1. MĂ€rz 20223 j Hallo zusammen! Vorweg kurz etwas zu meiner Person: Ich bin 27 und als Quereinsteiger in einer verkĂŒrzten Ausbildung zum Fachinformatiker fĂŒr Systemintegration, ohne jegliche bisherige IT-Berufserfahrung und interessiere mich seit Beginn stark fĂŒr das Thema Pentesting. In meinem Ausbildungsbetrieb bin ich nun seit 07.2021 und es ist absolut tote Hose - also nichts zu tuen, was natĂŒrlich nachteilig ist fĂŒr meine praktische Berufserfahrungen ist, jedoch wiederum positiv, um mich mit Dingen zu beschĂ€ftigen, die ich lernen möchte. Unsere eigentliche Firmen-KerntĂ€tigkeit liegt im bauen von Netzwerkstrukturen fĂŒr mittelstĂ€ndige Unternehmen sodass ich, wenn mal etwas anfĂ€llt, kleine Einblicke in Netzwerkstrukturen und SupporttĂ€tigkeiten bekomme. Aufgrund mangelnder Kunden gehe ich stark davon aus, dass nach der Ausbildung nicht wirklich Ăbernahmechancen fĂŒr mich bestehen und so möchte ich mich um so besser fĂŒr potenzielle Stellenbewerbungen vorbereiten und meine Voraussetzungen schon innerhalb meiner Ausbildung beeinflussen. Da ich gerne Pentester werden wĂŒrde, bereite ich mich (neben den IHK PrĂŒfungsinhalten) mit kleinen CTFs auf eventuelle Zertifikate vor, bzw. sammle so meine ersten Erfahrungen.  Nun ist meine 1. Frage: was fĂŒr einen weiteren Lebenslauf sollte ich anstreben? Mein grober Plan ist es, die bevorstehende ZwischenprĂŒfung (03.2022) gut zu absolvieren und anschlieĂend bis Ende des Jahres ein Zertifikat fĂŒr meine Bewerbungen als Junior Pentester zu absolvieren. Ende des Jahres, also nach abgeschlossenem Zertifikat, werde ich dann wieder meine PrĂŒfungsvorbereitungen fĂŒr die AbschlussprĂŒfung 2023 aufnehmen und intensivieren. Meine 2. Frage bezieht sich auf das angestrebte Zertifikat: welches Cert wĂ€re hier ein guter, realistischer Einstieg, mit hohen Erfolgschancen fĂŒr eine Einladung zu einem BewerbungsgesprĂ€ch?Mir wurde mal das TCM-Zertifikat empfohlen, aber wenn ich mich einlese gibt es da ja noch viel mehr, sodass mir eine Wahl echt schwer fĂ€llt. Die 3. Frage richtet sich vor allem an HR-Manager und andere Erfahrene in der Branche: welche RatschlĂ€ge und Erfahrungen habt ihr noch fĂŒr mich, um aus meinen geringen Voraussetzungen das beste zu machen?  Vielen Dank und ich freue mich auf euer Feedback!  Bearbeitet 1. MĂ€rz 20223 j von xkoi
1. MĂ€rz 20223 j Hmmmm .... als Pentester musst Du reichlich Erfahrung mit den Systemen haben. Mir sind da auĂer einem Studium keine Zertifikate bekannt, alle mir bekannten PTs sind erfahrene Profis. Ich empfehle auf jeden Fall als Grundlagen auch schon wĂ€hrend der Ausbildung die Vorgaben der DSGVO und noch mehr des BSI Grundschutz Kompendiums und deren Erweiterungen. Weiterhin gibts ne Reihe guter BĂŒcher zum Thema Social Engineering ... auch das gehört mit dazu. Einige Ăffis setzen automatisierte PenTests fĂŒr den Applikationsbereich ein, sprich automatisierte Test- und Analysesoftware gegen selbst erzeugten Code. FĂŒr die Analyse von Internetauftritten nutzen wir professionell ein Tool, was gegen bekannte Schwachstellen testen und diese dokumentiert. Interessant dĂŒrfte fĂŒr Dich weiterhin der Einsatz von SCAP Tools sein, ggfs auch kostenpflichtiger vergleichbarer Software ( Flexera Csia zb ). Was willst Du denn genau testen ? Prozesse ? Software ? Maschinen ? Menschen ? ( < die hackst Du immer mit hinreichend Aufwand ) Â
1. MĂ€rz 20223 j Hi, Pentesting hat mit Social Engineering meist nichts zu tun. Da wĂ€rst du eher beim Red Team. DSGVO seh ich da auch nicht direkt. Bau starke Netzwerkgrundlagen auf und sammel so viel praktische Erfahrung wie möglich. Idealerweise findest du in der RealitĂ€t erste SicherheitslĂŒcken ĂŒber die du berichten kannst, aber beachte mögliche Gesetze. Wenns unbedingt ein Zertifikat sein muss, wĂŒrde ich als Junior den eJPT machen. Wenn du fortgeschritten bist, den OSCP wobei hier erhebliche Kosten entstehen.
1. MĂ€rz 20223 j vor 1 Minute schrieb alex123321: DSGVO seh ich da auch nicht direkt. Naja ... die regelt halt die Rechtsgrundlagen Ohne Freifahrtschein sollte man nicht arbeiten. Und beim PenTests gehts darum deren Grundlagen zu erfĂŒllen
1. MĂ€rz 20223 j Klar, die GrundzĂŒge der DSGVO verstehen und einen VerstoĂ verstehen gehört mit zum Pentesting. Und den IT-Grundschutz zu verstehen schadet auch nicht. Aber das wĂ€ren aus meiner Sicht nicht die Fokusthemen. Die Schwierigkeit wird darin liegen einen Arbeitgeber zu ĂŒberzeugen, dass man der beste Kandidat ist. Und das wĂŒrde man damit nicht. Ich bleibe bei meinen Aussagen. Starke Netzwerkkenntnisse, Starkes VerstĂ€ndnis fĂŒr Webapplikationen, Programmierkenntnisse, Windows und Linux Kenntnisse. Dazu ein gutes VerstĂ€ndnis fĂŒr die Vorgehensweise bei einem Pentest, eine strukturierte Denkweise, starke DokumentationsfĂ€higkeiten, Kenntnisse ĂŒber verschiedenste Arten von Schwachstellen. Weiterhin Kenntnisse zu unterschiedlichen Frameworks, Informationsquellen und Tools, wie Mitre Attack, OWASP, ExploitDB, Killchain Metasploit, Burp Suite, verschiedenste Vulnerability Scanner, etc, etc. Erste Zertifikate in dem Bereich. Ideal wĂ€re aus meiner Sicht wirklich der OSCP, aber das ist eher nichts fĂŒr AnfĂ€nger. Best Case: Ein Blog mit veröffentlichten Untersuchungen und Schwachstellen Und einen Plan im Hinterkopf behalten was passiert, wenn es nichts werden sollte. Ich habe das GefĂŒhl dass gerade der Bereich Pentest ziemlich viele Junior Bewerber hat aktuell und es nicht gegeben ist, dass man genommen wird. Man muss herausstechen. Und das Gehalt ist vergleichsweise eher gering.Â
1. MĂ€rz 20223 j Ich kann den anderen Hier nur zustimmen, wĂŒrde aber auch meine meinung dazu mal Ă€uĂern: Pentesting ist ein Ă€uĂerst schwieriger Bereich. Man sollte schon einiges an Erfahrung richtung Netzwerke,Protokolle, Programmierkenntnisse (meiner Meinung nach) vorweisen können. Da du ja noch in deiner Ausbildung bist, und nehme mir das bitte nicht ĂŒbel, glaube ich kaum, dass du direkt danach in diesem Bereich einsteigen kannst. Selbst als Junior Pentester sollte man schon einiges auf dem Kasten haben und Erfahrung in den oben bereits erwĂ€hnten Bereichen besitzen. Und wenn dein Betrieb wie ich das jetzt wahrnehme nicht wirklich gut ausbildet wird es gerade schwer fuĂ in diesem Bereich zu fassen. Du musst somit dir sehr vieles in deiner Freizeit beibringen. Wie sieht es denn da bei dir aus? bildest du dich richtung Netzwerke etc. auch privat weiter oder nutzt du dafĂŒr deine freie Zeit in der Firma? Direkt (wenn auch kleine) CTFs zu machen finde ich schon seltsam/wĂŒrde ich nicht tun, da dir sehr wahrscheinlich viel zu viele basics fehlen. Ich finde ja TryHackMe gut, da werden dir die Basics beigebracht und dort kannst du in viele Bereiche reinschnuppern, besonders Pentesting. Wenn du dich dort gut schlĂ€gst kannst du HackTheBox probieren, dort werden auch immer CTFs angeboten und auch extra "SpielrĂ€ume" wo du dann pentesting betreiben kannst (von einfach bis Schwer). WĂŒrde dir dennoch fĂŒr den Anfang zu TryHackMe raten. Das ist aber auch alles nur meine Meinung. Wichtig ist, dass du einen Faden hast an den du dich abarbeiten kannst. VG  Â
1. MĂ€rz 20223 j Autor Danke euch vielmals fĂŒr eure Antworten!  @Infinity246 vor 3 Stunden schrieb Infinity246:  Wie sieht es denn da bei dir aus? bildest du dich richtung Netzwerke etc. auch privat weiter oder nutzt du dafĂŒr deine freie Zeit in der Firma? Erstmal danke fĂŒr dein ehrliches Feedback und den Umfangreichen Beitrag!  Genau, in meiner Freizeit und auch in meiner freien Arbeitszeit mache ich Uedemykurse (CompTIA Netzwerk, aber ohne Zertifikat), erstelle/lerne Lernkarten zu allen relevanten Protokollen, sowie HackingTools, welche ich bei TryHackMe kennenlerne und nehme Java Nachhilfe (bin aber leider noch ein seeeeehr schlechter Programmierer und frage mich, in weit ich programmieren lernen muss ). Ausserdem nutze ich klassisch den Cisco Packet Tracer um mir Netzwerke auf zu bauen, sie zu konfigurieren und irgendwie praktische Erfahrungen zu sammeln.  Meine Perspektive ist leider nicht die beste, so wie du es beschreibst bzw wertest und so wie ich es aktuell auch sehe.. Ich wĂŒsste halt nicht, was ich sonst noch tuen könnte. Den "normalen" Support finde ich relativ uninteressant, wĂŒrde aber natĂŒrlich auch hier erstmal einsteigen, wenn sich nach der Ausbildung (wovon ich nun ausgehe) keine jr. Pentester Stelle erreichen lĂ€sst. GĂ€be es denn noch andere Möglichkeiten?  Ich hatte ĂŒberlegt ein Zertifikat zu machen, CTFs zu absolvieren, diese zu dokumentieren und eventuell selber kleine Netzwerkstrukturen oder Serverumgebungen basteln, sodass ich diese dann angreifen kann. Dann kann ich zwar keine realen PenTests vorweisen, aber dafĂŒr einen Haufen Dokumentation, welcher mir zumindest das Aufbauen von Strukturen, die Vorgehensweisen und natĂŒrlich auch das (geringe,theoretische) PenTesting Skillset belegt.  Ich hoffe ich habe mich hiermit nicht zu weit aus dem Fenster gelehnt, aber ich bin bereit alles an freier Zeit auf der Arbeit und auch auĂerhalb der Arbeit zu investieren, da ich einen riesigen SpaĂ und eine riesige Begeisterung fĂŒr das ganze mitbringe. Das mein Betrieb zu wenig zu tuen hat ist zwar fĂŒr meine praktischen Berufsererfahrungen (gerade als Quereinsteiger) nachteilig, aber ich möchte hier einfach das positivste draus ziehen, was konkret Lernzeit und den Zugang zu einigen Systemen meint.  Vielen Dank nochmal fĂŒr die Beteiligung und ĂŒber weitere Antworten erfreue ich mich sehr!
2. MĂ€rz 20223 j Hi, bin mir nicht ganz sicher, ob du wirklich "nur" Pentester, oder allgemein ein guter Hacker werden möchtest. Zu letzterem, kann ich so viel sagen: Hacken ist erst mal viel mehr eine Lebenseinstellung / Philosophie, als ein reiner Skill. Hacker haben von Natur aus eine unglaubliche Neugierde, die es Ihnen ermöglicht mit der damit verbundenen unerschöpflichen Motivation, Systemen (egal ob Hard- oder Software) auf den Grund zu gehen und damit z.B. Schwachstellen zu finden. Diese Neugierde fĂŒhrt natĂŒrlich dazu, dass man gar nicht anders kann, als NĂ€chte vor dem Rechner zu verbringen und irgendwelche Linux/Unix-Systeme einzurichten und zu versuchen alles Mögliche aus diesen Systemen herauszukitzeln. Damit entwickelt man natĂŒrlich auch gewisse FĂ€higkeiten. (Tip: fang mal an ein Arch Linux / FreeBSD System von Anfang bis "Ende" einzurichten. Wenn dir das keinen SpaĂ macht und du nicht dran sitzt bis es lĂ€ngst wieder hell geworden ist :D, bist du vermutlich mit einem anderen Beruf besser dran). Denn ich denke, auch wenn du gezielt ein Pentester werden möchtest, ist das doch sehr verwandt mit der TĂ€tigkeit eines Hackers. Letztendlich kann man natĂŒrlich sagen: Je mehr Wissen und FĂ€higkeiten du dir aus dem Bereich der Informatik aneignest, desto besser bist du als Hacker / Pentester. Ja auch Programmieren zu können, sollte dir nicht als lĂ€stig erscheinen. Malware oder allg. Skripte fĂŒr beliebige Zwecke usw.. mĂŒssen auch geschrieben werden. Gutes Grundlagen-Wissen in Sachen Netzwerk, Linux & IT-Sicherheit, muss ich wohl nicht erst erwĂ€hnen. Also ist es vermutlich ein guter Weg, erst ein mal mit den Grundlagen in Sachen Linux / und Netzwerke zu beginnen, bevor du versuchst irgendwelche Hacking-Tools in der Konsole zu bedienen ohne diese zu verstehen. Zertifikat fĂŒr Linux: https://www.lpi.org/de/our-certifications/lpic-1-overview https://www.udemy.com/course/lpic-1-linux-bootcamp-in-30-tagen-zum-linux-admin/ Zertifikat(e) fĂŒr Netzwerke: https://www.cisco.com/c/en/us/training-events/training-certifications/certifications/associate/ccna.html https://www.udemy.com/course/ccna-powertraining-cisco-examen-200-301/ https://www.udemy.com/course/computer-netzwerke-network/  Ethical Hacking / IT-Sicherheit / Pentesting: https://www.udemy.com/course/ethical-hacking-der-komplettkurs/ https://hacking-akademie.de/ https://www.hugendubel.de/de/buch_gebunden/eric_amberg_daniel_schmid-hacking-41810049-produkt-details.html  Den ganz unten erwĂ€hnten Kurs "Ethical Hacking - der Komplettkurs" von Eric Amberg (sowie alle Kurse von diesem Dozenten) kann ich wirklich empfehlen. Er geht zu Anfang auch nochmal auf den Unterschied, zwischen Pentesting, Hacking usw.. ein, und erzĂ€hlt welche Zertifikate man so machen kann. Da es auf Udemy regelmĂ€Ăig Angebote gibt, und die Kurse dann nur 15 - 20⏠Kosten, wĂŒrde ich darauf auf jeden Fall zurĂŒckgreifen. Wir leben doch echt in super Zeiten, mit all diesen Möglichkeiten online / von zuhause lernen zu können! Da gibt's keine Ausreden mehr Und was allgemein immer ein guter Weg ist, egal auf welchem Gebiet du etwas erreichen möchtest: Umgebe dich mit Menschen, oder orientiere dich an Menschen, die dein Ziel bereits erreicht haben. Von allen anderen wĂŒrde ich mir da recht wenig reinreden lassen. Deswegen habe ich auch Eric Amberg empfohlen, da er genau auf diesem Gebiet, das dich interessiert sehr viel Erfahrung hat. (Gibt auf Udemy auch viele Jungspunde, die eher der Kohle wegen Dozent geworden sind und nicht weil sie das gut können) Eine andere gute Anlaufstelle wĂ€re in diesem Zusammenhang auch der CCC aka Chaos Computer Club und deren Kongress. Und ich wĂŒrde schonmal anfangen Bewerbungen zu schreiben, sodass du nach deiner Ausbildung zu einer Firma wechseln kannst, in der du mehr lernst als bisher. Die 5 Tage / 40 Stunden pro Woche machen schlieĂlich den GroĂteil deiner Zeit aus. Daher ist es Gold Wert, wenn du bereits ĂŒber die Arbeit viel Erfahrung mitnimmst - und nicht nur privat ĂŒber Udemy & co. (Und mit neue Firma / neue Stelle meine ich nicht unbedingt eine Stelle als Pentester, sondern erst mal in dem Bereich, den du aktuell ĂŒber die Ausbildung lernst, wenn du da eine bessere Firma erwischst, wĂ€re das doch auch super. Erst mal deine Netzwerk oder Programmierkenntnisse auszubauen ist wichtig.) Eine letzte Option, wĂ€re durchaus auch ein Studium der Informatik, z.B. an einer Uni wie der TU Darmstadt. Deren FakultĂ€t fĂŒr IT-Sicherheit und auch Robotik genieĂt weltweit sehr hohes Ansehen. (aus Wikipedia: "Die Technische UniversitĂ€t Darmstadt ist Partner des Nationalen Forschungszentrums fĂŒr angewandte Cybersicherheit ATHENE, der gröĂten Forschungseinrichtung fĂŒr IT-Sicherheit in Europa."). Und in Darmstadt gibt es auch einen Sitz des CCC. Also der Top-Standort fĂŒr alle die Hacker werden wollen! Wenn du das durchziehst, hast du es echt drauf! DafĂŒr musst du es aber auch echt drauf haben, bzw. dich gut durchbeiĂen können. Könntest dich aber auch in Teilzeit neben dem Job erst mal nur auf die Module (FĂ€cher) fokusieren, die du brauchst um ein guter Hacker zu werden, also Mathematik, Kryptografie, IT-Sicherheit usw.. und nicht zwingend den Bachelor machen. Einen Abschluss hast du ja bereits durch die Ausbildung und die richtige Berufserfahrung ist Gold wert. (-> Aber dafĂŒr erst mal die Firma wechseln) Viel Erfolg dabei & LG, NicerDicer
2. MĂ€rz 20223 j vor 6 Stunden schrieb NicerDicer: Ethical Hacking / IT-Sicherheit / Pentesting: https://www.udemy.com/course/ethical-hacking-der-komplettkurs/ https://hacking-akademie.de/ https://www.hugendubel.de/de/buch_gebunden/eric_amberg_daniel_schmid-hacking-41810049-produkt-details.html SĂ€mtliche Links ... Kurse, BĂŒcher und Website der gleichen Person...machst du hier Werbung?
3. MĂ€rz 20223 j Folgendes ist mir nach @NicerDicers Posting klar geworden: echte Hacker verwenden FreeBSD, maximal Linux - niemals Windows oder Apple! echte Hacker hacken nur nachts! echte Hacker leben nur fĂŒr die IT! Bearbeitet 3. MĂ€rz 20223 j von allesweg
3. MĂ€rz 20223 j Autor @NicerDicer Vielen Dank erstmal, dass du dir die Zeit fĂŒr diese ausfĂŒhrliche und informative Antwort genommen hast! vor 17 Stunden schrieb NicerDicer: Zertifikat fĂŒr Linux: https://www.lpi.org/de/our-certifications/lpic-1-overview https://www.udemy.com/course/lpic-1-linux-bootcamp-in-30-tagen-zum-linux-admin/ Zertifikat(e) fĂŒr Netzwerke: https://www.cisco.com/c/en/us/training-events/training-certifications/certifications/associate/ccna.html https://www.udemy.com/course/ccna-powertraining-cisco-examen-200-301/ https://www.udemy.com/course/computer-netzwerke-network/  Ethical Hacking / IT-Sicherheit / Pentesting: https://www.udemy.com/course/ethical-hacking-der-komplettkurs/ https://hacking-akademie.de/ https://www.hugendubel.de/de/buch_gebunden/eric_amberg_daniel_schmid-hacking-41810049-produkt-details.html Also den Tipps (welche wirklich ein weeeeeenig wie Werbung wirken  wie @KeeperOfCoffee hier anmerkt) zu den Kursen/Zertifikaten werde ich auf jeden Fall mal nachgehen, bzw. teilweise mache ich schon ein paar Udemy-Kurse von Eric Amberg und finde ihn auch absolut nicht schlecht! vor 17 Stunden schrieb NicerDicer: bin mir nicht ganz sicher, ob du wirklich "nur" Pentester, oder allgemein ein guter Hacker werden möchtest. Zu letzterem, kann ich so viel sagen: Hacken ist erst mal viel mehr eine Lebenseinstellung / Philosophie, als ein reiner Skill. Hacker haben von Natur aus eine unglaubliche Neugierde, die es Ihnen ermöglicht mit der damit verbundenen unerschöpflichen Motivation, Systemen (egal ob Hard- oder Software) auf den Grund zu gehen und damit z.B. Schwachstellen zu finden. Diese Neugierde fĂŒhrt natĂŒrlich dazu, dass man gar nicht anders kann, als NĂ€chte vor dem Rechner zu verbringen und irgendwelche Linux/Unix-Systeme einzurichten und zu versuchen alles Mögliche aus diesen Systemen herauszukitzeln. Damit entwickelt man natĂŒrlich auch gewisse FĂ€higkeiten. (Tip: fang mal an ein Arch Linux / FreeBSD System von Anfang bis "Ende" einzurichten. Wenn dir das keinen SpaĂ macht und du nicht dran sitzt bis es lĂ€ngst wieder hell geworden ist :D, bist du vermutlich mit einem anderen Beruf besser dran). Denn ich denke, auch wenn du gezielt ein Pentester werden möchtest, ist das doch sehr verwandt mit der TĂ€tigkeit eines Hackers. Was die OS Wahl angeht bastel ich schon rum, benutze aber aktuell ganz mainstream ein Kali, bin aber allgemein ein groĂer Linux Fan geworden, habe mich hier schon durch ein paar Distros probiert und werde bestimmt nicht ewig bei Kali kleben bleiben  . NatĂŒrlich möchte ich auch ein guter Hacker werden, dachte allerdings, dass man als Pentester dann auch die richtige Berufswahl getroffen hat, um praktisch und beratend, das ganze produktiv im Gewandt einer weiĂen RĂŒstung anwenden kann. Wie auch @allesweg aufgreift, bin ich nicht wirklich der Meinung, dass man wie Hacker in irgendwelchen Filmen von Energydrinks angetrieben und ein, durch das Licht des Monitors genĂ€hrtes, Leben in der Nacht fĂŒhren muss. Wenn ich das aber richtig verstanden habe, wolltest du nur darauf hinweisen wie groĂ die Begeisterung fĂŒr Systeme und der ErgrĂŒndung/Erkundung sein muss. Hier kann ich klar zu sagen, dass ich mich erst seit letztem Jahr mit Informationstechnologien befasse und mein alltĂ€gliches Leben leider garnicht fassen kann, was meine Begeisterung alles versucht an zu treiben und zu erkunden. Ich hĂ€nge halt nur auch an vielen Basics und dadurch dass ich alles selber lernen muss (bezogen auf Praxis im Betrieb), fehlt einem manchmal eine Art Faden, wenn man nicht gerade an irgendeinem eigenen Projekt dran ist. vor 17 Stunden schrieb NicerDicer: Und was allgemein immer ein guter Weg ist, egal auf welchem Gebiet du etwas erreichen möchtest: Umgebe dich mit Menschen, oder orientiere dich an Menschen, die dein Ziel bereits erreicht haben. Von allen anderen wĂŒrde ich mir da recht wenig reinreden lassen. Deswegen habe ich auch Eric Amberg empfohlen, da er genau auf diesem Gebiet, das dich interessiert sehr viel Erfahrung hat. (Gibt auf Udemy auch viele Jungspunde, die eher der Kohle wegen Dozent geworden sind und nicht weil sie das gut können) Eine andere gute Anlaufstelle wĂ€re in diesem Zusammenhang auch der CCC aka Chaos Computer Club und deren Kongress. Die RatschlĂ€ge der Umgebung beherzige ich bzw. befolge ich natĂŒrlich auch schon. CCC ist ein absolutes Götter-Kollektiv fĂŒr mich geworden und auch die philosophischen, oder moralischen Aspekte des "Hacksports" fĂŒhren mich zu dieser Erstellung des Beitrages und zu meiner beruflichen Wunschwahl. vor 17 Stunden schrieb NicerDicer: Und ich wĂŒrde schonmal anfangen Bewerbungen zu schreiben, sodass du nach deiner Ausbildung zu einer Firma wechseln kannst, in der du mehr lernst als bisher. Die 5 Tage / 40 Stunden pro Woche machen schlieĂlich den GroĂteil deiner Zeit aus. Daher ist es Gold Wert, wenn du bereits ĂŒber die Arbeit viel Erfahrung mitnimmst - und nicht nur privat ĂŒber Udemy & co. (Und mit neue Firma / neue Stelle meine ich nicht unbedingt eine Stelle als Pentester, sondern erst mal in dem Bereich, den du aktuell ĂŒber die Ausbildung lernst, wenn du da eine bessere Firma erwischst, wĂ€re das doch auch super. Erst mal deine Netzwerk oder Programmierkenntnisse auszubauen ist wichtig.) Hierzu habe ich nur die Frage, ob es schon Sinn macht, mich innerhalb meiner Ausbildung schon fĂŒr eine Stelle nach Abschluss dieser (Ausbildung) zu bewerben. Also ich habe durch meine verkĂŒrzte Ausbildung ja mal gerade ein halbes Jahr Berufserfahrung und schlieĂe die Ausbildung erst 2023 ab. Sicher ist natĂŒrlich, dass ich nach der Ausbildung auf jeden Fall etwas praktischeres brauche (auch wenn ich schon von einer Stelle als Jr Pentester trĂ€ume ) und auch dem werde ich nach euren BeitrĂ€gen auf jeden Fall nachgehen! Ich freue mich wirklich ĂŒber eure Beteiligung und hoffe, dass noch mehr dazu kommt, weil ihr mir echt helft und mich durch die Hilfestellungen sehr moviert! Danke euch!
3. MĂ€rz 20223 j vor 18 Stunden schrieb KeeperOfCoffee: SĂ€mtliche Links ... Kurse, BĂŒcher und Website der gleichen Person...machst du hier Werbung? @KeeperOfCoffee Ăh stimmt, das war jetzt zufall, dass die alle vom gleichen sind :D.. Ne hab die Kurse einfach selbst schon gekauft und finde die einfach gut. FĂŒr meinen Geschmack bis jetzt der beste Dozent (in dem Bereich) den ich auf Udemy gefunden habe. Deswegen empfehle ich ihn. Kenne den Dozenten weder persönlich noch noch habe ich einen Vorteil davon Und hey, der Typ zieht gerade eine Hacking-Akademie auf fĂŒr alle die Hacker bzw. Pentester werden wollen. Und @xkoi will Pentester werden. WĂ€re doch uncool, diese Infos zurĂŒckzuhalten. Bin da auch erst vor kurzem drĂŒber gestolpert. Und wĂŒsste ich noch von einer anderen Hacking-Academy, hĂ€tte ich die auch aufgefĂŒhrt. Zitat Hierzu habe ich nur die Frage, ob es schon Sinn macht, mich innerhalb meiner Ausbildung schon fĂŒr eine Stelle nach Abschluss dieser (Ausbildung) zu bewerben. @xkoi Also ich meinte ja nur Bewerbungen schreiben, und nicht direkt bewerben. Denke wenn du danach gute Chancen bei anderen Firmen haben möchtest, sollte dein Fokus natĂŒrlich erst mal auf guten Noten liegen. Von daher: lass dich von den unzĂ€hligen Möglichkeiten, die wir / ich dir hier aufgezĂ€hlt haben nicht zu sehr ablenken. Die AbschlussprĂŒfung ist nicht ohne, und leider typisch Schule, also viel Bullshit (sorry) auswendig lernen, den du nie wieder brauchst. https://it-berufe-podcast.de/vorbereitung-auf-die-ihk-abschlusspruefung-der-it-berufe/moegliche-themen-der-schriftlichen-ihk-abschlusspruefung-in-den-it-berufen/ Aber ja die Message sollte hier einfach sein: Wenn deine Firma eher lahm ist und du kaum was lernst, trau dich zeitnah den Absprung zu machen und vergeude nicht zu viel Zeit in der du nicht weiterkommst. Wie und wann du das angehst, kann ich dir nicht sagen. Es ist immer noch dein Leben Zitat Wie auch @allesweg aufgreift, bin ich nicht wirklich der Meinung, dass man wie Hacker in irgendwelchen Filmen von Energydrinks angetrieben und ein, durch das Licht des Monitors genĂ€hrtes, Leben in der Nacht fĂŒhren muss. Nein, natĂŒrlich nicht. Und ich denke du hast schon selbst erkannt, das man das was ich da geschrieben habe - bzw. speziell meine Formulierung - auch nicht zu sehr auf die Goldwage legen sollte. Aber wenn du merkst du sitzt lange und immer lĂ€nger vorm Rechner, weil dich ein Thema, wie Linux o.Ă€. total packt und nicht mehr los lĂ€sst, ist das eben ein guter Indikator dafĂŒr, dass es das Richtige fĂŒr dich ist. NatĂŒrlich sind nicht alle Menschen gleich und es gibt sicher auch wenige, die es mit perfektem Tages / Nacht-Rhytmus schaffen, jeden Morgen um 6 aufzustehen, jeden Abend wieder um 10 im Bett zu liegen. Und dazwischen mit ebenso perfektem Zeit-Management, gesunder ErnĂ€hrung - ohne Energydrink - usw.. es schaffen sich all das Wissen anzueignen und am Besten noch neben der Arbeit. Und das ist mit Sicherheit der bessere Weg. Wobei ich dieses Bild nur als Beispiel meine. Es gibt immer viele Wege die nach Rom fĂŒhren. Mindestens genauso viele, wie es kreative Köpfe auf dieser Welt gibt. Ich wĂŒnsche dir bei deinem Weg, auf jeden Fall viel Erfolg! Bearbeitet 3. MĂ€rz 20223 j von NicerDicer
4. MĂ€rz 20223 j Am 1.3.2022 um 12:02 schrieb xkoi: Hallo zusammen! Da ich gerne Pentester werden wĂŒrde, bereite ich mich (neben den IHK PrĂŒfungsinhalten) mit kleinen CTFs auf eventuelle Zertifikate vor, bzw. sammle so meine ersten Erfahrungen. Junior Pentester ist so eine Sache - das gibt es zu recht kaum. Als Pentester willst du ja in Systeme eindringen. Deshalb sollte man vorher schon mal selber Systeme aufgebaut und/oder entwickelt haben. Die ganzen AnfĂ€nger kommen da immer mit Kali Linux an und halten sich fĂŒr Hackerman. Mit ein paar Tools auf Kali rumspielen kann jeder. Du solltest auf einem gewissen Level programmieren können. Exploits brauchen oft Automatisierung und du musst auch verstehen wie Applikationen intern ĂŒberhaupt funktionieren, sonst findest du nie eine LĂŒcke. Du solltest Erfahrung mit Linux haben. Ohne GUI nur auf der Konsole, wie sichert man Linux ab, etc. Kein Server im Internet benutzt Kali. Da setzt man auf CentOS, RHEL, Ubuntu, Debian, ....  Â
4. MĂ€rz 20223 j Autor Sehr cool! vielen Dank fĂŒr deinen Beitrag @Flammkuchen! vor 15 Minuten schrieb Flammkuchen: Junior Pentester ist so eine Sache - das gibt es zu recht kaum. Als Pentester willst du ja in Systeme eindringen. Deshalb sollte man vorher schon mal selber Systeme aufgebaut und/oder entwickelt haben. Ja, das Kali nutze ich vor allem fĂŒr meine CTFs bei TryHackMe. Ăber Gui arbeite ich garnicht, bzw. nur wenn ich komplett Lost bin  Was fĂŒr Systeme sollte ich den in meinen Testumgebungen aufbauen? Also kannst du mir da ein paar konkrete AnsĂ€tze geben? Ich bin mir sicher, dass es da so aller Hand gibt, aber vlt. hĂ€ttest du ja etwas konkretes fĂŒr mich, dass mir viele Möglichkeiten zu lernen gibt und AnfĂ€nger geeignet ist  Â
4. MĂ€rz 20223 j Autor vor 22 Stunden schrieb NicerDicer: Und hey, der Typ zieht gerade eine Hacking-Akademie auf fĂŒr alle die Hacker bzw. Pentester werden wollen. Und @xkoi will Pentester werden. WĂ€re doch uncool, diese Infos zurĂŒckzuhalten. Bin da auch erst vor kurzem drĂŒber gestolpert. Und wĂŒsste ich noch von einer anderen Hacking-Academy, hĂ€tte ich die auch aufgefĂŒhrt. Danke dir auf jeden Fall @NicerDicer! Ja, diese Pentester Academy habe ich schon gesehen, aber ich frage mich halt, in wie weit sowas hinter dann anerkannt sein wird, im Vergleich zu Certs von Offsec usw. Trotzdem auch mal cool deutschsprachigen Content zu haben und vorallem fand ich seinen Netzwerkkurs echt sehr nice. Mit den Bewerbungen werde ich auch auf jeden Fall zeitig anfangen Â
4. MĂ€rz 20223 j vor 6 Minuten schrieb xkoi: Was fĂŒr Systeme sollte ich den in meinen Testumgebungen aufbauen? Also kannst du mir da ein paar konkrete AnsĂ€tze geben? Naja ich meine damit, dass man erstmal in einem professionellen Umfeld, also einer Firma, als Entwickler oder z.B. Linuxadmin arbeitet und dort lernt wie echte Systeme aussehen. Dort lernt man dann das groĂe Ganze und versteht die ZusammenhĂ€nge, die man spĂ€ter als Pentester braucht. Verstehst wie eine grobe Software Architektur meist aussieht ? Frontend, Backend, Persistence-Layer (Datenbanken SQL/NoSQL, AWS S3, ...), etc. Wie kommunizieren Frontend und Backend sicher miteinander ? Verstehst du wie moderne Software im Internet oft lĂ€uft ? Stichwort: Container + K8s. Verstehst du die modernen Möglichkeiten der Cloud ? Auf AWS musst du nicht einmal mehr SSH auf einer VM öffnen, weil man sich auch per AWS Session Manager verbinden kann. Wie handelt man generell Secrets (z.B. Passwörter, Datenbank-Connetionstrings, Tokens, etc) fĂŒr ein Deployment ? Verstehst du grundlegende Netzwerk-Sicherheitsarchitekturen ? DMZ, VLANs, öffentliche/private Subnets in der Cloud, wie wird geroutet, NAT, ... Hast du genug Linux Kenntnisse ? Kali bringt dir nichts, wenn du nicht verstehst was an "chmod 777" falsch ist und du selber immer als root unterwegs bist. -> Man kann schon viel im Homelab lernen, aber auf einige Sachen stöĂt man oft nur im Beruf.Â
4. Oktober 20223 j Am 4.3.2022 um 14:46 schrieb Flammkuchen: Junior Pentester ist so eine Sache - das gibt es zu recht kaum. Als Pentester willst du ja in Systeme eindringen. Deshalb sollte man vorher schon mal selber Systeme aufgebaut und/oder entwickelt haben. Die ganzen AnfĂ€nger kommen da immer mit Kali Linux an und halten sich fĂŒr Hackerman. Mit ein paar Tools auf Kali rumspielen kann jeder. Du solltest auf einem gewissen Level programmieren können. Exploits brauchen oft Automatisierung und du musst auch verstehen wie Applikationen intern ĂŒberhaupt funktionieren, sonst findest du nie eine LĂŒcke. Du solltest Erfahrung mit Linux haben. Ohne GUI nur auf der Konsole, wie sichert man Linux ab, etc. Kein Server im Internet benutzt Kali. Da setzt man auf CentOS, RHEL, Ubuntu, Debian, ....   Ich wĂŒrde sogar die These aufstellen, dass es keine guten Junior Penetration Tester geben kann... und man nicht nach einer Ausbildung oder Studium direkt als Penetration Tester einsteigen sollte - wenn man nicht am Ende nur Nessus, Qualys oder Greenbone bedienen möchte.  Am 4.3.2022 um 15:35 schrieb Flammkuchen: Naja ich meine damit, dass man erstmal in einem professionellen Umfeld, also einer Firma, als Entwickler oder z.B. Linuxadmin arbeitet und dort lernt wie echte Systeme aussehen. Dort lernt man dann das groĂe Ganze und versteht die ZusammenhĂ€nge, die man spĂ€ter als Pentester braucht. Verstehst wie eine grobe Software Architektur meist aussieht ? Frontend, Backend, Persistence-Layer (Datenbanken SQL/NoSQL, AWS S3, ...), etc. Wie kommunizieren Frontend und Backend sicher miteinander ? Verstehst du wie moderne Software im Internet oft lĂ€uft ? Stichwort: Container + K8s. Verstehst du die modernen Möglichkeiten der Cloud ? Auf AWS musst du nicht einmal mehr SSH auf einer VM öffnen, weil man sich auch per AWS Session Manager verbinden kann. Wie handelt man generell Secrets (z.B. Passwörter, Datenbank-Connetionstrings, Tokens, etc) fĂŒr ein Deployment ? Verstehst du grundlegende Netzwerk-Sicherheitsarchitekturen ? DMZ, VLANs, öffentliche/private Subnets in der Cloud, wie wird geroutet, NAT, ... Hast du genug Linux Kenntnisse ? Kali bringt dir nichts, wenn du nicht verstehst was an "chmod 777" falsch ist und du selber immer als root unterwegs bist. Der Beitrag ist so absolut wahr, nur liest man das leider viel zu selten.
3. Juli 20232 j @kimura Und was hast du gemacht? Meine persönliche Empfehlung wĂ€re den Solutions Architect Associate Kurs von Adrian Cantrill zu machen. Der ist wirklich sehr gut. Da kriegt man ein sehr gutes GefĂŒhl und Wissen von Netzwerke, Protokolle, Cloud usw. Dann wĂŒrde ich den PEN-200(OSCP) Kurs machen. Der wurde wohl auch dieses Jahr 2023 aktualisiert. Da lernst du dann hands on hacking skills und das Zertifikat ist sehr wertvoll bezĂŒglich Jobs. Da Zeit kostbar ist und es darum geht so schnell wie möglich einen Job zu landen wĂŒrder nicht meine Zeit verschwenden mit Hack the box oder so, sondern direkt den OSCP machen. Den PEN-200 bzw. OSCP gibts evtl auch mit ildungsgutschein vom Arbeitsamt wenn man ALG bezieht und berufsbegleitend. Im KursNet vom Arbeitsamt ist ein Kurs dazu eingetragen (Stand 2023). Dann wird alles oder zumindest zum Teil ĂŒbernommen. Und dann wĂŒrde ich einfach so viele Bewerbungen wie möglich rausballern. Iwann sagt rein statistisch jemand zu. Viele BewerbungsgesprĂ€chen machen und diese als Ăbung sehen um sich zu verkaufen. Labern lernen (und auch fake it till you make it, unkompliziert sein, Verhandlungsskills lernen (Solltest du mehr als ein Job Angebot haben, kannst du vll hebeln und nachverhandeln und dein Gehalt steigern)). Wenn du dann 1 Jahr bei der Firma warst hast du es eh geschafft und kannst mit der Berufserfahrung problemlos auf andere Jobangebote wechseln. Alle zwei oder drei Jahre wechseln. Die GehaltssprĂŒnge beim Jobwechsel sind immer sehr groĂ. Meist besser als wenn man im selben Betrieb bleibt. Wobei, da kann man vll auch handeln. Und was ist mit Studium? Weiss nicht, glaube das ist ĂŒbertrieben und wahrscheinlich verschwendete Zeit und man lernt viel Mist den man eh nicht braucht. Ich denke mit dem oben genannten Vorgehen kriegt man ein einem halben Jahr einen Job. Lerne einfach schnell das was dir nĂŒtzlich erscheint und setze es direkt fĂŒr deinen Vorteil ein. (evtl. wenn man etwas Softwarearchitektur kennen lernen will, kann ich vll noch empfehlen vll einen kleinen Programmierkurs auf Udemy zu machen von zum Beispiel einer Webapplikation. Wo man dann mal sieht wie etwas in Frontend, Backend aufgeteilt wird. z.b. Angular (Frontend), Java (Backend) oder Express (Backend). Wobei ich nicht sicher bin ob das ĂŒbertrieben ist. vll tun es auch ein paar Video auf darĂŒber was Fullstack in Software ist.) Bearbeitet 3. Juli 20232 j von ringo230
Erstelle ein Konto oder melde dich an, um einen Kommentar zu schreiben.