coraz wiecej, przekraczają zarobki programistów coraz bardziej. Poszukaj trochę w sieci - sporo pentesterów dzieli się wiedzą, jak zaczynali itp. Zdecydowana większość z nich uczyła się sama w domu. Często są to ex programiści Javy,Pythona, PHP

pozdrawiam,
Monika
Go to the top of the page
+Quote Post
athabus
post 14.06.2018, 10:26:42
Post #4





Grupa: Zarejestrowani
Postów: 880
Pomógł: 44
Dołączył: 2.11.2005
Skąd: Poznań

Ostrzeżenie: (0%)
-----


Dzięki za odpowiedź. Zdziwił mnie trochę Twój pierwszy post szczerze mówiąc. Zawsze wydawało mi się, że takie rzeczy jak testy penetracyjne to jest domena jakiejś wąskiej grupy wysokiej klasy specjalistów. Oczywiście wszystkiego można się nauczyć, ale (tak mi się wydawało) droga od programisty PHP (czy innego) do zostanie specjalistą od zabezpieczeń jest długa i liczona raczej w latach. Piszesz, że wystarczy znajomość PHP + chęć do nauki - rzeczywiście są dzisiaj firmy, które chciałyby zainwestować w programistę PHP i szkolić go na pentestera?

Wybacz trywialne pytania, ale temat mnie zainteresował, ale wydaje mi się, że przebranżowienie wymagałoby pewnie przynajmniej z 2 lat pracy za niskie stawki i uczenia się praktycznie fachu od nowa. O ile np. zmiana technologii wydaje mi się prost - w końcu wszędzie chodzi o to samo i ogólne zasady się nie zmieniają, to jednak pentester musi mieć szeroką wiedzę z tematów (prawie) zupełnie nie związanych z programowaniem.
W mojej opinii (znów może mam błędne wyobrażenie) firmie na dzisiaj mógłbym zaoferować jedynie chęć uczenia się i zrozumienie podstaw działania php/mysql - co więcej bycie tu juniorem/regularem/seniorem niewiele zmienia.
Go to the top of the page
+Quote Post
Damonsson
post 18.06.2018, 13:05:44
Post #5





Grupa: Zarejestrowani
Postów: 2 353
Pomógł: 533
Dołączył: 15.01.2010
Skąd: Bydgoszcz

Ostrzeżenie: (0%)
-----


Przeszedłem ścieżkę od developera PHP do Pentestera, więc trochę opowiem.

Na pewno ciężko zostać specem od IT Security w każdej dziedzinie, bo Security ma mnóstwo specjalizacji. Ja skupiłem się na Web Security i w tym się wyskillowałem, wszedłem na bardzo wysoki poziom w ciągu ~9 miesięcy "zabawy" z Security po godzinach. Przed rozpoczęciem wdrażania się nie potrafiłem znaleźć trudniejszej dziury SQLinjection, więć startowałem naprawdę z niskiego poziomu. Dzisiaj jestem osobą, która pracowała jako Team Leader w zespole testującym największe polskie banki.

Oczywiście wszystko zależy jaki masz chłonny mózg. Jeśli po X latach nie jesteś dobrym devem, to dobrym pentesterem pewnie też nie zostaniesz nagle w X czasu. Ja też nie uważam siebie za wyjątkowo zdolnego, porównując wiedzę z całego przekroju Security (sieci, hardware, revers engineering itd.) osób z którymi np. pracowałem. Dlatego specjalizacja w jednej dziedzinie (web) była moim wyborem i możliwością zaistnienia.

Zarobki określiłbym tak:
- Jeśli zaczynasz w Security i zaczynasz jako Developer, więcej statystycznie zarobisz w Security. Mało osób się tym w ogóle interesuje i jeżeli coś umesz to jest już duża wartość. Oczywiście "zaczynasz" w sensie coś tam już umiesz,a nie jesteś kompletnie zielony.
- Jeśli jesteś ekspertem to te stawki już są bardzo podobne. Bardzo dobry dev (leader) zarobi podobnie jak bardzo dobry pentester. I tu i tu znajdziesz bardzo fajne warunki jak będziesz dobrze szukał.

Znanie jakiegoś języka np. PHP i testowanie aplikacji napisanej w tej języku na pewno jest jakims ułatwieniem (wiesz gdzie można łatwo popełnić błąd). Ale jeśli jesteś programistą, a nie wyuczyłeś sie manuala PHP, to naprawdę nie robi róznicy czy pentestujesz coś napisanego w PHP, JAVA czy .NET itd.

Nikt raczej nie zainwestuje w kogoś totalnie zielonego, musisz najpierw sam zainwestować w naukę.

Bycie Pentesterem nie wygląda tak jak na filmach w Hollywood, 90% czasu to nudne, powtarzalne robienie tego samego. Ale za to te 10% to spora dawka emocji. Pytanie czy dla Ciebie to będzie ok.
Go to the top of the page
+Quote Post
athabus
post 18.06.2018, 15:02:58
Post #6





Grupa: Zarejestrowani
Postów: 880
Pomógł: 44
Dołączył: 2.11.2005
Skąd: Poznań

Ostrzeżenie: (0%)
-----


Dzięki za relację z pierwszej ręki ;-) Temat zawodowo raczej mnie nie interesuje (choć nigdy nie mów nigdy). Bardziej zainteresowało mnie to, że można zostać pentesterem w zasadzie od tak z ulicy znając trochę programowanie - nigdy jakoś tych tematów ściśle nie łączyłem. W sumie potwierdzasz to co mi się wydawało, że jest to po prostu jedna z wielu rzeczy, która może się okazać czasami przydatna.

Natomiast szczerze mnie zdziwiłeś, że można zostać pentesterem "po godzinach". Może faktycznie trochę za dużo filmów o hakerach się naoglądałem i myślałem, że każdy w tym zawodzie porozumiewa się kodem binarnym, a rzeczywistość jest taka jak wszędzie, że mając 20% wiedzy w dziedzinie można wykryć 80% potencjalnych dziur. Pewnie więc po godzinach zdobywasz te 20%, a potem kolejne lata zbierasz pozostałem 80%.

Trochę mi tu z MBU odczarowaliście ten zawód.
Go to the top of the page
+Quote Post
Damonsson
post 18.06.2018, 15:16:23
Post #7





Grupa: Zarejestrowani
Postów: 2 353
Pomógł: 533
Dołączył: 15.01.2010
Skąd: Bydgoszcz

Ostrzeżenie: (0%)
-----


Wiesz prawda jest taka, że jeśli chodzi o Web Security to jedyne co musisz umieć to wysłać Request i odczytać Response. Czasami, ale bardzo rzadko, przeanalizowac jakiś kod źródłowy.

Dla jednego po godzinach to 1h dziennie, dla mnie to myślę było ponad 20h tygodniowo, więc kwestia jest tylko chęci i ile czasu możesz poświęcić.

Jeżeli jesteś dobrym programistą, logicznie myślisz, masz analityczny umysł, jesteś cierpliwy i zawsze szukasz dziury w całym to nie jest to jakieś rocket science. Ale już np. Reverse Engineering dla mnie jest nie do przeskoczenia, nie da się wejść tak z marszu jak do Web security. Znam wielu programistów, którzy są teraz bardzo dobrymi pentesterami.
Go to the top of the page
+Quote Post
sazian
post 18.06.2018, 19:19:30
Post #8





Grupa: Zarejestrowani
Postów: 993
Pomógł: 133
Dołączył: 19.09.2006
Skąd: B-tów

Ostrzeżenie: (0%)
-----


Nie wiem na ile ma to coś wspólnego z rzeczywistością ale jakiś czas temu natrafiłem na ciekawy film którego autor pokazuje jak złamać "idealnie zabezpieczony kod" https://www.youtube.com/watch?v=MpeaSNERwQA
To co można mi się najbardziej nasuwa po obejrzeniu tego filmu to to jak bardzo trzeba zmienić sposób myślenia żeby znaleźć dziurę w całym
Go to the top of the page
+Quote Post
MBU
post 21.06.2018, 16:40:24
Post #9





Grupa: Zarejestrowani
Postów: 0
Pomógł: 0
Dołączył: 13.06.2018

Ostrzeżenie: (0%)
-----


Hej Panowie,

a ja rozpoczęłam temat i zniknęłam - wybaczcie smile.gif

Ja dopowiem ze swojej strony jako headhunter, że jeśli ktoś się czymś mocno pasjonuje i widać, że działa coś po godzinach, jak już było wspomniane, to ogromna szansa że zainwestują w człowieka. I wcale to nie oznacza pracy za stawkę typowo juniorską. Dajmy na to może to być PHP Dev z kilkuletnim doswiadczeniem i tak też zostanie wynagrodzny, czyli rynkowo do jego wiedzy. Generalnie jest taki problem z pentesterami obecnie, że widzę wiele kombinacji.

Na przykład obecnie mam rekrutację dla firmy, która głównie działa w PHP i szuka człowieka mocnego w PHP i z dużą pasją do bezpieczeństwa żeby wszedł w rolę Pentestera, pracował z programistami i budował większą świadomość w tym zakresie ale też robił code reviews itp. Także dla kogoś, kto realnie się tym interesuje to będzie naprawdę fajny temat. Ja też spotkałam kilku kandydatów z podobnym profilem do Damonsson. Nie rozpisuję się bo świetnie Wam to wszystko wytłumaczył. Damonsson jakbyś był otwarty na oferty to się odezwij koniecznie smile.gif A szczególnie jeśli lubisz gry smile.gif

Go to the top of the page
+Quote Post
aras785
post 21.06.2018, 22:29:07
Post #10





Grupa: Zarejestrowani
Postów: 755
Pomógł: 149
Dołączył: 29.10.2009

Ostrzeżenie: (0%)
-----


kilka lat temu bardzo interesowałem się testami bezpieczeństwa i w moim obecnym CV piszę o tym :] Są to duże platformy sklepowe które nagrodziły mnie upominkami :]

Raz zgłosiłem poważną dziurę (możliwość wgrania i uruchomienia pliku php, nie chciałem za informację nic w zamian) do firmy która zajmowała się dostarczaniem usług ecommerce to 2 tygodnie później miałem przesłuchanie na policji... biggrin.gif
Go to the top of the page
+Quote Post
MBU
post 22.06.2018, 09:08:22
Post #11





Grupa: Zarejestrowani
Postów: 0
Pomógł: 0
Dołączył: 13.06.2018

Ostrzeżenie: (0%)
-----


Cytat(aras785 @ 21.06.2018, 22:29:07 ) *
kilka lat temu bardzo interesowałem się testami bezpieczeństwa i w moim obecnym CV piszę o tym :] Są to duże platformy sklepowe które nagrodziły mnie upominkami :]

Raz zgłosiłem poważną dziurę (możliwość wgrania i uruchomienia pliku php, nie chciałem za informację nic w zamian) do firmy która zajmowała się dostarczaniem usług ecommerce to 2 tygodnie później miałem przesłuchanie na policji... biggrin.gif


Przesłuchanie? Co Ty gadasz! Szok.

Zostawiam namiary na siebie jakby ktoś serio chciał pogadać o ofertach - mbudzynska[małpa]ithunt.pl

Pozdr!

Ten post edytował MBU 22.06.2018, 09:08:54
Go to the top of the page
+Quote Post
athabus
post 22.06.2018, 09:29:35
Post #12





Grupa: Zarejestrowani
Postów: 880
Pomógł: 44
Dołączył: 2.11.2005
Skąd: Poznań

Ostrzeżenie: (0%)
-----


Cytat(aras785 @ 21.06.2018, 23:29:07 ) *
Raz zgłosiłem poważną dziurę (możliwość wgrania i uruchomienia pliku php, nie chciałem za informację nic w zamian) do firmy która zajmowała się dostarczaniem usług ecommerce to 2 tygodnie później miałem przesłuchanie na policji... biggrin.gif


Haha słyszałem już o takich akcjach. Zawsze mnie zastanawia co takie osoby mają w głowie. Faktycznie formalnie jest to łamanie prawa, nawet jak nie masz złych zamiarów, ale każdy normalnie myślący człowiek przesłałby Ci skrzynkę piwa, a nie policję...
Go to the top of the page
+Quote Post
ZenekN
post 4.10.2018, 22:18:51
Post #13





Grupa: Zarejestrowani
Postów: 386
Pomógł: 5
Dołączył: 7.08.2012

Ostrzeżenie: (0%)
-----


jesli wiesz jak korzystać z biblioteki requests, urllib, urllib2 w Python to praktycznie możesz wszystko,
do pentesting to tylko python, jesli nauczysz się tego języka pod kątem web i networking to zrozumiesz jak mało wiedziałaś o języku PHP tongue.gif



Ten post edytował ZenekN 5.10.2018, 14:48:09
Go to the top of the page
+Quote Post
pyro
post 5.10.2018, 14:12:37
Post #14





Grupa: Zarejestrowani
Postów: 2 148
Pomógł: 230
Dołączył: 26.03.2008

Ostrzeżenie: (0%)
-----


Cytat(athabus @ 22.06.2018, 10:29:35 ) *
Haha słyszałem już o takich akcjach. Zawsze mnie zastanawia co takie osoby mają w głowie. Faktycznie formalnie jest to łamanie prawa, nawet jak nie masz złych zamiarów, ale każdy normalnie myślący człowiek przesłałby Ci skrzynkę piwa, a nie policję...


Kiedyś znalazłem w pewnej firmie hostingowej kilka błędów (ale nie wykorzystałem ich w niecnym celu, co najwyżej na tyle, żeby potwierdzić lukę). Napisałem więc do tej firmy z pytaniem czy może nie chcą pełnego audytu za odpowiednie honorarium. W odpowiedzi dostałem "jasne, pewnie że chcemy" i jak już zaczęliśmy się umawiać to dostałem nagle maila "AHA! Sprawę przez cały czas obserwowała POLICJA!!!!!!11111oneoneone. Bój się człowieku, jedziemy po Ciebie!!!1111oneone". Będąc mocno zaskoczonym napisałem z pytaniem o co chodzi, no ale że ta osoba chyba sama nie wiedziała o co jej chodzi już dalej nie odpisała... laugh.gif


--------------------
ET LINGUA EIUS LOQUETUR IUDICIUM
Go to the top of the page
+Quote Post
ZenekN
post 6.10.2018, 21:40:04
Post #15





Grupa: Zarejestrowani
Postów: 386
Pomógł: 5
Dołączył: 7.08.2012

Ostrzeżenie: (0%)
-----


@pyro, internet jest dziurawy biggrin.gif
Go to the top of the page
+Quote Post

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Wersja Lo-Fi Aktualny czas: 23.10.2018 - 13:08