Máte za sebou první rok pentestění webových aplikací a máte pocit, že jako penetrační tester jste pořád na stejné úrovni? Sjíždíte sociální sítě a hledáte něco, co vás posune a stále se vám nedaří dělat výrazné pokroky? Nemáte kolegy od kterých byste se mohli učit? Mám pro vás pár tipů jak z toho ven.
Motivační rozborka
Nejdříve si v klidu sedněte a zeptejte se sámi sebe, proč je pro vás profesní rozvoj v oblasti pentestingu důležitý.
Popište představu, jak to bude vypadat, až se k tomuto cíli dostanete a jaké pocity chcete během této cesty zažívat. To vám pomůže najít skutečnou motivaci a nastavit vhodnou cestu.
Časový plán
Vyhraďte si den a čas, kdy vás nikdo nebude rušit a můžete se rozvoji pravidelně věnovat.
S volným časem bojujeme všichni, každý z nás má jiné priority, potřeby a závazky. Je v pořádku, pokud rozvoji věnujete pouze dvě hodiny týdně nebo dvě hodiny každý den. Nechte si volný čas pro rodinu, přátele a offline koníčka, abyste byli v souladu sami se sebou. Dopřejte si ten komfort dělat věci pomaleji a držet se svých cílů.
Když vám harmonogram něco rozbije, dejte si pohov, ale pak se k režimu vraťte. Váš cíl je dlouhodobý, není to na týden, ani na měsíc, ale třeba na půl roku. Pokud se vám to nedaří, zvolená forma vás neuspokojuje a něco děláte špatně.
Číst méně
Online obsahu je prostě moc a nejde vše sledovat. Budou se vám hodit přehledy publikovaných článků, které mají největší ohlasy v komunitě.
Vyberte si jeden článek, který vás tématický zajímá a přečtěte si jej do hloubky. Tam kde to má pro vás smysl, vyzobejte postřehy a zapiště si je do online notesu. Můžete se k nim později vrátit a téma rozvinout. Začnete si tak budovat vlastní „pentest wiki“.
Kromě útočné techniky a nástrojů se snažte pochopit, proč aplikační logika nebo technologie zpracovává data právě tímto zranitelným způsobem.
Za softwarem je vždy nějaký návrh, který vytvořil člověk a postupně začnete chyby v návrhu rozpoznávat. Někdy je nutné něco dostudovat, ale držte se pravidla nezabřednout v detailech a jít dál. Praxe vám ukáže k čemu se vrátíte.
Mezi mé oblíbené zdroje s přehledy patří týdeník pentester.land. Nyní už vychází pod novým názvem „bug bytes“ na komerčním blogu sponzora blog.intigriti.com.
Začněte sledovat také vybrané autory na twitteru, umožní vám to při pentestech aplikovat novinky. Většinou retweetuji posty, které mne zaujaly a chci se k nim vrátit „až bude čas“.
Pokud se zajímáte o konrétní útoky, které dokážete pojmenovat, použijte google nebo prostudujte úspěšné hacky na bug bounty platformách, jako je například hackerone.com.
Cvičit více
Bez praktické zkušenosti se učíte jen do šuplíku a neposouváte se. Zkoušejte nové metody ručně. Manuálně piště útočné vstupy a skripty. Automaty nejsou vůbec špatné, ale pro režim učení a zlepšení schopnosti průzkumu vás brzdí.
Pokud chcete rychleji objevit nové techniky, využijte komunitní nebo komerční laby, které připravili jiní pentesteři.
Mezi moje oblíbené platformy patří:
- Web Security Academy, která je zdarma – https://portswigger.net/web-security
- Pentesterlab.com vyžaduje předplatné, ale nezrujnuje vaši peněženku pokud oželíte Netflix:)
- hackthebox.org – jde cestou bez nápovědy. Je to pro samuraje, kteří mají již něco za sebou. Existují sice dokumentované postupy již zestárlých mašin, ale i tak vám tato platforma sežere více času, než byste chtěli. Útoky se zřetězují a není to jen o webových aplikacích.
Nepřestávejte se ptát
Jděte do pentestu s mindsetem, chci aplikaci hacknout, chci se dozvědět jak aplikace pracuje a odnést si novou zkušenost. Nechcete nudnou exekuci .
Proklikejte si aplikaci, prozkoumejte funkcionalitu a snažte se pochopit byznys použití a jednotlivé interakce uživatelů. Nežeňte se hned do testování, poznačte si zajímavá místa, ke kterým se vrátíte. Otevřete dokumentaci a zkontrolujte, jestli jste nepřehlédli funkcionalitu nebo konfiguraci, která čeká právě na vás.
Nepřestávejte se ptát jak můžete zlepšit své porozumění.
Máte přístup k logu aplikace nebo na filesystém? Máte možnost si aplikaci nainstalovat? Je možné získat přístup ke zdrojovým kódům? Nerozumíte funkcionalitě nebo chybí vám data k provolání? Prostě se zeptejte.
Jste-li v ouzkých, zeptejte se uživatele aplikace nebo vývojáře. Pokud nemáte pentest kolegu, zeptejte se svoji imaginární modly, co by udělala na vašem místě.
Postupem času začnete do aplikace „více svítit“ a otazníků bude méně a méně.
Nové pentest projekty
Máte-li tu možnost, změňte na čas pentest projekty. Vyskočte ze svoji komfortní zóny a zkuste otestovat jiné technologie nebo systémy. Situace a stress vás donutí se naučit nové věci.
Pokud to není možné, zkuste sváteční testování v režimu bug bounty na platformách hackerone.com nebo bugcrowd.com. Je ale potřeba obezřetně číst podmínky programu, abyste se nedostali mimo dohodnutý právní rámec. Vaše motivace nemusí být nutně odměna, ale nová zkušenost.
Závěr
Shrnul jsem možnosti, které s odstupem vidím ze svého pohledu. Některé postřehy jsem získával po diskuzi s kolegy za poslední roky, kdy jsem aktivně řešil svůj rozvoj.
Budu rád, když mne také doplníte. Třeba právě váš podnět zarezonuje a někomu pomůže. Co vás vlastně nakoplo nebo rychleji dostalo na seniorní dráhu pentestera? Pošlete mi mail nebo reagujte pod příspěvkem na sociálních sítích. Odkazy a kontakty najdete na webu hackerlab.cz. Zajimavé komentáře doplním pod článek.
To je pro dnešek vše. Zvažujete-li cestu etického hackera od začátku, rád uvidím na hacking kurzech.