Drukowana wersja tematu

Kliknij tu, aby zobaczyć temat w orginalnym formacie

Forum PHP.pl _ Hydepark _ Pentesting/Security

Napisany przez: MBU 13.06.2018, 09:27:18

Hej,

ciekawa jestem czy powszechne wśród PHP devów jest myślenie o ścieżce IT security? Pytam bo jako rekruter szukam obecnie Pentesterów z aktualną wiedzą PHPową (PHP 7, Symfony) lub programistów z pasją w tym kierunku, nie musi być to doświadczenie komercyjne, ale duża motywacja i samodzielne uczenie wystarczą smile.gif Także mega fajna szansa. Pytanie jednak czy spotkaliście się z takimi zainteresowaniami u kolegów?

pozdrawiam,
Monika

Napisany przez: athabus 13.06.2018, 14:15:58

Moniko, a co ma do zaoferowania taka ścieżka kariery. Pytam zupełnie serio, bo sam nigdy czegoś takiego nie rozważałem, a własnie szukam pracy w PHP w kierunkach niestandardowych, tj. coś co nie jest robieniem stronek/sklepów i innych podobnych rzeczy. Na razie w poszukiwaniach skupiam się na tematach typu aplikacje backendowe / przetwarzanie danych / api etc. W sumie temat wydaje się ciekawy - zastanawiam się jak tutaj wygląda ścieżka kariery, czy w perspektywie czasu można tu zarobić jakieś uczciwe pieniądze, jak wygląda zapotrzebowanie rynku itp.

Napisany przez: MBU 14.06.2018, 09:02:29

Cytat(athabus @ 13.06.2018, 14:15:58 ) *
Moniko, a co ma do zaoferowania taka ścieżka kariery. Pytam zupełnie serio, bo sam nigdy czegoś takiego nie rozważałem, a własnie szukam pracy w PHP w kierunkach niestandardowych, tj. coś co nie jest robieniem stronek/sklepów i innych podobnych rzeczy. Na razie w poszukiwaniach skupiam się na tematach typu aplikacje backendowe / przetwarzanie danych / api etc. W sumie temat wydaje się ciekawy - zastanawiam się jak tutaj wygląda ścieżka kariery, czy w perspektywie czasu można tu zarobić jakieś uczciwe pieniądze, jak wygląda zapotrzebowanie rynku itp.


Hej,

bezpieczeństwo IT to razem z cloudem i Big Datą oraz AI najbardziej przyszłościowe kierunki - wystarczy pragmatycznie spojrzeć na to, jak rozwija się nam wszystko i w którym kierunku iidzie smile.gif Pieniądze w ITSec są dobre. Pentesterzy zarabiają coraz wiecej, przekraczają zarobki programistów coraz bardziej. Poszukaj trochę w sieci - sporo pentesterów dzieli się wiedzą, jak zaczynali itp. Zdecydowana większość z nich uczyła się sama w domu. Często są to ex programiści Javy,Pythona, PHP

pozdrawiam,
Monika

Napisany przez: athabus 14.06.2018, 10:26:42

Dzięki za odpowiedź. Zdziwił mnie trochę Twój pierwszy post szczerze mówiąc. Zawsze wydawało mi się, że takie rzeczy jak testy penetracyjne to jest domena jakiejś wąskiej grupy wysokiej klasy specjalistów. Oczywiście wszystkiego można się nauczyć, ale (tak mi się wydawało) droga od programisty PHP (czy innego) do zostanie specjalistą od zabezpieczeń jest długa i liczona raczej w latach. Piszesz, że wystarczy znajomość PHP + chęć do nauki - rzeczywiście są dzisiaj firmy, które chciałyby zainwestować w programistę PHP i szkolić go na pentestera?

Wybacz trywialne pytania, ale temat mnie zainteresował, ale wydaje mi się, że przebranżowienie wymagałoby pewnie przynajmniej z 2 lat pracy za niskie stawki i uczenia się praktycznie fachu od nowa. O ile np. zmiana technologii wydaje mi się prost - w końcu wszędzie chodzi o to samo i ogólne zasady się nie zmieniają, to jednak pentester musi mieć szeroką wiedzę z tematów (prawie) zupełnie nie związanych z programowaniem.
W mojej opinii (znów może mam błędne wyobrażenie) firmie na dzisiaj mógłbym zaoferować jedynie chęć uczenia się i zrozumienie podstaw działania php/mysql - co więcej bycie tu juniorem/regularem/seniorem niewiele zmienia.

Napisany przez: Damonsson 18.06.2018, 13:05:44

Przeszedłem ścieżkę od developera PHP do Pentestera, więc trochę opowiem.

Na pewno ciężko zostać specem od IT Security w każdej dziedzinie, bo Security ma mnóstwo specjalizacji. Ja skupiłem się na Web Security i w tym się wyskillowałem, wszedłem na bardzo wysoki poziom w ciągu ~9 miesięcy "zabawy" z Security po godzinach. Przed rozpoczęciem wdrażania się nie potrafiłem znaleźć trudniejszej dziury SQLinjection, więć startowałem naprawdę z niskiego poziomu. Dzisiaj jestem osobą, która pracowała jako Team Leader w zespole testującym największe polskie banki.

Oczywiście wszystko zależy jaki masz chłonny mózg. Jeśli po X latach nie jesteś dobrym devem, to dobrym pentesterem pewnie też nie zostaniesz nagle w X czasu. Ja też nie uważam siebie za wyjątkowo zdolnego, porównując wiedzę z całego przekroju Security (sieci, hardware, revers engineering itd.) osób z którymi np. pracowałem. Dlatego specjalizacja w jednej dziedzinie (web) była moim wyborem i możliwością zaistnienia.

Zarobki określiłbym tak:
- Jeśli zaczynasz w Security i zaczynasz jako Developer, więcej statystycznie zarobisz w Security. Mało osób się tym w ogóle interesuje i jeżeli coś umesz to jest już duża wartość. Oczywiście "zaczynasz" w sensie coś tam już umiesz,a nie jesteś kompletnie zielony.
- Jeśli jesteś ekspertem to te stawki już są bardzo podobne. Bardzo dobry dev (leader) zarobi podobnie jak bardzo dobry pentester. I tu i tu znajdziesz bardzo fajne warunki jak będziesz dobrze szukał.

Znanie jakiegoś języka np. PHP i testowanie aplikacji napisanej w tej języku na pewno jest jakims ułatwieniem (wiesz gdzie można łatwo popełnić błąd). Ale jeśli jesteś programistą, a nie wyuczyłeś sie manuala PHP, to naprawdę nie robi róznicy czy pentestujesz coś napisanego w PHP, JAVA czy .NET itd.

Nikt raczej nie zainwestuje w kogoś totalnie zielonego, musisz najpierw sam zainwestować w naukę.

Bycie Pentesterem nie wygląda tak jak na filmach w Hollywood, 90% czasu to nudne, powtarzalne robienie tego samego. Ale za to te 10% to spora dawka emocji. Pytanie czy dla Ciebie to będzie ok.

Napisany przez: athabus 18.06.2018, 15:02:58

Dzięki za relację z pierwszej ręki ;-) Temat zawodowo raczej mnie nie interesuje (choć nigdy nie mów nigdy). Bardziej zainteresowało mnie to, że można zostać pentesterem w zasadzie od tak z ulicy znając trochę programowanie - nigdy jakoś tych tematów ściśle nie łączyłem. W sumie potwierdzasz to co mi się wydawało, że jest to po prostu jedna z wielu rzeczy, która może się okazać czasami przydatna.

Natomiast szczerze mnie zdziwiłeś, że można zostać pentesterem "po godzinach". Może faktycznie trochę za dużo filmów o hakerach się naoglądałem i myślałem, że każdy w tym zawodzie porozumiewa się kodem binarnym, a rzeczywistość jest taka jak wszędzie, że mając 20% wiedzy w dziedzinie można wykryć 80% potencjalnych dziur. Pewnie więc po godzinach zdobywasz te 20%, a potem kolejne lata zbierasz pozostałem 80%.

Trochę mi tu z MBU odczarowaliście ten zawód.

Napisany przez: Damonsson 18.06.2018, 15:16:23

Wiesz prawda jest taka, że jeśli chodzi o Web Security to jedyne co musisz umieć to wysłać Request i odczytać Response. Czasami, ale bardzo rzadko, przeanalizowac jakiś kod źródłowy.

Dla jednego po godzinach to 1h dziennie, dla mnie to myślę było ponad 20h tygodniowo, więc kwestia jest tylko chęci i ile czasu możesz poświęcić.

Jeżeli jesteś dobrym programistą, logicznie myślisz, masz analityczny umysł, jesteś cierpliwy i zawsze szukasz dziury w całym to nie jest to jakieś rocket science. Ale już np. Reverse Engineering dla mnie jest nie do przeskoczenia, nie da się wejść tak z marszu jak do Web security. Znam wielu programistów, którzy są teraz bardzo dobrymi pentesterami.

Napisany przez: sazian 18.06.2018, 19:19:30

Nie wiem na ile ma to coś wspólnego z rzeczywistością ale jakiś czas temu natrafiłem na ciekawy film którego autor pokazuje jak złamać "idealnie zabezpieczony kod" https://www.youtube.com/watch?v=MpeaSNERwQA
To co można mi się najbardziej nasuwa po obejrzeniu tego filmu to to jak bardzo trzeba zmienić sposób myślenia żeby znaleźć dziurę w całym

Napisany przez: MBU 21.06.2018, 16:40:24

Hej Panowie,

a ja rozpoczęłam temat i zniknęłam - wybaczcie smile.gif

Ja dopowiem ze swojej strony jako headhunter, że jeśli ktoś się czymś mocno pasjonuje i widać, że działa coś po godzinach, jak już było wspomniane, to ogromna szansa że zainwestują w człowieka. I wcale to nie oznacza pracy za stawkę typowo juniorską. Dajmy na to może to być PHP Dev z kilkuletnim doswiadczeniem i tak też zostanie wynagrodzny, czyli rynkowo do jego wiedzy. Generalnie jest taki problem z pentesterami obecnie, że widzę wiele kombinacji.

Na przykład obecnie mam rekrutację dla firmy, która głównie działa w PHP i szuka człowieka mocnego w PHP i z dużą pasją do bezpieczeństwa żeby wszedł w rolę Pentestera, pracował z programistami i budował większą świadomość w tym zakresie ale też robił code reviews itp. Także dla kogoś, kto realnie się tym interesuje to będzie naprawdę fajny temat. Ja też spotkałam kilku kandydatów z podobnym profilem do Damonsson. Nie rozpisuję się bo świetnie Wam to wszystko wytłumaczył. Damonsson jakbyś był otwarty na oferty to się odezwij koniecznie smile.gif A szczególnie jeśli lubisz gry smile.gif


Napisany przez: aras785 21.06.2018, 22:29:07

kilka lat temu bardzo interesowałem się testami bezpieczeństwa i w moim obecnym CV piszę o tym :] Są to duże platformy sklepowe które nagrodziły mnie upominkami :]

Raz zgłosiłem poważną dziurę (możliwość wgrania i uruchomienia pliku php, nie chciałem za informację nic w zamian) do firmy która zajmowała się dostarczaniem usług ecommerce to 2 tygodnie później miałem przesłuchanie na policji... biggrin.gif

Napisany przez: MBU 22.06.2018, 09:08:22

Cytat(aras785 @ 21.06.2018, 22:29:07 ) *
kilka lat temu bardzo interesowałem się testami bezpieczeństwa i w moim obecnym CV piszę o tym :] Są to duże platformy sklepowe które nagrodziły mnie upominkami :]

Raz zgłosiłem poważną dziurę (możliwość wgrania i uruchomienia pliku php, nie chciałem za informację nic w zamian) do firmy która zajmowała się dostarczaniem usług ecommerce to 2 tygodnie później miałem przesłuchanie na policji... biggrin.gif


Przesłuchanie? Co Ty gadasz! Szok.

Zostawiam namiary na siebie jakby ktoś serio chciał pogadać o ofertach - mbudzynska[małpa]ithunt.pl

Pozdr!

Napisany przez: athabus 22.06.2018, 09:29:35

Cytat(aras785 @ 21.06.2018, 23:29:07 ) *
Raz zgłosiłem poważną dziurę (możliwość wgrania i uruchomienia pliku php, nie chciałem za informację nic w zamian) do firmy która zajmowała się dostarczaniem usług ecommerce to 2 tygodnie później miałem przesłuchanie na policji... biggrin.gif


Haha słyszałem już o takich akcjach. Zawsze mnie zastanawia co takie osoby mają w głowie. Faktycznie formalnie jest to łamanie prawa, nawet jak nie masz złych zamiarów, ale każdy normalnie myślący człowiek przesłałby Ci skrzynkę piwa, a nie policję...

Napisany przez: ZenekN 4.10.2018, 22:18:51

jesli wiesz jak korzystać z biblioteki requests, urllib, urllib2 w Python to praktycznie możesz wszystko,
do pentesting to tylko python, jesli nauczysz się tego języka pod kątem web i networking to zrozumiesz jak mało wiedziałaś o języku PHP tongue.gif


Napisany przez: pyro 5.10.2018, 14:12:37

Cytat(athabus @ 22.06.2018, 10:29:35 ) *
Haha słyszałem już o takich akcjach. Zawsze mnie zastanawia co takie osoby mają w głowie. Faktycznie formalnie jest to łamanie prawa, nawet jak nie masz złych zamiarów, ale każdy normalnie myślący człowiek przesłałby Ci skrzynkę piwa, a nie policję...


Kiedyś znalazłem w pewnej firmie hostingowej kilka błędów (ale nie wykorzystałem ich w niecnym celu, co najwyżej na tyle, żeby potwierdzić lukę). Napisałem więc do tej firmy z pytaniem czy może nie chcą pełnego audytu za odpowiednie honorarium. W odpowiedzi dostałem "jasne, pewnie że chcemy" i jak już zaczęliśmy się umawiać to dostałem nagle maila "AHA! Sprawę przez cały czas obserwowała POLICJA!!!!!!11111oneoneone. Bój się człowieku, jedziemy po Ciebie!!!1111oneone". Będąc mocno zaskoczonym napisałem z pytaniem o co chodzi, no ale że ta osoba chyba sama nie wiedziała o co jej chodzi już dalej nie odpisała... laugh.gif

Napisany przez: ZenekN 6.10.2018, 21:40:04

@pyro, internet jest dziurawy biggrin.gif

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)