Domanda Lavoro azienda cosa studiare

[notalk]

Salve a tutti,
sono in contatto con un azienda di penetration tester, e mi hanno detto che come base dovrei studiare le reti la quale il funzionamento della pila iso osi e i vari protocolli e servizi. La mia domanda è: Nelle reti va studiato e compreso il funzionamento della pila iso osi e i protocolli e servizi o devo andarci profondamente nel dettaglio? Cioè devo sapere come funziona, avere conoscenza dei concetti importanti o devo studiare tutte le cose nei minimi dettagli? Cos'altro mi serve sapere delle reti? Grazie in anticipo.

 

[TheWorm91]

Queste sono le basi fondamentali e più vai nel dettaglio meglio è per comprendere cosa fai in fase di penetration testing.
Il modello ISO/osi va saputo bene e ti fa capire come avviene la comunicazione tra due host in una rete.
Consiglio sempre il libro "Reti di calcolatori e internet" dei prof. Ross e Kurose, l'ho usato alle superiori e lo considero la mia bibbia riguardo le reti.
Dovresti trovare il pdf in rete ma meglio se prendi il libro perchè non sono 100 pagine e basta.
Anche se i concetti più o meno sono gli stessi prendi l'ultima edizione aggiornata (la prima credo sia del 2002)

 

[notalk]

Queste sono le basi fondamentali e più vai nel dettaglio meglio è per comprendere cosa fai in fase di penetration testing.
Il modello ISO/osi va saputo bene e ti fa capire come avviene la comunicazione tra due host in una rete.
Consiglio sempre il libro "Reti di calcolatori e internet" dei prof. Ross e Kurose, l'ho usato alle superiori e lo considero la mia bibbia riguardo le reti.
Dovresti trovare il pdf in rete ma meglio se prendi il libro perchè non sono 100 pagine e basta.
Anche se i concetti più o meno sono gli stessi prendi l'ultima edizione aggiornata (la prima credo sia del 2002)

Ho comprato questo libro Amazon product ASIN 8891916005
Vedi: https://www.amazon.it/calcolatori-internet-approccio-top-down-aggiornamento-dp-8891916005/dp/8891916005/ref=dp_ob_title_bk
, e ho iniziato già a studiarlo, quindi da quel che ho capito è studiare il funzionamento del modello iso/osi e i vari protocolli e servizi sapere altre cose nel dettaglio che magari non mi servono non vale la pena, perfetto, ti ringrazio.

 

[TheWorm91]

nel dettaglio che magari non mi servono non vale la pena

Dipende cosa intendi nel dettaglio, ad esempio sapere cosa è contenuto in un pacchetto HTTP e com'è fatto ti serve ad esempio per effettuare un banale spoofing del contenuto con BurpSuite

 

[0xbro]

Salve a tutti,
sono in contatto con un azienda di penetration tester, e mi hanno detto che come base dovrei studiare le reti la quale il funzionamento della pila iso osi e i vari protocolli e servizi. La mia domanda è: Nelle reti va studiato e compreso il funzionamento della pila iso osi e i protocolli e servizi o devo andarci profondamente nel dettaglio? Cioè devo sapere come funziona, avere conoscenza dei concetti importanti o devo studiare tutte le cose nei minimi dettagli? Cos'altro mi serve sapere delle reti? Grazie in anticipo.

Non serve sapere tutto perfettamente nel minimo dettaglio, ma è fondamentale avere delle solide conoscenze delle basi che ti permettano di trovarti a tua agio con l'argomento in questione. Esempio, non è fondamentale sapere fare un calcolo del subnetting a memoria, ma è fondamentale sapere come funzioni la segmentazione di una rete in modo tale da poter utilizzare degli strumenti online per aiutarti nei calcolo. Non è fondamentale sapere a memoria ogni singolo flag di ogni singolo pacchetto TCP, ma è fondamentale conoscere a grandi linee come funziona il protocollo TCP e quali siano i campi più utilizzati all'interno di un pacchetto, in modo tale che se mai dovessi avere a che fare con un analisi di rete saresti in grado di leggere i vari pacchetti ed eventualmente ricercare le conoscenze che ti mancano. Non è fondamentale sapere a memoria ogni singolo bit della pila ISO/OSI, ma è fondamentale sapere quali siano i vari livelli, cosa li differenzi e quali siano i "campi" caratterizzanti per ogni livello (es. a livello 2 il mac address, a livello 3 l'IP, a livello 4 le porte, ecc.).

Insomma, il mio classico consiglio è quello di acquistare i libri di testo usati in un ITIS informatica al terzo, quarto e quinto anno e studiare su quelli. In genere affrontano le basi in maniera abbastanza chiara ma non troppo superficiale.

Approfondisci poi in maniera autonoma come funzioni il protocollo HTTP , quali siano gli header principali, cosa faccia ognuno di essi, cosa differenzi HTTP v1 da HTTP v2. Quando sarai abbastanza avvezzo alle principali tematiche, potrai spostarti a studiare e sperimentare le classiche vulnerabilità web, tipo XSS o SQL Injection, e approfondire sempre di più le macro-categorie di vulnerabilità esistenti

 

[notalk]

Non serve sapere tutto perfettamente nel minimo dettaglio, ma è fondamentale avere delle solide conoscenze delle basi che ti permettano di trovarti a tua agio con l'argomento in questione. Esempio, non è fondamentale sapere fare un calcolo del subnetting a memoria, ma è fondamentale sapere come funzioni la segmentazione di una rete in modo tale da poter utilizzare degli strumenti online per aiutarti nei calcolo. Non è fondamentale sapere a memoria ogni singolo flag di ogni singolo pacchetto TCP, ma è fondamentale conoscere a grandi linee come funziona il protocollo TCP e quali siano i campi più utilizzati all'interno di un pacchetto, in modo tale che se mai dovessi avere a che fare con un analisi di rete saresti in grado di leggere i vari pacchetti ed eventualmente ricercare le conoscenze che ti mancano. Non è fondamentale sapere a memoria ogni singolo bit della pila ISO/OSI, ma è fondamentale sapere quali siano i vari livelli, cosa li differenzi e quali siano i "campi" caratterizzanti per ogni livello (es. a livello 2 il mac address, a livello 3 l'IP, a livello 4 le porte, ecc.).

Insomma, il mio classico consiglio è quello di acquistare i libri di testo usati in un ITIS informatica al terzo, quarto e quinto anno e studiare su quelli. In genere affrontano le basi in maniera abbastanza chiara ma non troppo superficiale.

Approfondisci poi in maniera autonoma come funzioni il protocollo HTTP , quali siano gli header principali, cosa faccia ognuno di essi, cosa differenzi HTTP v1 da HTTP v2. Quando sarai abbastanza avvezzo alle principali tematiche, potrai spostarti a studiare e sperimentare le classiche vulnerabilità web, tipo XSS o SQL Injection, e approfondire sempre di più le macro-categorie di vulnerabilità esistenti

Ti ringrazio moltissimo , dove posso trovare i libri? Mi puoi dire i nomi così le trovo e le compro? Come libro di reti mi studio quello poi vado con i libri che mi hai consigliato, ti ringrazio moltissimo per il tuo aiuto.

Io ho fatto un piccolo schemino per quanto riguarda lo studio per diventare penetration test:

-Reti funzionamento pila iso/osi, protocolli e servizi
-Linguaggio C linguaggio (preferito volevo iniziare da questo)
-basi e saper leggere Html, css, Js, php, python
-studiare sql
-studio e funzionamento dei tool

Secondo te e giusto? O mancano altre cose? Se si me le puoi elencare perfavore? Cos'altro devo approfondire e studiare per diventare penetration tester?

 

[DispatchCode]

Io ho fatto un piccolo schemino per quanto riguarda lo studio per diventare penetration test:

-Reti funzionamento pila iso/osi, protocolli e servizi
-Linguaggio C linguaggio (preferito volevo iniziare da questo)
-basi e saper leggere Html, css, Js, php, python
-studiare sql
-studio e funzionamento dei tool

Secondo te e giusto? O mancano altre cose? Se si me le puoi elencare perfavore? Cos'altro devo approfondire e studiare per diventare penetration tester?

Come ti dicevo in pvt, saper programmare è utile specie se devi leggere del codice sorgente, ma non è che "programmando in C diventi un pen-tester".

Studiare i tools in generale non penso ti serve, ma qui ti dirà meglio 0xbro o altri che lavorano nel campo. Ti conviene dargli uno sguardo per capire cosa fanno, ma come funzionano effettivamente richiederà del tempo e della pratica: inoltre se li impari leggendo il manuale e non li usi, tra 1 mese ti ricorderai solo che nome hanno (perchè è così per strumenti di sviluppo e debugging, che uso io).

Te lo ripeto anche qui: la pratica è una componente fondamentale. Se vuoi imparare a programmare un minimo in C, devi fare pratica. Non 1h alla settimana o ogni 10 giorni, perchè è inutile.

Una volta che sai leggere il codice sorgente in C, sarai in grado di capirlo anche in altri linguaggi, in generale. Ci sono eccezioni come assembly (che non vedrai mai da pen-tester, immagino lol).
In generale quando leggi un sorgente di un linguaggio che non conosci, cerchi di capire cosa fa e come si comportano le funzioni, specie se sospetti ci sia un bug in una qualche parte.
Quello che voglio dire è che non serve studiare PHP, Python, JS, C++, etc etc. perchè tanto se non usi le cose, le dimentichi. E' più importante studiarne uno, e capire i concetti.

HTML e CSS invece penso siano molto più approciabili, in un mese te li guardi entrambi; tanto anche in questo caso: devi saperli leggere, non scrivere in HTML/CSS.

SQL penso sia importante invece. Ormai chi programma usa framework, quindi credo che le sql injection siano di molto diminuite nel tempo, ma sicuramente sono ancora presenti, specie in sw più datati.

E ancora, sui tools: tieni presente che tante cose di solito le si impara a lavoro. Ma qui, sempre 0xbro e altri sapranno darti maggiori info.

 

[0xbro]

Ti ringrazio moltissimo , dove posso trovare i libri? Mi puoi dire i nomi così le trovo e le compro?

https://www.inforge.net/forum/threads/cosa-studiare-per-imparare-il-networking.616782/#post-5266682

Cos'altro devo approfondire e studiare per diventare penetration tester?

Tanto tempo fa avevo scritto grosso modo questa "guida" con tutti gli steps che si potevano potenzialmente seguire: https://www.inforge.net/forum/threa...hacking-e-diventare-un-ethical-hacker.603703/

Personalmente - come ti hanno detto sopra - ti consiglierei di non perdere troppo tempo sull'imparare a programmare in C. Non ora. Semmai ti servirà, lo affronterai poi. Impara giusto quali sono i costrutti del linguaggio (che sono gli stessi che si presentano anche in altri linguaggi, solamente con sintassi leggermente diverse) ma non ci perdere troppo tempo. E per quanto mi riguarda di direi di non pianificare nemmeno troppo sul lungo termine... non esiste un percorso da seguire per diventare penetration tester. Assimila le basi dell'informatica e della sistemistica e poi cerca qualcosa di interattivo con cui imparare (TryHackMe, per fare un esempio). Sbattici un po' la testa, se non capisci un concetto approfondisci la tematica e vai avanti a quello nuovo. In questo modo imparerai molte più cose, di divertirai e soprattutto inizierai a prendere il ritmo e imparerai a ricercare le informazioni che ti servono, senza che te le mettano davanti.

All'inizio va bene seguire un percorso fisso (che per me può essere quello di un ITIS informatica, per cui cercati i programmi scolastici e magari usa quelli, ci saranno degli ITIS informatica dalle tue parti), ma dopo un po' bisogna saper iniziare a mettere le mani in pasta e ricercare da soli. A me piaceva molto il corso PTSv4 della INE come ulteriore risorsa per imparare le prime vulnerabilità e come approcciare un penetration test, ma ormai il corso mi pare sia a pagamento. Puoi pur sempre cercare l'elenco delle tematiche che venivano trattate ed affrontarle per conto tuo.

Studiare i tools non ha molto senso: per la mia esperienza l'unico tool fondamentale è burpsuite (che per quanto riguarda il mondo web dovrai imparare a conoscere come le tue tasche), ma per il resto dipendo molto da cosa devi fare. Hai un problema, cerchi un tool che possa fare al caso tuo, leggi la documentazione e lo utilizzi. Insomma, impari a usarlo sul momento (cosa che ti viene molto più facile se conosci già le basi della materia, perchè riesci a immaginare da te come possa funzionare il tool e quindi si tratta solamente di cercare i parametri giusti che ti servono)

 

[notalk]

https://www.inforge.net/forum/threads/cosa-studiare-per-imparare-il-networking.616782/#post-5266682

Tanto tempo fa avevo scritto grosso modo questa "guida" con tutti gli steps che si potevano potenzialmente seguire: https://www.inforge.net/forum/threa...hacking-e-diventare-un-ethical-hacker.603703/

Personalmente - come ti hanno detto sopra - ti consiglierei di non perdere troppo tempo sull'imparare a programmare in C. Non ora. Semmai ti servirà, lo affronterai poi. Impara giusto quali sono i costrutti del linguaggio (che sono gli stessi che si presentano anche in altri linguaggi, solamente con sintassi leggermente diverse) ma non ci perdere troppo tempo. E per quanto mi riguarda di direi di non pianificare nemmeno troppo sul lungo termine... non esiste un percorso da seguire per diventare penetration tester. Assimila le basi dell'informatica e della sistemistica e poi cerca qualcosa di interattivo con cui imparare (TryHackMe, per fare un esempio). Sbattici un po' la testa, se non capisci un concetto approfondisci la tematica e vai avanti a quello nuovo. In questo modo imparerai molte più cose, di divertirai e soprattutto inizierai a prendere il ritmo e imparerai a ricercare le informazioni che ti servono, senza che te le mettano davanti.

All'inizio va bene seguire un percorso fisso (che per me può essere quello di un ITIS informatica, per cui cercati i programmi scolastici e magari usa quelli, ci saranno degli ITIS informatica dalle tue parti), ma dopo un po' bisogna saper iniziare a mettere le mani in pasta e ricercare da soli. A me piaceva molto il corso PTSv4 della INE come ulteriore risorsa per imparare le prime vulnerabilità e come approcciare un penetration test, ma ormai il corso mi pare sia a pagamento. Puoi pur sempre cercare l'elenco delle tematiche che venivano trattate ed affrontarle per conto tuo.

Studiare i tools non ha molto senso: per la mia esperienza l'unico tool fondamentale è burpsuite (che per quanto riguarda il mondo web dovrai imparare a conoscere come le tue tasche), ma per il resto dipendo molto da cosa devi fare. Hai un problema, cerchi un tool che possa fare al caso tuo, leggi la documentazione e lo utilizzi. Insomma, impari a usarlo sul momento (cosa che ti viene molto più facile se conosci già le basi della materia, perchè riesci a immaginare da te come possa funzionare il tool e quindi si tratta solamente di cercare i parametri giusti che ti servono)

ok ho compreso a pieno quanto hai scritto, due domande: Quanto scritto sopra sulle reti il concetto è sempre quello capire i loro funzionamenti e quando serve usarli o approfondirli senza scendere nei minimi dettagli. Poi per quanto riguarda le aziende da junior, che competenze mi servono per entrare e lavorare? cosa dovrei fare?
Comunque ho provato a cercare libri per quanto riguarda ITIS ma non ho trovato nulla

 

[Not an engineer]

Ti direi anche di cercare le competenze richieste nelle posizioni entry da pentester.
Sapere cosa le aziende cercano è importante.

 

[notalk]

Ti direi anche di cercare le competenze richieste nelle posizioni entry da pentester.
Sapere cosa le aziende cercano è importante.

ok ti ringrazio moltissimo, quindi in base alle competenze che ho posso vedere ciò che fa per me

 

[Not an engineer]

Considerando che sei alla prime armi forse direi: imposto il mio studio sulla base delle competenze che le aziende ricercano.
Alcune discipline come le nozioni di reti che sono state citate nei topic precedenti rappresentano la base solida che chiunque lavori nel mondo Tech dovrebbe conoscere.

 

[notalk]

Considerando che sei alla prime armi forse direi: imposto il mio studio sulla base delle competenze che le aziende ricercano.
Comunque alcune discipline stanno alla base per lavorare nel mondo Tech come, ad esempio, le nozioni di reti che sono state citate nei topic precedenti.

Per quanto riguarda le reti, studio il libro e inizio a comprendere i loro funzionamenti poi piano piano facendo esercitazioni su piattaforme come hacktebox, tryhackme dovrei riuscire a fare qualcosa, dimmi se sbaglio

 

[--- Ra ---]

Per quanto riguarda le reti, studio il libro e inizio a comprendere i loro funzionamenti poi piano piano facendo esercitazioni su piattaforme come hacktebox, tryhackme dovrei riuscire a fare qualcosa, dimmi se sbaglio

Su TryHackMe puoi iniziare subito, dato che nel percorso base ti insegnano già l'utilizzo di Linux, come funziona Internet, le reti, il modello ISO/OSI, il modello TCP/IP, i DNS e via dicendo.

P.s: Il libro sulle reti che hai comprato si studia alla facoltà universitaria di Informatica. Io l'ho letto ed è un po' troppo approfondito rispetto alle conoscenze di cui hai bisogno per iniziare a smanettare. Inizia da qualche libro che ti ha consigliato @0xbro, dato che sono più semplici e sintetici.