Zum Inhalt springen

pentester

Mitglieder
  • Gesamte Inhalte

    10
  • Benutzer seit

  • Letzter Besuch

Alle Inhalte von pentester

  1. Dies sollte auch eine vernünftige Einführung bieten: Wiki - Pentest Training Stellenweise wird auf das Labor verwiesen, das als Schulung verkauft wird. Aber die grundlegende Einführung in Pentesting ist jetzt frei verfügbar.
  2. Ich gehe jetzt einmal davon aus, dass wir hier von Penetration Testing im Sinne von "guter Hacker will legal für Kunden arbeiten und Geld verdienen" reden - man sich also nicht auf dem Niveau befindet, jetzt "kali linux lernen" zu wollen. Als erstes hatte ich den OWASP Testing Guide angeführt, für Webanwendunge & Co ist das hier schon die Referenz. An dem Buzzword-Bingo aus der BSI Studie kommt man im deutschen Markt nicht herum... ich kann nichts dafür, dass du zuerst das BSI-Dokument geöffnet hast ;-). Ist das jetzt die richtige Literatur für den Starter des Threads, der Wireshark schon "durchgespielt" hat? Weiß ich nicht, aber so sieht man, was Penetration Testing wirklich ist. Ich muss ja kein Interesse erzeugen oder hoch halten, aber Pentesting ist halt nicht starte Metasploit, führe AD exploit aus, roote sofort die Company und stelle 20k in Rechnung.
  3. Es gibt noch mehr relevante Anbieter als die Syss: https://security.sauer.ninja/de/pentest/uebersicht-penetrationstest-dienstleistungsunternehmen-in-deutschland/
  4. Ich würde sogar die These aufstellen, dass es keine guten Junior Penetration Tester geben kann... und man nicht nach einer Ausbildung oder Studium direkt als Penetration Tester einsteigen sollte - wenn man nicht am Ende nur Nessus, Qualys oder Greenbone bedienen möchte. Der Beitrag ist so absolut wahr, nur liest man das leider viel zu selten.
  5. Das ist kein Pentest, sondern ein VulnScan. Korrekt, sicherlich 80% am Markt arbeiten so. Erkennt man meistens daran, dass es sich um ein IT-Systemhaus oder um ein Beratungsunternehmen handelt, dass z.B. auch Datenschutz macht. Ich finde ehrlich gesagt, dass sich das nach einem Plan anhört. Der klassische IT'ler, der sich Richtung Pentesting entwickelt, wird der bessere Pentester. Die große Herausforderung wird aber sein, relevante Praxiserfahrung nebenbei aufbauen zu können. Kali Linux braucht man nicht, ein normales Debian o.ä. reicht aus... bricht dann auch nicht beim nächsten Update gleich alles. Der OSCP ist eine gute Richtung, den BACPP gibt es noch aus dem deutschsprachigen Raum. CEH & co und eigentlich vieles andere kann man direkt vergessen. Es gibt selbst Stellenanzeigen fürs Pentesting, die den CISSP vorschreiben... bei großen Firmen muss man aber irgendwie am Personaler vorbei, bis der eigentliche Ansprechpartner die Bewerbung bekommt - oder man geht zu kleineren Unternehmen. In Xing nach pentesting suchen und dort nach Firmen suchen, die kein HR-Personal haben.
  6. Dein Ausbildungsbetrieb gehört einer IHK an und hat dort auch einen Ansprechpartner. Wenn dein Ausbilder mit dem groben Themenbereich einverstanden ist, würde ich einfach einmal den Ansprechpartner bei der IHK einladen um das Thema mit ihm zu besprechen. Man zahlt als Unternehmen genug IHK-Gebühren, da kann man auch eine entsprechende Gegenleistung erwarten. Erfahrungsgemäß geht manchmal auch etwas, wenn das Unternehmen - höflich - etwas Druck macht. Zum eigentlichen Projekt-Thema, damit du dich nicht verrennst, was hast du denn für einen "Hacking-Background"? Sagen dir diese Tools etwas: nmap, Metasploit, Nessus, OWASP ZAP, Burp, greenbone... (und ja, ich habe mit Absicht auch Vulnerability Scanner aufgelistet). Welches OS nutzt du privat? Debian, Ubuntu, Gentoo, centos, suse... - wie würdest du dich selbst einschätzen?
  7. Es gibt auch genug theoretische Literatur zum Thema Penetration Testing, die online frei verfügbar ist: OWASP Testing Guide OSSTMM3 - Open Source Security Testing Methodology Manual OWASP Mobile Security Testing Guide BSI-Studie Durchführungskonzept für Penetrationstest Mobile Application Security Verification Standard (MASVS) Das sind im Prinzip alles grundlegende Dokumente zur Vorgehensweise von Penetrationstests usw... Wireshark ist ein guter bzw der Netzwerk-Sniffer. Ansonsten einfach mal bei "man nmap" anfangen ;-)... es braucht auch kein Kali Linux dazu.
  8. Ich komme aus dem Bereich und würde zuerst ein grundlegendes Bachelor-Studium in Informatik empfehlen. Es gibt in der Branche wenige FiSi o.ä., die ohne ein Studium in der Informatik als Penetration Tester arbeiten. Das hängt zum einem mit den grundsätzlichen Unterschieden zwischen Ausbildung vs Studium zusammen, aber auch damit, in welchen Bereiche man danach einsteigt. Der Weg von einer reinen Ausbildung zum Penetration Tester ist lang, wenn auch möglich: https://security.sauer.ninja/de/pentest/wie-wird-man-eigentlich-penetration-tester/ Die besseren Penetration Tester sind aber IT-Experten, die sich irgendwann einmal auf IT-Sicherheit und Penetration Testing spezialisiert haben und auch einen großen Umfang an allgemeiner IT-Erfahrung mitbringen. Man kann z.B. nur sehr schwer Sicherheitslücken in Web-Anwendungen identifizieren (und ausnutzen), wenn man selbst noch nie eine Web-Anwendung programmiert hat. Das gilt analog auch für IT-Infrastrukturen... wer noch nie ein Netzwerk selbst aufgebaut hat, dem fehlt einfach Praxiserfahrung als Grundvoraussetzung: https://binsec.com/de/wiki/security/howto/questions-and-answers/how-to-become-a-penetration-tester/ Natürlich braucht man keine nennenswerte Erfahrung um Tools wie Metasploit o.ä. zu nutzen. Das ist allerdings Scriptkiddie-Niveau und kein professionelles Penetration Testing. Es geht ja im professionellen Pentesting in der Regel nicht darum, einfach irgendwie in ein Unternehmen einzudringen, sondern den gesamten Angriffsvektor im Scope zu prüfen. Ein Hacker braucht nur eine ausnutzbare Schwachstelle... von einem Penetration Tester wird aber verlangt, dass er alle findet. Dafür braucht man grundlegend tiefe IT-Kenntnisse in verschiedenen Bereichen. Den Wunsch beim BND zu arbeiten, kann ich in Bezug auf den Coolness-Faktor verstehen, allerdings wird man dann eher weniger davon erzählen dürfen und man hängt bei den Jahresgehältern im TVöD fest.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...