Undercover Geschrieben 5. Juli 2019 Teilen Geschrieben 5. Juli 2019 Hi, vor kurzem habe ich meine Ausbildung zur Fachinformatikerin Anwendungsentwicklung abgeschlossen. Im Zuge meines Abschlussprojekts habe ich mich unter anderem mit SQL-Injections beschäftigt und das war für mich so ein kleines Schlüsselerlebnis. Das Thema Penetrationtests reizt mich sehr und ich würde mich gerne in diese Richtung weiterentwickeln. Allerdings sind trotz Recherche noch einige Fragen offen: Kann man als Fachinformatiker überhaupt Penetrationtester werden oder hat man nur mit abgeschlossenem Studium eine Chance? Kann man sich auf den Bereich Web spezialisieren? Gibt es Bücher für einen Einstieg in das Thema? Welche Zertifikate wären sinnvoll? Ich bin momentan als Softwareentwickler angestellt. Unterstützen Firmen die Weiterentwicklung in anderen Bereichen? Ich würde mich über Antworten und Erfahrungen von euch freuen Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
charmanta Geschrieben 5. Juli 2019 Teilen Geschrieben 5. Juli 2019 ein PenTester ist kein Ausbildungsberuf ... der definiert sich über ERFAHRUNG und Forbildungen. Als frische FiAe solltest Du erstmal Berufserfahrung sammeln, z.b. über Administration und Betrieb der Plattformen, die Du später sichern willst. Ansonsten kann man das meines Wissens im Süden irgendwo studieren ... So aus dem Bauch heraus sollte man mindestens 10 Jahre Praxis haben um sich dann als PT verdingen zu können. Kannst ja mal Bewerbungen an Firmen schicken, die sowas hauptsächlich machen und da anfragen. Aber wie gesagt, dazu gehört Erfahrung. Der Abschluss selbst spielt nach meiner Erfahrung da keine Rolle ... Du verkaufst Dich über Deine Erfahrung, nicht über den Gesellebrief. EDIT Gefunden: https://www.uni-saarland.de/studium/vor/studienangebot/grundstaendig/c/cybersicherheit.html https://blog.to.com/penetrationstester/ Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
KeeperOfCoffee Geschrieben 5. Juli 2019 Teilen Geschrieben 5. Juli 2019 Pentesting ist wesentlich mehr als "SQL Injections".... Hier kannst ja mal etwas herumspielen: www.cybrary.it/ 0x0A, vMensch und R4zzoz reagierten darauf 2 1 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Flammkuchen Geschrieben 5. Juli 2019 Teilen Geschrieben 5. Juli 2019 Pentesting ist nichts für Berufseinsteiger. Du musst erstmal Programme/Schnittstellen/Betriebssysteme selbst erstellt oder administriert haben, um eine Ahnung zu haben was man überhaupt prüfen kann. Das dauert aber ein paar Jahre Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Wissenshungriger Geschrieben 5. Juli 2019 Teilen Geschrieben 5. Juli 2019 Hey, mein Lieblingsthema ? Gerade im Bereich Penetrationtesting ist kein Studium erforderlich. Firmen sehen zwar gerne ein Studium, allerdings zählt hier mehr das Können. Ich spezialisiere mich auf den Bereich Web und Infrastruktur. Mit dem Web holst du dir eine Shell mit low Privilege und wenn du dann auf dem Server bist dann sind Skills im Bereich Privilege Escalation gefragt. Hierzu zählt vor allem das Wissen über Betriebssysteme und deren Konfiguration. Es gibt viele Firmen, die suchen auch im Bereich Embedded. Aber das ist nicht so mein Bereich ? Für den Einstieg empfehle ich dir statt Bücher Udemy.com und entsprechende YouTube Tutorials. Ansonsten sind noch die OWASP Top 10 wichtig - gerade im Bereich Web. Um dann die Skills zu testen und zu trainieren bin ich auf drei Webseiten unterwegs: Root-me.org - Dort mache ich vor allem den Bereich Web, der dort sehr ausgeprägt ist Vulnhub.com - Dort kannst du dir VMs mit Schwachstellen runterladen und diese dann hacken. Gerade für den Einstieg ist das sehr gut. hackthebox.eu - Dort verbindest du dich über VPN auf deren Maschinen und hackst diese. Vom Schwierigkeitsgrad her sind diese schon sehr anspruchsvoll und auch schwerer als die Maschinen von vulnhub. Wenn du erstmal was im Bereich Web machen willst, dann hole dir die DVWA. Die kannst du dir installieren und die OWASP Top 10 durchmachen. Wenn du studieren willst, dann gehe an die Ruhr-Universität Bochum. Die sind immer bei Wettbewerben ganz vorne mit dabei. Bei den Zertifikaten ist das eindeutig: OSCP ist das Maß der Dinge. Der CEH wird in der Branche sehr belächelt. Der OSCP ist sehr anspruchsvoll. Hast du allerdings diesen, so sollte eine Einladung kein Problem mehr sein und er dient dir als guten Einstieg für eine berufliche Karriere im Bereich Penetrationtesting. Weiterbildungen werden von Firmen unterstützt, soweit diese für die Firma sinnvoll sind. Keine Firma wird dir wahrscheinlich den OSCP zahlen, wenn diese kein SOC oder auch kein Red Team haben. Ansonsten lasse dich nicht unterkriegen! Wenn du dein Ziel verfolgst - hierzu gehört viel Eigeninitiative und Durchhaltevermögen - wird es mit dem Berufseinstieg auf jeden Fall klappen! Wichtig ist vor allem auch, dass du dir entsprechendes Linux Wissen anschaffst. Gerade die Befehle. Die Shell sicher zu beherrschen ist unabdingbar. Ich arbeite mit Kali Linux und dort nutze ich vor allem diese Programme (Aufzählung unvollständig): - nmap - dirb - sqlmap - metasploit - burp - Die Webseite exploit-db.com - und noch das ein oder andere Programm zur Privilege Escalation Wenn du noch weitere Fragen hast, dann melde dich gerne Undercover, awesomenik, 0x0A und 4 Weitere reagierten darauf 5 2 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Undercover Geschrieben 5. Juli 2019 Autor Teilen Geschrieben 5. Juli 2019 @charmanta Ich habe mich mal durch ein paar Stellenanzeigen für Junior-Penetrationtester geklickt, um herauszufinden, welche Anforderungen es gibt. Und da wird in der Regel Erfahrung mit bestimmten Tools etc vorausgesetzt. Ich weiß, dass es noch ein weiter Weg bis dahin ist, aber irgendwo muss man ja mal anfangen^^ deswegen möchte ich mich in der Freizeit mit dem Thema nach und nach vertraut machen. @KeeperOfCoffee Dass dazu mehr gehört, ist mir bewusst. Aber SQL-Injections waren für mich der erste Berührungspunkt, der mein Interesse geweckt hat. Deswegen möchte ich jetzt mehr lernen. Der Link klingt auf jeden Fall interessant, werde ich mir mal genauer anschauen. @Flammkuchen Wie ich oben schon geschrieben habe, weiß ich dass das nicht von heute auf morgen geht. Aber ich denke, wenn man ein klares Ziel vor Augen hat, macht es Sinn, gezielt darauf hinzuarbeiten. @Wissenshungriger Vielen Dank für deine sehr ausführliche Antwort, die hilft mir wirklich weiter. Es ist auch sehr beruhigend zu hören, dass ich dafür nicht zwingend noch studieren muss und auch als Berufseinsteiger schon in die Richtung gehen kann. Udemy.com werd ich mir auf jeden Fall ansehen. Über Videos fällt mir das Lernen sowieso leichter als mit Büchern. Danke auch für die anderen Links, da werde ich mich Stück für Stück durcharbeiten. Bei den Zertifikaten habe ich viele verschiedene Meinungen gelesen, das war etwas verwirrend^^ in meiner Firma sind ein paar "Certified Security Hacker", da ist die Prüfung glaub ich ähnlich wie beim OSCP über 24 Stunden. Ob das für mich in Frage käme, müsste ich noch abklären. Ich fang nämlich erst im September dort an und will auch nicht gleich mit der Tür ins Haus fallen. Ansonsten hoffe ich, dass ich die Begabtenförderung von der IHK bekomme und darüber ein Zertifikat finanzieren kann. Mit Linux hab ich vor allem am Anfang meiner Ausbildung viel gearbeitet, aber da gibt es eindeutig noch Verbesserungsbedarf. Ich werde die freie Zeit bis zum Arbeitsbeginn nutzen, um mich etwas einzuarbeiten. Es wird bestimmt nicht leicht, aber ich bin sehr ehrgeizig (meine Eltern nennen es zwanghaft ) und wenn ich ein Ziel habe, dann gebe ich mein Bestes um es zu erreichen. Ich freue mich, dass ich mich bei weiteren Fragen melden darf, darauf werde ich bestimmt zurückkommen awesomenik reagierte darauf 1 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.