kimura Geschrieben 1. März 2022 Geschrieben 1. März 2022 (bearbeitet) Hallo zusammen! Vorweg kurz etwas zu meiner Person: Ich bin 27 und als Quereinsteiger in einer verkürzten Ausbildung zum Fachinformatiker für Systemintegration, ohne jegliche bisherige IT-Berufserfahrung und interessiere mich seit Beginn stark für das Thema Pentesting. In meinem Ausbildungsbetrieb bin ich nun seit 07.2021 und es ist absolut tote Hose - also nichts zu tuen, was natürlich nachteilig ist für meine praktische Berufserfahrungen ist, jedoch wiederum positiv, um mich mit Dingen zu beschäftigen, die ich lernen möchte. Unsere eigentliche Firmen-Kerntätigkeit liegt im bauen von Netzwerkstrukturen für mittelständige Unternehmen sodass ich, wenn mal etwas anfällt, kleine Einblicke in Netzwerkstrukturen und Supporttätigkeiten bekomme. Aufgrund mangelnder Kunden gehe ich stark davon aus, dass nach der Ausbildung nicht wirklich Übernahmechancen für mich bestehen und so möchte ich mich um so besser für potenzielle Stellenbewerbungen vorbereiten und meine Voraussetzungen schon innerhalb meiner Ausbildung beeinflussen. Da ich gerne Pentester werden würde, bereite ich mich (neben den IHK Prüfungsinhalten) mit kleinen CTFs auf eventuelle Zertifikate vor, bzw. sammle so meine ersten Erfahrungen. Nun ist meine 1. Frage: was für einen weiteren Lebenslauf sollte ich anstreben? Mein grober Plan ist es, die bevorstehende Zwischenprüfung (03.2022) gut zu absolvieren und anschließend bis Ende des Jahres ein Zertifikat für meine Bewerbungen als Junior Pentester zu absolvieren. Ende des Jahres, also nach abgeschlossenem Zertifikat, werde ich dann wieder meine Prüfungsvorbereitungen für die Abschlussprüfung 2023 aufnehmen und intensivieren. Meine 2. Frage bezieht sich auf das angestrebte Zertifikat: welches Cert wäre hier ein guter, realistischer Einstieg, mit hohen Erfolgschancen für eine Einladung zu einem Bewerbungsgespräch?Mir wurde mal das TCM-Zertifikat empfohlen, aber wenn ich mich einlese gibt es da ja noch viel mehr, sodass mir eine Wahl echt schwer fällt. Die 3. Frage richtet sich vor allem an HR-Manager und andere Erfahrene in der Branche: welche Ratschläge und Erfahrungen habt ihr noch für mich, um aus meinen geringen Voraussetzungen das beste zu machen? Vielen Dank und ich freue mich auf euer Feedback! Bearbeitet 1. März 2022 von xkoi RealPride reagierte darauf 1 Zitieren
charmanta Geschrieben 1. März 2022 Geschrieben 1. März 2022 Hmmmm .... als Pentester musst Du reichlich Erfahrung mit den Systemen haben. Mir sind da außer einem Studium keine Zertifikate bekannt, alle mir bekannten PTs sind erfahrene Profis. Ich empfehle auf jeden Fall als Grundlagen auch schon während der Ausbildung die Vorgaben der DSGVO und noch mehr des BSI Grundschutz Kompendiums und deren Erweiterungen. Weiterhin gibts ne Reihe guter Bücher zum Thema Social Engineering ... auch das gehört mit dazu. Einige Öffis setzen automatisierte PenTests für den Applikationsbereich ein, sprich automatisierte Test- und Analysesoftware gegen selbst erzeugten Code. Für die Analyse von Internetauftritten nutzen wir professionell ein Tool, was gegen bekannte Schwachstellen testen und diese dokumentiert. Interessant dürfte für Dich weiterhin der Einsatz von SCAP Tools sein, ggfs auch kostenpflichtiger vergleichbarer Software ( Flexera Csia zb ). Was willst Du denn genau testen ? Prozesse ? Software ? Maschinen ? Menschen ? ( < die hackst Du immer mit hinreichend Aufwand ) kimura reagierte darauf 1 Zitieren
alex123321 Geschrieben 1. März 2022 Geschrieben 1. März 2022 Hi, Pentesting hat mit Social Engineering meist nichts zu tun. Da wärst du eher beim Red Team. DSGVO seh ich da auch nicht direkt. Bau starke Netzwerkgrundlagen auf und sammel so viel praktische Erfahrung wie möglich. Idealerweise findest du in der Realität erste Sicherheitslücken über die du berichten kannst, aber beachte mögliche Gesetze. Wenns unbedingt ein Zertifikat sein muss, würde ich als Junior den eJPT machen. Wenn du fortgeschritten bist, den OSCP wobei hier erhebliche Kosten entstehen. kimura reagierte darauf 1 Zitieren
charmanta Geschrieben 1. März 2022 Geschrieben 1. März 2022 vor 1 Minute schrieb alex123321: DSGVO seh ich da auch nicht direkt. Naja ... die regelt halt die Rechtsgrundlagen Ohne Freifahrtschein sollte man nicht arbeiten. Und beim PenTests gehts darum deren Grundlagen zu erfüllen kimura reagierte darauf 1 Zitieren
alex123321 Geschrieben 1. März 2022 Geschrieben 1. März 2022 Klar, die Grundzüge der DSGVO verstehen und einen Verstoß verstehen gehört mit zum Pentesting. Und den IT-Grundschutz zu verstehen schadet auch nicht. Aber das wären aus meiner Sicht nicht die Fokusthemen. Die Schwierigkeit wird darin liegen einen Arbeitgeber zu überzeugen, dass man der beste Kandidat ist. Und das würde man damit nicht. Ich bleibe bei meinen Aussagen. Starke Netzwerkkenntnisse, Starkes Verständnis für Webapplikationen, Programmierkenntnisse, Windows und Linux Kenntnisse. Dazu ein gutes Verständnis für die Vorgehensweise bei einem Pentest, eine strukturierte Denkweise, starke Dokumentationsfähigkeiten, Kenntnisse über verschiedenste Arten von Schwachstellen. Weiterhin Kenntnisse zu unterschiedlichen Frameworks, Informationsquellen und Tools, wie Mitre Attack, OWASP, ExploitDB, Killchain Metasploit, Burp Suite, verschiedenste Vulnerability Scanner, etc, etc. Erste Zertifikate in dem Bereich. Ideal wäre aus meiner Sicht wirklich der OSCP, aber das ist eher nichts für Anfänger. Best Case: Ein Blog mit veröffentlichten Untersuchungen und Schwachstellen Und einen Plan im Hinterkopf behalten was passiert, wenn es nichts werden sollte. Ich habe das Gefühl dass gerade der Bereich Pentest ziemlich viele Junior Bewerber hat aktuell und es nicht gegeben ist, dass man genommen wird. Man muss herausstechen. Und das Gehalt ist vergleichsweise eher gering. vMensch, Tiwil und kimura reagierten darauf 1 2 Zitieren
Infinity246 Geschrieben 1. März 2022 Geschrieben 1. März 2022 Ich kann den anderen Hier nur zustimmen, würde aber auch meine meinung dazu mal äußern: Pentesting ist ein äußerst schwieriger Bereich. Man sollte schon einiges an Erfahrung richtung Netzwerke,Protokolle, Programmierkenntnisse (meiner Meinung nach) vorweisen können. Da du ja noch in deiner Ausbildung bist, und nehme mir das bitte nicht übel, glaube ich kaum, dass du direkt danach in diesem Bereich einsteigen kannst. Selbst als Junior Pentester sollte man schon einiges auf dem Kasten haben und Erfahrung in den oben bereits erwähnten Bereichen besitzen. Und wenn dein Betrieb wie ich das jetzt wahrnehme nicht wirklich gut ausbildet wird es gerade schwer fuß in diesem Bereich zu fassen. Du musst somit dir sehr vieles in deiner Freizeit beibringen. Wie sieht es denn da bei dir aus? bildest du dich richtung Netzwerke etc. auch privat weiter oder nutzt du dafür deine freie Zeit in der Firma? Direkt (wenn auch kleine) CTFs zu machen finde ich schon seltsam/würde ich nicht tun, da dir sehr wahrscheinlich viel zu viele basics fehlen. Ich finde ja TryHackMe gut, da werden dir die Basics beigebracht und dort kannst du in viele Bereiche reinschnuppern, besonders Pentesting. Wenn du dich dort gut schlägst kannst du HackTheBox probieren, dort werden auch immer CTFs angeboten und auch extra "Spielräume" wo du dann pentesting betreiben kannst (von einfach bis Schwer). Würde dir dennoch für den Anfang zu TryHackMe raten. Das ist aber auch alles nur meine Meinung. Wichtig ist, dass du einen Faden hast an den du dich abarbeiten kannst. VG Tiwil und kimura reagierten darauf 1 1 Zitieren
kimura Geschrieben 1. März 2022 Autor Geschrieben 1. März 2022 Danke euch vielmals für eure Antworten! @Infinity246 vor 3 Stunden schrieb Infinity246: Wie sieht es denn da bei dir aus? bildest du dich richtung Netzwerke etc. auch privat weiter oder nutzt du dafür deine freie Zeit in der Firma? Erstmal danke für dein ehrliches Feedback und den Umfangreichen Beitrag! Genau, in meiner Freizeit und auch in meiner freien Arbeitszeit mache ich Uedemykurse (CompTIA Netzwerk, aber ohne Zertifikat), erstelle/lerne Lernkarten zu allen relevanten Protokollen, sowie HackingTools, welche ich bei TryHackMe kennenlerne und nehme Java Nachhilfe (bin aber leider noch ein seeeeehr schlechter Programmierer und frage mich, in weit ich programmieren lernen muss ). Ausserdem nutze ich klassisch den Cisco Packet Tracer um mir Netzwerke auf zu bauen, sie zu konfigurieren und irgendwie praktische Erfahrungen zu sammeln. Meine Perspektive ist leider nicht die beste, so wie du es beschreibst bzw wertest und so wie ich es aktuell auch sehe.. Ich wüsste halt nicht, was ich sonst noch tuen könnte. Den "normalen" Support finde ich relativ uninteressant, würde aber natürlich auch hier erstmal einsteigen, wenn sich nach der Ausbildung (wovon ich nun ausgehe) keine jr. Pentester Stelle erreichen lässt. Gäbe es denn noch andere Möglichkeiten? Ich hatte überlegt ein Zertifikat zu machen, CTFs zu absolvieren, diese zu dokumentieren und eventuell selber kleine Netzwerkstrukturen oder Serverumgebungen basteln, sodass ich diese dann angreifen kann. Dann kann ich zwar keine realen PenTests vorweisen, aber dafür einen Haufen Dokumentation, welcher mir zumindest das Aufbauen von Strukturen, die Vorgehensweisen und natürlich auch das (geringe,theoretische) PenTesting Skillset belegt. Ich hoffe ich habe mich hiermit nicht zu weit aus dem Fenster gelehnt, aber ich bin bereit alles an freier Zeit auf der Arbeit und auch außerhalb der Arbeit zu investieren, da ich einen riesigen Spaß und eine riesige Begeisterung für das ganze mitbringe. Das mein Betrieb zu wenig zu tuen hat ist zwar für meine praktischen Berufsererfahrungen (gerade als Quereinsteiger) nachteilig, aber ich möchte hier einfach das positivste draus ziehen, was konkret Lernzeit und den Zugang zu einigen Systemen meint. Vielen Dank nochmal für die Beteiligung und über weitere Antworten erfreue ich mich sehr! Zitieren
NicerDicer Geschrieben 2. März 2022 Geschrieben 2. März 2022 Hi, bin mir nicht ganz sicher, ob du wirklich "nur" Pentester, oder allgemein ein guter Hacker werden möchtest. Zu letzterem, kann ich so viel sagen: Hacken ist erst mal viel mehr eine Lebenseinstellung / Philosophie, als ein reiner Skill. Hacker haben von Natur aus eine unglaubliche Neugierde, die es Ihnen ermöglicht mit der damit verbundenen unerschöpflichen Motivation, Systemen (egal ob Hard- oder Software) auf den Grund zu gehen und damit z.B. Schwachstellen zu finden. Diese Neugierde führt natürlich dazu, dass man gar nicht anders kann, als Nächte vor dem Rechner zu verbringen und irgendwelche Linux/Unix-Systeme einzurichten und zu versuchen alles Mögliche aus diesen Systemen herauszukitzeln. Damit entwickelt man natürlich auch gewisse Fähigkeiten. (Tip: fang mal an ein Arch Linux / FreeBSD System von Anfang bis "Ende" einzurichten. Wenn dir das keinen Spaß macht und du nicht dran sitzt bis es längst wieder hell geworden ist :D, bist du vermutlich mit einem anderen Beruf besser dran). Denn ich denke, auch wenn du gezielt ein Pentester werden möchtest, ist das doch sehr verwandt mit der Tätigkeit eines Hackers. Letztendlich kann man natürlich sagen: Je mehr Wissen und Fähigkeiten du dir aus dem Bereich der Informatik aneignest, desto besser bist du als Hacker / Pentester. Ja auch Programmieren zu können, sollte dir nicht als lästig erscheinen. Malware oder allg. Skripte für beliebige Zwecke usw.. müssen auch geschrieben werden. Gutes Grundlagen-Wissen in Sachen Netzwerk, Linux & IT-Sicherheit, muss ich wohl nicht erst erwähnen. Also ist es vermutlich ein guter Weg, erst ein mal mit den Grundlagen in Sachen Linux / und Netzwerke zu beginnen, bevor du versuchst irgendwelche Hacking-Tools in der Konsole zu bedienen ohne diese zu verstehen. Zertifikat für Linux: https://www.lpi.org/de/our-certifications/lpic-1-overview https://www.udemy.com/course/lpic-1-linux-bootcamp-in-30-tagen-zum-linux-admin/ Zertifikat(e) für Netzwerke: https://www.cisco.com/c/en/us/training-events/training-certifications/certifications/associate/ccna.html https://www.udemy.com/course/ccna-powertraining-cisco-examen-200-301/ https://www.udemy.com/course/computer-netzwerke-network/ Ethical Hacking / IT-Sicherheit / Pentesting: https://www.udemy.com/course/ethical-hacking-der-komplettkurs/ https://hacking-akademie.de/ https://www.hugendubel.de/de/buch_gebunden/eric_amberg_daniel_schmid-hacking-41810049-produkt-details.html Den ganz unten erwähnten Kurs "Ethical Hacking - der Komplettkurs" von Eric Amberg (sowie alle Kurse von diesem Dozenten) kann ich wirklich empfehlen. Er geht zu Anfang auch nochmal auf den Unterschied, zwischen Pentesting, Hacking usw.. ein, und erzählt welche Zertifikate man so machen kann. Da es auf Udemy regelmäßig Angebote gibt, und die Kurse dann nur 15 - 20€ Kosten, würde ich darauf auf jeden Fall zurückgreifen. Wir leben doch echt in super Zeiten, mit all diesen Möglichkeiten online / von zuhause lernen zu können! Da gibt's keine Ausreden mehr Und was allgemein immer ein guter Weg ist, egal auf welchem Gebiet du etwas erreichen möchtest: Umgebe dich mit Menschen, oder orientiere dich an Menschen, die dein Ziel bereits erreicht haben. Von allen anderen würde ich mir da recht wenig reinreden lassen. Deswegen habe ich auch Eric Amberg empfohlen, da er genau auf diesem Gebiet, das dich interessiert sehr viel Erfahrung hat. (Gibt auf Udemy auch viele Jungspunde, die eher der Kohle wegen Dozent geworden sind und nicht weil sie das gut können) Eine andere gute Anlaufstelle wäre in diesem Zusammenhang auch der CCC aka Chaos Computer Club und deren Kongress. Und ich würde schonmal anfangen Bewerbungen zu schreiben, sodass du nach deiner Ausbildung zu einer Firma wechseln kannst, in der du mehr lernst als bisher. Die 5 Tage / 40 Stunden pro Woche machen schließlich den Großteil deiner Zeit aus. Daher ist es Gold Wert, wenn du bereits über die Arbeit viel Erfahrung mitnimmst - und nicht nur privat über Udemy & co. (Und mit neue Firma / neue Stelle meine ich nicht unbedingt eine Stelle als Pentester, sondern erst mal in dem Bereich, den du aktuell über die Ausbildung lernst, wenn du da eine bessere Firma erwischst, wäre das doch auch super. Erst mal deine Netzwerk oder Programmierkenntnisse auszubauen ist wichtig.) Eine letzte Option, wäre durchaus auch ein Studium der Informatik, z.B. an einer Uni wie der TU Darmstadt. Deren Fakultät für IT-Sicherheit und auch Robotik genießt weltweit sehr hohes Ansehen. (aus Wikipedia: "Die Technische Universität Darmstadt ist Partner des Nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE, der größten Forschungseinrichtung für IT-Sicherheit in Europa."). Und in Darmstadt gibt es auch einen Sitz des CCC. Also der Top-Standort für alle die Hacker werden wollen! Wenn du das durchziehst, hast du es echt drauf! Dafür musst du es aber auch echt drauf haben, bzw. dich gut durchbeißen können. Könntest dich aber auch in Teilzeit neben dem Job erst mal nur auf die Module (Fächer) fokusieren, die du brauchst um ein guter Hacker zu werden, also Mathematik, Kryptografie, IT-Sicherheit usw.. und nicht zwingend den Bachelor machen. Einen Abschluss hast du ja bereits durch die Ausbildung und die richtige Berufserfahrung ist Gold wert. (-> Aber dafür erst mal die Firma wechseln) Viel Erfolg dabei & LG, NicerDicer Infinity246, 0x00 und kimura reagierten darauf 2 1 Zitieren
KeeperOfCoffee Geschrieben 2. März 2022 Geschrieben 2. März 2022 vor 6 Stunden schrieb NicerDicer: Ethical Hacking / IT-Sicherheit / Pentesting: https://www.udemy.com/course/ethical-hacking-der-komplettkurs/ https://hacking-akademie.de/ https://www.hugendubel.de/de/buch_gebunden/eric_amberg_daniel_schmid-hacking-41810049-produkt-details.html Sämtliche Links ... Kurse, Bücher und Website der gleichen Person...machst du hier Werbung? Bitschnipser, Tiwil, Brapchu und 3 Weitere reagierten darauf 6 Zitieren
allesweg Geschrieben 3. März 2022 Geschrieben 3. März 2022 (bearbeitet) Folgendes ist mir nach @NicerDicers Posting klar geworden: echte Hacker verwenden FreeBSD, maximal Linux - niemals Windows oder Apple! echte Hacker hacken nur nachts! echte Hacker leben nur für die IT! Bearbeitet 3. März 2022 von allesweg 0x00, Bitschnipser und kimura reagierten darauf 1 1 1 Zitieren
kimura Geschrieben 3. März 2022 Autor Geschrieben 3. März 2022 @NicerDicer Vielen Dank erstmal, dass du dir die Zeit für diese ausführliche und informative Antwort genommen hast! vor 17 Stunden schrieb NicerDicer: Zertifikat für Linux: https://www.lpi.org/de/our-certifications/lpic-1-overview https://www.udemy.com/course/lpic-1-linux-bootcamp-in-30-tagen-zum-linux-admin/ Zertifikat(e) für Netzwerke: https://www.cisco.com/c/en/us/training-events/training-certifications/certifications/associate/ccna.html https://www.udemy.com/course/ccna-powertraining-cisco-examen-200-301/ https://www.udemy.com/course/computer-netzwerke-network/ Ethical Hacking / IT-Sicherheit / Pentesting: https://www.udemy.com/course/ethical-hacking-der-komplettkurs/ https://hacking-akademie.de/ https://www.hugendubel.de/de/buch_gebunden/eric_amberg_daniel_schmid-hacking-41810049-produkt-details.html Also den Tipps (welche wirklich ein weeeeeenig wie Werbung wirken wie @KeeperOfCoffee hier anmerkt) zu den Kursen/Zertifikaten werde ich auf jeden Fall mal nachgehen, bzw. teilweise mache ich schon ein paar Udemy-Kurse von Eric Amberg und finde ihn auch absolut nicht schlecht! vor 17 Stunden schrieb NicerDicer: bin mir nicht ganz sicher, ob du wirklich "nur" Pentester, oder allgemein ein guter Hacker werden möchtest. Zu letzterem, kann ich so viel sagen: Hacken ist erst mal viel mehr eine Lebenseinstellung / Philosophie, als ein reiner Skill. Hacker haben von Natur aus eine unglaubliche Neugierde, die es Ihnen ermöglicht mit der damit verbundenen unerschöpflichen Motivation, Systemen (egal ob Hard- oder Software) auf den Grund zu gehen und damit z.B. Schwachstellen zu finden. Diese Neugierde führt natürlich dazu, dass man gar nicht anders kann, als Nächte vor dem Rechner zu verbringen und irgendwelche Linux/Unix-Systeme einzurichten und zu versuchen alles Mögliche aus diesen Systemen herauszukitzeln. Damit entwickelt man natürlich auch gewisse Fähigkeiten. (Tip: fang mal an ein Arch Linux / FreeBSD System von Anfang bis "Ende" einzurichten. Wenn dir das keinen Spaß macht und du nicht dran sitzt bis es längst wieder hell geworden ist :D, bist du vermutlich mit einem anderen Beruf besser dran). Denn ich denke, auch wenn du gezielt ein Pentester werden möchtest, ist das doch sehr verwandt mit der Tätigkeit eines Hackers. Was die OS Wahl angeht bastel ich schon rum, benutze aber aktuell ganz mainstream ein Kali, bin aber allgemein ein großer Linux Fan geworden, habe mich hier schon durch ein paar Distros probiert und werde bestimmt nicht ewig bei Kali kleben bleiben . Natürlich möchte ich auch ein guter Hacker werden, dachte allerdings, dass man als Pentester dann auch die richtige Berufswahl getroffen hat, um praktisch und beratend, das ganze produktiv im Gewandt einer weißen Rüstung anwenden kann. Wie auch @allesweg aufgreift, bin ich nicht wirklich der Meinung, dass man wie Hacker in irgendwelchen Filmen von Energydrinks angetrieben und ein, durch das Licht des Monitors genährtes, Leben in der Nacht führen muss. Wenn ich das aber richtig verstanden habe, wolltest du nur darauf hinweisen wie groß die Begeisterung für Systeme und der Ergründung/Erkundung sein muss. Hier kann ich klar zu sagen, dass ich mich erst seit letztem Jahr mit Informationstechnologien befasse und mein alltägliches Leben leider garnicht fassen kann, was meine Begeisterung alles versucht an zu treiben und zu erkunden. Ich hänge halt nur auch an vielen Basics und dadurch dass ich alles selber lernen muss (bezogen auf Praxis im Betrieb), fehlt einem manchmal eine Art Faden, wenn man nicht gerade an irgendeinem eigenen Projekt dran ist. vor 17 Stunden schrieb NicerDicer: Und was allgemein immer ein guter Weg ist, egal auf welchem Gebiet du etwas erreichen möchtest: Umgebe dich mit Menschen, oder orientiere dich an Menschen, die dein Ziel bereits erreicht haben. Von allen anderen würde ich mir da recht wenig reinreden lassen. Deswegen habe ich auch Eric Amberg empfohlen, da er genau auf diesem Gebiet, das dich interessiert sehr viel Erfahrung hat. (Gibt auf Udemy auch viele Jungspunde, die eher der Kohle wegen Dozent geworden sind und nicht weil sie das gut können) Eine andere gute Anlaufstelle wäre in diesem Zusammenhang auch der CCC aka Chaos Computer Club und deren Kongress. Die Ratschläge der Umgebung beherzige ich bzw. befolge ich natürlich auch schon. CCC ist ein absolutes Götter-Kollektiv für mich geworden und auch die philosophischen, oder moralischen Aspekte des "Hacksports" führen mich zu dieser Erstellung des Beitrages und zu meiner beruflichen Wunschwahl. vor 17 Stunden schrieb NicerDicer: Und ich würde schonmal anfangen Bewerbungen zu schreiben, sodass du nach deiner Ausbildung zu einer Firma wechseln kannst, in der du mehr lernst als bisher. Die 5 Tage / 40 Stunden pro Woche machen schließlich den Großteil deiner Zeit aus. Daher ist es Gold Wert, wenn du bereits über die Arbeit viel Erfahrung mitnimmst - und nicht nur privat über Udemy & co. (Und mit neue Firma / neue Stelle meine ich nicht unbedingt eine Stelle als Pentester, sondern erst mal in dem Bereich, den du aktuell über die Ausbildung lernst, wenn du da eine bessere Firma erwischst, wäre das doch auch super. Erst mal deine Netzwerk oder Programmierkenntnisse auszubauen ist wichtig.) Hierzu habe ich nur die Frage, ob es schon Sinn macht, mich innerhalb meiner Ausbildung schon für eine Stelle nach Abschluss dieser (Ausbildung) zu bewerben. Also ich habe durch meine verkürzte Ausbildung ja mal gerade ein halbes Jahr Berufserfahrung und schließe die Ausbildung erst 2023 ab. Sicher ist natürlich, dass ich nach der Ausbildung auf jeden Fall etwas praktischeres brauche (auch wenn ich schon von einer Stelle als Jr Pentester träume ) und auch dem werde ich nach euren Beiträgen auf jeden Fall nachgehen! Ich freue mich wirklich über eure Beteiligung und hoffe, dass noch mehr dazu kommt, weil ihr mir echt helft und mich durch die Hilfestellungen sehr moviert! Danke euch! Bitschnipser, 0x00 und allesweg reagierten darauf 2 1 Zitieren
NicerDicer Geschrieben 3. März 2022 Geschrieben 3. März 2022 (bearbeitet) vor 18 Stunden schrieb KeeperOfCoffee: Sämtliche Links ... Kurse, Bücher und Website der gleichen Person...machst du hier Werbung? @KeeperOfCoffee Äh stimmt, das war jetzt zufall, dass die alle vom gleichen sind :D.. Ne hab die Kurse einfach selbst schon gekauft und finde die einfach gut. Für meinen Geschmack bis jetzt der beste Dozent (in dem Bereich) den ich auf Udemy gefunden habe. Deswegen empfehle ich ihn. Kenne den Dozenten weder persönlich noch noch habe ich einen Vorteil davon Und hey, der Typ zieht gerade eine Hacking-Akademie auf für alle die Hacker bzw. Pentester werden wollen. Und @xkoi will Pentester werden. Wäre doch uncool, diese Infos zurückzuhalten. Bin da auch erst vor kurzem drüber gestolpert. Und wüsste ich noch von einer anderen Hacking-Academy, hätte ich die auch aufgeführt. Zitat Hierzu habe ich nur die Frage, ob es schon Sinn macht, mich innerhalb meiner Ausbildung schon für eine Stelle nach Abschluss dieser (Ausbildung) zu bewerben. @xkoi Also ich meinte ja nur Bewerbungen schreiben, und nicht direkt bewerben. Denke wenn du danach gute Chancen bei anderen Firmen haben möchtest, sollte dein Fokus natürlich erst mal auf guten Noten liegen. Von daher: lass dich von den unzähligen Möglichkeiten, die wir / ich dir hier aufgezählt haben nicht zu sehr ablenken. Die Abschlussprüfung ist nicht ohne, und leider typisch Schule, also viel Bullshit (sorry) auswendig lernen, den du nie wieder brauchst. https://it-berufe-podcast.de/vorbereitung-auf-die-ihk-abschlusspruefung-der-it-berufe/moegliche-themen-der-schriftlichen-ihk-abschlusspruefung-in-den-it-berufen/ Aber ja die Message sollte hier einfach sein: Wenn deine Firma eher lahm ist und du kaum was lernst, trau dich zeitnah den Absprung zu machen und vergeude nicht zu viel Zeit in der du nicht weiterkommst. Wie und wann du das angehst, kann ich dir nicht sagen. Es ist immer noch dein Leben Zitat Wie auch @allesweg aufgreift, bin ich nicht wirklich der Meinung, dass man wie Hacker in irgendwelchen Filmen von Energydrinks angetrieben und ein, durch das Licht des Monitors genährtes, Leben in der Nacht führen muss. Nein, natürlich nicht. Und ich denke du hast schon selbst erkannt, das man das was ich da geschrieben habe - bzw. speziell meine Formulierung - auch nicht zu sehr auf die Goldwage legen sollte. Aber wenn du merkst du sitzt lange und immer länger vorm Rechner, weil dich ein Thema, wie Linux o.ä. total packt und nicht mehr los lässt, ist das eben ein guter Indikator dafür, dass es das Richtige für dich ist. Natürlich sind nicht alle Menschen gleich und es gibt sicher auch wenige, die es mit perfektem Tages / Nacht-Rhytmus schaffen, jeden Morgen um 6 aufzustehen, jeden Abend wieder um 10 im Bett zu liegen. Und dazwischen mit ebenso perfektem Zeit-Management, gesunder Ernährung - ohne Energydrink - usw.. es schaffen sich all das Wissen anzueignen und am Besten noch neben der Arbeit. Und das ist mit Sicherheit der bessere Weg. Wobei ich dieses Bild nur als Beispiel meine. Es gibt immer viele Wege die nach Rom führen. Mindestens genauso viele, wie es kreative Köpfe auf dieser Welt gibt. Ich wünsche dir bei deinem Weg, auf jeden Fall viel Erfolg! Bearbeitet 3. März 2022 von NicerDicer 0x00 und kimura reagierten darauf 2 Zitieren
Flammkuchen Geschrieben 4. März 2022 Geschrieben 4. März 2022 Am 1.3.2022 um 12:02 schrieb xkoi: Hallo zusammen! Da ich gerne Pentester werden würde, bereite ich mich (neben den IHK Prüfungsinhalten) mit kleinen CTFs auf eventuelle Zertifikate vor, bzw. sammle so meine ersten Erfahrungen. Junior Pentester ist so eine Sache - das gibt es zu recht kaum. Als Pentester willst du ja in Systeme eindringen. Deshalb sollte man vorher schon mal selber Systeme aufgebaut und/oder entwickelt haben. Die ganzen Anfänger kommen da immer mit Kali Linux an und halten sich für Hackerman. Mit ein paar Tools auf Kali rumspielen kann jeder. Du solltest auf einem gewissen Level programmieren können. Exploits brauchen oft Automatisierung und du musst auch verstehen wie Applikationen intern überhaupt funktionieren, sonst findest du nie eine Lücke. Du solltest Erfahrung mit Linux haben. Ohne GUI nur auf der Konsole, wie sichert man Linux ab, etc. Kein Server im Internet benutzt Kali. Da setzt man auf CentOS, RHEL, Ubuntu, Debian, .... 0x00, kimura und fisi972021 reagierten darauf 3 Zitieren
kimura Geschrieben 4. März 2022 Autor Geschrieben 4. März 2022 Sehr cool! vielen Dank für deinen Beitrag @Flammkuchen! vor 15 Minuten schrieb Flammkuchen: Junior Pentester ist so eine Sache - das gibt es zu recht kaum. Als Pentester willst du ja in Systeme eindringen. Deshalb sollte man vorher schon mal selber Systeme aufgebaut und/oder entwickelt haben. Ja, das Kali nutze ich vor allem für meine CTFs bei TryHackMe. Über Gui arbeite ich garnicht, bzw. nur wenn ich komplett Lost bin Was für Systeme sollte ich den in meinen Testumgebungen aufbauen? Also kannst du mir da ein paar konkrete Ansätze geben? Ich bin mir sicher, dass es da so aller Hand gibt, aber vlt. hättest du ja etwas konkretes für mich, dass mir viele Möglichkeiten zu lernen gibt und Anfänger geeignet ist Zitieren
kimura Geschrieben 4. März 2022 Autor Geschrieben 4. März 2022 vor 22 Stunden schrieb NicerDicer: Und hey, der Typ zieht gerade eine Hacking-Akademie auf für alle die Hacker bzw. Pentester werden wollen. Und @xkoi will Pentester werden. Wäre doch uncool, diese Infos zurückzuhalten. Bin da auch erst vor kurzem drüber gestolpert. Und wüsste ich noch von einer anderen Hacking-Academy, hätte ich die auch aufgeführt. Danke dir auf jeden Fall @NicerDicer! Ja, diese Pentester Academy habe ich schon gesehen, aber ich frage mich halt, in wie weit sowas hinter dann anerkannt sein wird, im Vergleich zu Certs von Offsec usw. Trotzdem auch mal cool deutschsprachigen Content zu haben und vorallem fand ich seinen Netzwerkkurs echt sehr nice. Mit den Bewerbungen werde ich auch auf jeden Fall zeitig anfangen Zitieren
Flammkuchen Geschrieben 4. März 2022 Geschrieben 4. März 2022 vor 6 Minuten schrieb xkoi: Was für Systeme sollte ich den in meinen Testumgebungen aufbauen? Also kannst du mir da ein paar konkrete Ansätze geben? Naja ich meine damit, dass man erstmal in einem professionellen Umfeld, also einer Firma, als Entwickler oder z.B. Linuxadmin arbeitet und dort lernt wie echte Systeme aussehen. Dort lernt man dann das große Ganze und versteht die Zusammenhänge, die man später als Pentester braucht. Verstehst wie eine grobe Software Architektur meist aussieht ? Frontend, Backend, Persistence-Layer (Datenbanken SQL/NoSQL, AWS S3, ...), etc. Wie kommunizieren Frontend und Backend sicher miteinander ? Verstehst du wie moderne Software im Internet oft läuft ? Stichwort: Container + K8s. Verstehst du die modernen Möglichkeiten der Cloud ? Auf AWS musst du nicht einmal mehr SSH auf einer VM öffnen, weil man sich auch per AWS Session Manager verbinden kann. Wie handelt man generell Secrets (z.B. Passwörter, Datenbank-Connetionstrings, Tokens, etc) für ein Deployment ? Verstehst du grundlegende Netzwerk-Sicherheitsarchitekturen ? DMZ, VLANs, öffentliche/private Subnets in der Cloud, wie wird geroutet, NAT, ... Hast du genug Linux Kenntnisse ? Kali bringt dir nichts, wenn du nicht verstehst was an "chmod 777" falsch ist und du selber immer als root unterwegs bist. -> Man kann schon viel im Homelab lernen, aber auf einige Sachen stößt man oft nur im Beruf. 0x00 reagierte darauf 1 Zitieren
pentester Geschrieben 4. Oktober 2022 Geschrieben 4. Oktober 2022 Am 4.3.2022 um 14:46 schrieb Flammkuchen: Junior Pentester ist so eine Sache - das gibt es zu recht kaum. Als Pentester willst du ja in Systeme eindringen. Deshalb sollte man vorher schon mal selber Systeme aufgebaut und/oder entwickelt haben. Die ganzen Anfänger kommen da immer mit Kali Linux an und halten sich für Hackerman. Mit ein paar Tools auf Kali rumspielen kann jeder. Du solltest auf einem gewissen Level programmieren können. Exploits brauchen oft Automatisierung und du musst auch verstehen wie Applikationen intern überhaupt funktionieren, sonst findest du nie eine Lücke. Du solltest Erfahrung mit Linux haben. Ohne GUI nur auf der Konsole, wie sichert man Linux ab, etc. Kein Server im Internet benutzt Kali. Da setzt man auf CentOS, RHEL, Ubuntu, Debian, .... Ich würde sogar die These aufstellen, dass es keine guten Junior Penetration Tester geben kann... und man nicht nach einer Ausbildung oder Studium direkt als Penetration Tester einsteigen sollte - wenn man nicht am Ende nur Nessus, Qualys oder Greenbone bedienen möchte. Am 4.3.2022 um 15:35 schrieb Flammkuchen: Naja ich meine damit, dass man erstmal in einem professionellen Umfeld, also einer Firma, als Entwickler oder z.B. Linuxadmin arbeitet und dort lernt wie echte Systeme aussehen. Dort lernt man dann das große Ganze und versteht die Zusammenhänge, die man später als Pentester braucht. Verstehst wie eine grobe Software Architektur meist aussieht ? Frontend, Backend, Persistence-Layer (Datenbanken SQL/NoSQL, AWS S3, ...), etc. Wie kommunizieren Frontend und Backend sicher miteinander ? Verstehst du wie moderne Software im Internet oft läuft ? Stichwort: Container + K8s. Verstehst du die modernen Möglichkeiten der Cloud ? Auf AWS musst du nicht einmal mehr SSH auf einer VM öffnen, weil man sich auch per AWS Session Manager verbinden kann. Wie handelt man generell Secrets (z.B. Passwörter, Datenbank-Connetionstrings, Tokens, etc) für ein Deployment ? Verstehst du grundlegende Netzwerk-Sicherheitsarchitekturen ? DMZ, VLANs, öffentliche/private Subnets in der Cloud, wie wird geroutet, NAT, ... Hast du genug Linux Kenntnisse ? Kali bringt dir nichts, wenn du nicht verstehst was an "chmod 777" falsch ist und du selber immer als root unterwegs bist. Der Beitrag ist so absolut wahr, nur liest man das leider viel zu selten. charmanta und 0x00 reagierten darauf 2 Zitieren
ringo230 Geschrieben 3. Juli 2023 Geschrieben 3. Juli 2023 (bearbeitet) @kimura Und was hast du gemacht? Meine persönliche Empfehlung wäre den Solutions Architect Associate Kurs von Adrian Cantrill zu machen. Der ist wirklich sehr gut. Da kriegt man ein sehr gutes Gefühl und Wissen von Netzwerke, Protokolle, Cloud usw. Dann würde ich den PEN-200(OSCP) Kurs machen. Der wurde wohl auch dieses Jahr 2023 aktualisiert. Da lernst du dann hands on hacking skills und das Zertifikat ist sehr wertvoll bezüglich Jobs. Da Zeit kostbar ist und es darum geht so schnell wie möglich einen Job zu landen würder nicht meine Zeit verschwenden mit Hack the box oder so, sondern direkt den OSCP machen. Den PEN-200 bzw. OSCP gibts evtl auch mit ildungsgutschein vom Arbeitsamt wenn man ALG bezieht und berufsbegleitend. Im KursNet vom Arbeitsamt ist ein Kurs dazu eingetragen (Stand 2023). Dann wird alles oder zumindest zum Teil übernommen. Und dann würde ich einfach so viele Bewerbungen wie möglich rausballern. Iwann sagt rein statistisch jemand zu. Viele Bewerbungsgesprächen machen und diese als Übung sehen um sich zu verkaufen. Labern lernen (und auch fake it till you make it, unkompliziert sein, Verhandlungsskills lernen (Solltest du mehr als ein Job Angebot haben, kannst du vll hebeln und nachverhandeln und dein Gehalt steigern)). Wenn du dann 1 Jahr bei der Firma warst hast du es eh geschafft und kannst mit der Berufserfahrung problemlos auf andere Jobangebote wechseln. Alle zwei oder drei Jahre wechseln. Die Gehaltssprünge beim Jobwechsel sind immer sehr groß. Meist besser als wenn man im selben Betrieb bleibt. Wobei, da kann man vll auch handeln. Und was ist mit Studium? Weiss nicht, glaube das ist übertrieben und wahrscheinlich verschwendete Zeit und man lernt viel Mist den man eh nicht braucht. Ich denke mit dem oben genannten Vorgehen kriegt man ein einem halben Jahr einen Job. Lerne einfach schnell das was dir nützlich erscheint und setze es direkt für deinen Vorteil ein. (evtl. wenn man etwas Softwarearchitektur kennen lernen will, kann ich vll noch empfehlen vll einen kleinen Programmierkurs auf Udemy zu machen von zum Beispiel einer Webapplikation. Wo man dann mal sieht wie etwas in Frontend, Backend aufgeteilt wird. z.b. Angular (Frontend), Java (Backend) oder Express (Backend). Wobei ich nicht sicher bin ob das übertrieben ist. vll tun es auch ein paar Video auf darüber was Fullstack in Software ist.) Bearbeitet 3. Juli 2023 von ringo230 Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.