pentester

Dies sollte auch eine vernünftige Einführung bieten:

Wiki - Pentest Training

Stellenweise wird auf das Labor verwiesen, das als Schulung verkauft wird. Aber die grundlegende Einführung in Pentesting ist jetzt frei verfügbar.

Am 9.10.2022 um 11:39 schrieb alex123321:

Ist das der richtige Einstiegspunkt ins Pentesting wenn man keine Ahnung vom Thema hat?

Ich hab nur mal die BSI Studie durchgeblättert. Ist genau so wie ich mir ein Dokument eines öffentlichen Trägers vorstelle. 20 Seiten Paragraphen und Gesetze gefolgt von 50 Seiten Checkliste. Der beste Weg das Interesse sofort einzustampfen.

Ich gehe jetzt einmal davon aus, dass wir hier von Penetration Testing im Sinne von "guter Hacker will legal für Kunden arbeiten und Geld verdienen" reden - man sich also nicht auf dem Niveau befindet, jetzt "kali linux lernen" zu wollen. Als erstes hatte ich den OWASP Testing Guide angeführt, für Webanwendunge & Co ist das hier schon die Referenz. An dem Buzzword-Bingo aus der BSI Studie kommt man im deutschen Markt nicht herum... ich kann nichts dafür, dass du zuerst das BSI-Dokument geöffnet hast ;-).

Ist das jetzt die richtige Literatur für den Starter des Threads, der Wireshark schon "durchgespielt" hat? Weiß ich nicht, aber so sieht man, was Penetration Testing wirklich ist. Ich muss ja kein Interesse erzeugen oder hoch halten, aber Pentesting ist halt nicht starte Metasploit, führe AD exploit aus, roote sofort die Company und stelle 20k in Rechnung.

Es gibt noch mehr relevante Anbieter als die Syss:

https://security.sauer.ninja/de/pentest/uebersicht-penetrationstest-dienstleistungsunternehmen-in-deutschland/

Am 4.3.2022 um 14:46 schrieb Flammkuchen:

Junior Pentester ist so eine Sache - das gibt es zu recht kaum. Als Pentester willst du ja in Systeme eindringen. Deshalb sollte man vorher schon mal selber Systeme aufgebaut und/oder entwickelt haben. 

Die ganzen Anfänger kommen da immer mit Kali Linux an und halten sich für Hackerman. Mit ein paar Tools auf Kali rumspielen kann jeder. 

• Du solltest auf einem gewissen Level programmieren können. Exploits brauchen oft Automatisierung und du musst auch verstehen wie Applikationen intern überhaupt funktionieren, sonst findest du nie eine Lücke.
• Du solltest Erfahrung mit Linux haben. Ohne GUI nur auf der Konsole, wie sichert man Linux ab, etc. Kein Server im Internet benutzt Kali. Da setzt man auf CentOS, RHEL, Ubuntu, Debian, ....

 

 

Ich würde sogar die These aufstellen, dass es keine guten Junior Penetration Tester geben kann... und man nicht nach einer Ausbildung oder Studium direkt als Penetration Tester einsteigen sollte - wenn man nicht am Ende nur Nessus, Qualys oder Greenbone bedienen möchte.

Am 4.3.2022 um 15:35 schrieb Flammkuchen:

Naja ich meine damit, dass man erstmal in einem professionellen Umfeld, also einer Firma, als Entwickler oder z.B. Linuxadmin arbeitet und dort lernt wie echte Systeme aussehen. Dort lernt man dann das große Ganze und versteht die Zusammenhänge, die man später als Pentester braucht. 

Verstehst wie eine grobe Software Architektur meist aussieht ? Frontend, Backend, Persistence-Layer (Datenbanken SQL/NoSQL, AWS S3, ...), etc. Wie kommunizieren Frontend und Backend sicher miteinander ? 

Verstehst du wie moderne Software im Internet oft läuft ? Stichwort: Container + K8s.

Verstehst du die modernen Möglichkeiten der Cloud ? Auf AWS musst du nicht einmal mehr SSH auf einer VM öffnen, weil man sich auch per AWS Session Manager verbinden kann.

Wie handelt man generell Secrets (z.B. Passwörter, Datenbank-Connetionstrings, Tokens, etc) für ein Deployment ?

Verstehst du grundlegende Netzwerk-Sicherheitsarchitekturen ? DMZ, VLANs, öffentliche/private Subnets in der Cloud, wie wird geroutet, NAT, ... 

Hast du genug Linux Kenntnisse ? Kali bringt dir nichts, wenn du nicht verstehst was an "chmod 777" falsch ist und du selber immer als root unterwegs bist.

Der Beitrag ist so absolut wahr, nur liest man das leider viel zu selten.

Am 22.2.2021 um 09:52 schrieb Kwaiken:

Ich bleibe jedoch bei meiner Meinung, dass ein oberflächlich durchgeführter Pentest für den Kunden kaum einen Mehrwert bietet. Ein Tool laufen lassen, welches sich die CVEs aus einer Datenbank zieht und gegen IP adressen testet, deckt im besten Fall nur Versäumnisse beim Patching auf. Das kann man auch selbst machen und braucht keinen ausgebildeten Pentester für.

Das ist kein Pentest, sondern ein VulnScan.

Am 19.2.2021 um 08:47 schrieb Kwaiken:

In den letzten 20 Jahren kamen mir beim Pentesting ganz wenige Leute unter, die den Titel meiner Meinung nach vedient hätten. Die meisten beschränkten sich auf die Nutzung von tools wie OpenVAS und das Copy&Paste des automatisch erstellten Reports in das Word-Firmentemplate.

Korrekt, sicherlich 80% am Markt arbeiten so. Erkennt man meistens daran, dass es sich um ein IT-Systemhaus oder um ein Beratungsunternehmen handelt, dass z.B. auch Datenschutz macht.

Am 11.2.2021 um 22:57 schrieb Graustein:

Anbei mal die Fachlichen Anforderungen. Junior Pentester

• Studienabschluss in Informatik, Elektrotechnik, IT-Sicherheit oder einem vergleichbaren Studiengang
• Fundierte Kenntnisse im Penetration Testing (Soft- und Hardware) oder relevanten Schnittstellen (USB, Bluetooth, Wifi, Mobilfunk) sowie Erfahrung im Umgang mit gängigen Tools
• Darüber hinaus sind Spezialkenntnisse in den folgenden Bereichen hilfreich:

1. IT-Sicherheit & Kryptographie
2. Programmierung in C und Python und ggf. weiteren Sprachen (z.B. Assembler, Java)
3. Automobilelektronik und Bussysteme
4. Internet of Things (IoT)
5. Fundierte Hardwarekenntnisse
6. Penetration Testing von Backendsystemen (Server, Netzwerke)

Ich hab schon mit dem Personaler gesprochen, Studium ist wohl kein Muss.
Fundierte Kenntnisse in Pentesting, hab ich natürlich keine.
Mein Plan wäre, die nächsten 6 Monate mich ausgiebig mit folgendem zu beschäftigen:
Hack the Box -> noch kein Pro Zugang aber kostet mit 10-15 Pfund ja nicht die welt um das mal 2-3 Monate zu nutzen.
PentesterLab -> hab ich 3 Monate Zugang
PentesterAcadamy -> hab ich schon 1 Jahr Abo

evtl INE.com (wobei das recht teuer ist mit 49 Dollar im Monat bzw 499 im Jahr)

Jeglichen Inhalt dort durchzuarbeiten.
Gleichzeitig/Danach Kali Linux
Bei genug Grundlagen dann den OCSP angehen und ablegen (wird ne harte Nuss aber meiner Meinung machbar)
Mit dem im Sack sollte eine Bewerbung klappen.

Frage ans Forum, Meinungen, Verbesserungen, Anregungen, eigene Erfahrungen?
Tolle Webseiten, Bücher, usw die ich übersehen habe und man unbedingt mitnehmen muss?

Ich finde ehrlich gesagt, dass sich das nach einem Plan anhört. Der klassische IT'ler, der sich Richtung Pentesting entwickelt, wird der bessere Pentester. Die große Herausforderung wird aber sein, relevante Praxiserfahrung nebenbei aufbauen zu können. Kali Linux braucht man nicht, ein normales Debian o.ä. reicht aus... bricht dann auch nicht beim nächsten Update gleich alles.  Der OSCP ist eine gute Richtung, den BACPP gibt es noch aus dem deutschsprachigen Raum. CEH & co und eigentlich vieles andere kann man direkt vergessen. Es gibt selbst Stellenanzeigen fürs Pentesting, die den CISSP vorschreiben... bei großen Firmen muss man aber irgendwie am Personaler vorbei, bis der eigentliche Ansprechpartner die Bewerbung bekommt - oder man geht zu kleineren Unternehmen. In Xing nach pentesting suchen und dort nach Firmen suchen, die kein HR-Personal haben.

Dein Ausbildungsbetrieb gehört einer IHK an und hat dort auch einen Ansprechpartner. Wenn dein Ausbilder mit dem groben Themenbereich einverstanden ist, würde ich einfach einmal den Ansprechpartner bei der IHK einladen um das Thema mit ihm zu besprechen. Man zahlt als Unternehmen genug IHK-Gebühren, da kann man auch eine entsprechende Gegenleistung erwarten. Erfahrungsgemäß geht manchmal auch etwas, wenn das Unternehmen - höflich - etwas Druck macht.

Zum eigentlichen Projekt-Thema, damit du dich nicht verrennst, was hast du denn für einen "Hacking-Background"? Sagen dir diese Tools etwas: nmap, Metasploit, Nessus, OWASP ZAP, Burp, greenbone... (und ja, ich habe mit Absicht auch Vulnerability Scanner aufgelistet). Welches OS nutzt du privat? Debian, Ubuntu, Gentoo, centos, suse...  - wie würdest du dich selbst einschätzen?

Es gibt auch genug theoretische Literatur zum Thema Penetration Testing, die online frei verfügbar ist:

• OWASP Testing Guide
• OSSTMM3 - Open Source Security Testing Methodology Manual
• OWASP Mobile Security Testing Guide
• BSI-Studie Durchführungskonzept für Penetrationstest
• Mobile Application Security Verification Standard (MASVS)

Das sind im Prinzip alles grundlegende Dokumente zur Vorgehensweise von Penetrationstests usw... Wireshark ist ein guter bzw der Netzwerk-Sniffer. Ansonsten einfach mal bei "man nmap" anfangen ;-)... es braucht auch kein Kali Linux dazu.

Ich komme aus dem Bereich und würde zuerst ein grundlegendes Bachelor-Studium in Informatik empfehlen. Es gibt in der Branche wenige FiSi o.ä., die ohne ein Studium in der Informatik als Penetration Tester arbeiten. Das hängt zum einem mit den grundsätzlichen Unterschieden zwischen Ausbildung vs Studium zusammen, aber auch damit, in welchen Bereiche man danach einsteigt. Der Weg von einer reinen Ausbildung zum Penetration Tester ist lang, wenn auch möglich:

https://security.sauer.ninja/de/pentest/wie-wird-man-eigentlich-penetration-tester/

Die besseren Penetration Tester sind aber IT-Experten, die sich irgendwann einmal auf IT-Sicherheit und Penetration Testing spezialisiert haben und auch einen großen Umfang an allgemeiner IT-Erfahrung mitbringen. Man kann z.B. nur sehr schwer Sicherheitslücken in Web-Anwendungen identifizieren (und ausnutzen), wenn man selbst noch nie eine Web-Anwendung programmiert hat. Das gilt analog auch für IT-Infrastrukturen... wer noch nie ein Netzwerk selbst aufgebaut hat, dem fehlt einfach Praxiserfahrung als Grundvoraussetzung:

https://binsec.com/de/wiki/security/howto/questions-and-answers/how-to-become-a-penetration-tester/

Natürlich braucht man keine nennenswerte Erfahrung um Tools wie Metasploit o.ä. zu nutzen. Das ist allerdings Scriptkiddie-Niveau und kein professionelles Penetration Testing. Es geht ja im professionellen Pentesting in der Regel nicht darum, einfach irgendwie in ein Unternehmen einzudringen, sondern den gesamten Angriffsvektor im Scope zu prüfen. Ein Hacker braucht nur eine ausnutzbare Schwachstelle... von einem Penetration Tester wird aber verlangt, dass er alle findet. Dafür braucht man grundlegend tiefe IT-Kenntnisse in verschiedenen Bereichen.

Den Wunsch beim BND zu arbeiten, kann ich in Bezug auf den Coolness-Faktor verstehen, allerdings wird man dann eher weniger davon erzählen dürfen und man hängt bei den Jahresgehältern im TVöD fest.