Wie mit Pentesting starten?
hallo,
wie der Titel schon verrät würde ich gerne wissen wie man in das Thema Pentesting einsteigt. Da ich Krankheitsbedingt im Sommer Probleme habe hätte ich gern einen Job auch von Zu Hause aus, das Thema beschäftigt mich schon sehr lange, ich habe bei Hackthebox diese Tutorials gemacht, durch die Fragen welche man beantworten muss kommt man ja auf die Sprünge und Funktionen welche man dort quasi ausprobieren soll, ebenfalls habe ich bei Udemy einen Python Kurs, HTML Kurs, einen JavaScript und einen Kurs zum Hacken von Webanwendungen dort gekauft ( von TheMorpheus dem Youtuber)
ich habe alle Kurse mal angefangen jedoch denke ich selbst auch nicht das man alles 100% beherrschen muss, bzw. würde ich gern wissen was man denn wirklich braucht, ebenfalls habe ich erste Erfahrung mit Kali.
bei den meisten Tutorials steht ja das man keine Vorkenntnisse braucht es aber von Vorteil wäre Html und JavaScript zu lesen, bei dem Kurs von dem Hacken der Webanwendungen geht es zum Beispiel im XSS Angriffe und wie man diese quasi ausfiltern bzw. Umgehen kann, tatsächlich verstehe ich dort meist nur Bahnhof, liegt es daran das ich php und JavaScript noch nicht verstehe oder bin ich einfach nicht schlau genug? Kann ja natürlich auch sein das diese Sachen einfach zu hoch für mich sind oder ich nicht automatisch um genug Ecken denke das diese Sachen was für mich sind.
ich würde quasi gern Fehler in Websiten suchen, falls jemand dort Tipps hat wie ich anfangen kann und was ich dafür lernen soll bitte her damit! :)
ich bin nicht interessiert an quasi „einfach Trojaner per Mail an 10.000 Leute zu senden und Leute zu hacken, das wäre natürlich der einfachste weg, ich interessiere mich tatsächlich einfach wie man mit der Website vor dem Kopf Sachen findet oder sogar von dort in den Server kommt oder Ähnliches.
ich habe nach 22 Stunden html Kurs erstmal aufgehört was etwa 50% sind weil ich auch wenn ich eventuell jetzt Webseiten schreiben kann, und eventuell Fehler im Code sehen könnte nicht weiß wie ich sowas ausnutzen könnte oder dadurch in die Website oder das System kommt, so geht es mir bei den anderen Sachen natürlich auch.
über antworten von Personen die tatsächlich Ahnung zu diesem Thema haben freue ich mich sehr! Bitte keine Personen die quasi auf dem selben Wissensstand wie ich sind und grad dabei sind zu lernen, ich beschäftige mich damit schon Jahre mal mehr, mal weniger und möchte endlich mal konkrete Antworten! :D
Danke im Voraus
1 Antwort
wie der Titel schon verrät würde ich gerne wissen wie man in das Thema Pentesting einsteigt
Da gibt es 2 Möglichkeiten - Studium oder Zertifikate:
- Mile2 PEH (https://www.mile2.com/professional-ethical-hacker/)
- Offensive Sec. OSCP (https://www.offensive-security.com/pwk-oscp/)
- CompTIA Pentest+ (https://www.comptia.org/de/zertifizierungen/pentest)
- etc.
OSCP ist die teuerste aber auch der de-facto Branchenstandard. Du kannst aber auch mit den anderen zwei einen Einstieg in die Branche finden.
Erste Erfahrungen sammeln und dein erstes Geld verdienen kannst du bei Bug-Bounty Programmen.
ich habe alle Kurse mal angefangen jedoch denke ich selbst auch nicht das man alles 100% beherrschen muss, bzw. würde ich gern wissen was man denn wirklich braucht, ebenfalls habe ich erste Erfahrung mit Kali.
Ja natürlich brauchst du das!
Du willst Programmierfehler und Konfigurationsfehler der anderen finden also solltest du als Programmierer und auch als Administrator schon einiges drauf haben.
Du musst dir auch die unterschiedlichsten Arten vorstellen können wie etwas konfiguriert oder programmiert wurde und dann die möglichen Fehler. Diese Liste arbeitest du dann mit Tests ab.
bei den meisten Tutorials steht ja das man keine Vorkenntnisse braucht es aber von Vorteil wäre Html und JavaScript zu lesen
Das ist Quatsch! So ein Scriptkiddy-Niveau kannst du bei einem Job als Pentester nicht haben.
Du musst dich nicht nur mit Webanwendungen sondern auch mit Server-Anwendungen, Netzwerk-Protokollen, Buffer-Overflows, etc. auskennen und diese ausnutzen können!
Daher solltest du mind. 1-2 höhere Programmiersprachen gut beherrschen und die Grundlagen der Assembler-Programmierung drauf haben.
Außerdem solltest du dich mit Netzwerken, Administration, Härtung der Betriebssysteme und einigem anderen auskennen.
ich würde quasi gern Fehler in Websiten suchen, falls jemand dort Tipps hat wie ich anfangen kann und was ich dafür lernen soll bitte her damit! :)
Web-App Pentesting ist ein Teilbereich auf den man sich spezialisieren kann aber was ist wenn du dann eine Webshell auf einen Server bekommst - dann solltest du auch in der Lage sein Angriffe auf den Server selber zu testen!
ich habe nach 22 Stunden html Kurs erstmal aufgehört was etwa 50% sind weil ich auch wenn ich eventuell jetzt Webseiten schreiben kann
Nein kannst du nicht. Selbst wenn du HTML schon kannst fehlen dir noch:
- CSS
- XML
- JSON
- PHP
- SQL
- JavaScript + die gängigen JS Frameworks
Außerdem wäre Python auch noch eine sehr gute Ergänzung dazu.
Mein Vorschlag an dichDie von mir genannten Zertifizierungen vom Mile2 und CompTIA sind Einsteiger-Niveau und daher würde ich dir vorschlagen du holst dir die Video-Subscription von Mile2 und schaust dir die Videos einmal an.
Dann siehst du schnell was dir noch fehlt. Fehlendes Wissen kannst du dann mit Büchern und anderen Kursen nachholen.
Pentesting und IT-Sicherheit ist durchaus sehr komplex und mit einfachen Scriptkiddy-Tricks kannst du eventuell mit Hilfe von Spam-Emails ein paar unbedarftere Leute als dich übertölpeln und im Schadware infizieren aber niemals im Leben einen Pentest durchführen.
Bei einem Pentest trittst du gegen ganze Abteilungen von Leuten an, die alle deutlich mehr über IT wissen als du bisher. Das ist quasi ohne das nötige Wissen aussichtslos. Daher musst du als Pentester viel lernen.
Ich selber bin jedes Jahr ca. 3 Monate nur mit Fortbildung beschäftigt.
vielen dank für die ausführliche Antwort nochmal hier, ich schaue mir das alles mal in Ruhe an :)