[Journal] From déchet 0 ALL to MONSTRE en CYBERSECURITE
Le 16 janvier 2022 à 19:54:56 OZEN-SENSEI a écrit :
Le 16 janvier 2022 à 19:32:42 :
Cybersécu c'est esclave au smic ça nonnon
mais dans le cas de l'auteur ca sera meme pas le smic ca sera le chomage
car pour bosser en cybersécurité il faut un master/ diplome d'ingé en cybersécurité
donc quand l'op ira faire son entretien devant le patron il bégayera car il sera incapable de justifier c'est compétence car 0 diplome et donc il sera pas pris car il y a une queue interminable de diplomé
Certif + Portfolio + Réseautage Linkedin ça passe pas ?
Edit : "Cependant, même pour un autodidacte sans diplôme, sans années d’études, et même sans Bac, il est possible de travailler dans la cybersécurité, en tant que « chasseur de primes » indépendant.
Il existe en effet des plateformes dites de Bug Bounty, où des entreprises proposent des récompenses à qui parviendrait à trouver une faille de sécurité dans leurs systèmes informatiques."
Hormis ça c'est mort j'imagine ?
Le 16 janvier 2022 à 19:58:07 :
Le 16 janvier 2022 à 19:54:56 OZEN-SENSEI a écrit :
Le 16 janvier 2022 à 19:32:42 :
Cybersécu c'est esclave au smic ça nonnon
mais dans le cas de l'auteur ca sera meme pas le smic ca sera le chomage
car pour bosser en cybersécurité il faut un master/ diplome d'ingé en cybersécurité
donc quand l'op ira faire son entretien devant le patron il bégayera car il sera incapable de justifier c'est compétence car 0 diplome et donc il sera pas pris car il y a une queue interminable de diplomé
Certif + Portfolio + Réseautage Linkedin ça passe pas ?
a la rigueur si t'a un certificat mais pas un bullshit mais un connu a l'international quelque fou fauché serais peut etre tenter de te donner une mission
mais endehors de ce cas c'est mort
je te conseille vivement de faire un IUT/licence en info en full alternance + l3 full alternance + master / diplome d'ingè en full alternance
pourquoi en full alternance ? pour avoir un revenu
mets de coté assez pour pouvoir vivre une année avant de commencer ce truc et c'est bon c'est parti
:
meme si ceci veut aussi dire prendre un studio pour mettre de coté les tune etc...
dans tout les cas t'a rien a perdre t'a juste a gagner dans cette histoire
en vrai l'auteur la route est longue un peu
il va falloir que tu comprennes un peu tout le fonctionnement d'un système informatique
Les couches OSI c'est un truc
mais en ingé cybersécu, il faut que tu comprennes les protocoles de chaque couche, les types d'attaques qui peuvent avoir eu lieu par niveau et donc par protocole
- il faudra que tu comprennes le chiffrement (a)symétrique, les certificats, les signatures numériques, les PKI, les KMS...
- que tu saches mettre en place un VPN, configurer un pare-feu (1, 2eme génération), mettre en place des DMZ..
- Que tu saches mettre en place des NACL, et à quel niveau on les trouve...
- il faudra que tu saches agir sur le routage et le filtrage à plusieurs niveaux.. en utilisant plusieurs logiciels ou VMs
- Que tu saches comment intérgrer tout ça dans active directory
- comment utiliser centos (et sur quoi ça repose)..
et ça, encore, ce n'est qu'une partie de la partie système
Il te restera la partie applicative - applis web (couche 7 principalement)- les injections embarquées dans des requêtes http (xml, sql) et la securisation des accès aux APIs
- les tokens jwt ou autres
- tls/ssl et les certif
- les connexions ssh
- la gestion des secrets
- la mise en place de WAF...
- contrer les ddos et autres
une fois que tu auras saisi tout ce bordel et ce que veut dire "une attaque"
il te faudra apprendre les contre-mesures pour chaque classe d'attaque en général et en particulier
une référence pour y voir un poil plus clair, le top 10 des cyber-threats au niveau des applis web https://owasp.org/www-project-top-ten/
et puis y'a la sécurité non fonctionnelle
rgpd
sécurité dans le sens pérennité des données
etc
et dans tout ce bordel, je te parle même pas d'automatisation au niveau infra, et au niveau appli
les pentest c'est ce qui vient à la toute fin
mais t'as 36000 contre-mesures à tous les niveaux d'un système
Le 16 janvier 2022 à 19:58:07 :
Le 16 janvier 2022 à 19:54:56 OZEN-SENSEI a écrit :
Le 16 janvier 2022 à 19:32:42 :
Cybersécu c'est esclave au smic ça nonnon
mais dans le cas de l'auteur ca sera meme pas le smic ca sera le chomage
car pour bosser en cybersécurité il faut un master/ diplome d'ingé en cybersécurité
donc quand l'op ira faire son entretien devant le patron il bégayera car il sera incapable de justifier c'est compétence car 0 diplome et donc il sera pas pris car il y a une queue interminable de diplomé
Certif + Portfolio + Réseautage Linkedin ça passe pas ?
Edit : "Cependant, même pour un autodidacte sans diplôme, sans années d’études, et même sans Bac, il est possible de travailler dans la cybersécurité, en tant que « chasseur de primes » indépendant.
Il existe en effet des plateformes dites de Bug Bounty, où des entreprises proposent des récompenses à qui parviendrait à trouver une faille de sécurité dans leurs systèmes informatiques."
Hormis ça c'est mort j'imagine ?
mec ce n'est pas viable comme projet
en face t'a des gens qui ont de l'experience ( en entreprise ) car ils ont leur diplome et qui savent comment bouger entre les maille
et il y a toi ....
c'est pas viable
suis mon conseil
meme si cela risque d'etre difficile la première année
Le 16 janvier 2022 à 20:07:55 OZEN-SENSEI a écrit :
suis mon conseilmeme si cela risque d'etre difficile la première année
Je vais prendre le temps d'y réfléchir et de tracer mon plan sur les 5 ans à venir, merci de me proposer une voie
Le 16 janvier 2022 à 20:05:58 el-famoso-rino a écrit :
en vrai l'auteur la route est longue un peu
il va falloir que tu comprennes un peu tout le fonctionnement d'un système informatiqueLes couches OSI c'est un truc
mais en ingé cybersécu, il faut que tu comprennes les protocoles de chaque couche, les types d'attaques qui peuvent avoir eu lieu par niveau et donc par protocole
- il faudra que tu comprennes le chiffrement (a)symétrique, les certificats, les signatures numériques, les PKI, les KMS...
- que tu saches mettre en place un VPN, configurer un pare-feu (1, 2eme génération), mettre en place des DMZ..
- Que tu saches mettre en place des NACL, et à quel niveau on les trouve...
- il faudra que tu saches agir sur le routage et le filtrage à plusieurs niveaux.. en utilisant plusieurs logiciels ou VMs
- Que tu saches comment intérgrer tout ça dans active directory
- comment utiliser centos (et sur quoi ça repose)..
et ça, encore, ce n'est qu'une partie de la partie système
Il te restera la partie applicative - applis web (couche 7 principalement)
- les injections embarquées dans des requêtes http (xml, sql) et la securisation des accès aux APIs
- les tokens jwt ou autres
- tls/ssl et les certif
- les connexions ssh
- la gestion des secrets
- la mise en place de WAF...
- contrer les ddos et autres
une fois que tu auras saisi tout ce bordel et ce que veut dire "une attaque"
il te faudra apprendre les contre-mesures pour chaque classe d'attaque en général et en particulierune référence pour y voir un poil plus clair, le top 10 des cyber-threats au niveau des applis web https://owasp.org/www-project-top-ten/
et puis y'a la sécurité non fonctionnelle
rgpd
sécurité dans le sens pérennité des données
etcet dans tout ce bordel, je te parle même pas d'automatisation au niveau infra, et au niveau appli
les pentest c'est ce qui vient à la toute fin
mais t'as 36000 contre-mesures à tous les niveaux d'un système
Bordel khey tu me fais plaisir à schématiser une partie de ce qu'il y a à apprendre !! Ne t'en fais pas je me suis jamais dit qu'en 1-2 ans j'allais avoir des compétences fonctionnelles pour pouvoir travailler
Mais je tente, comme ça aucun regret et rien que les deux dernières pages à échanger avec les kheys ça m'a appris plusieurs choses
Le 16 janvier 2022 à 19:29:26 :
Bonsoir mes kheysAujourd'hui j'ai commencé le free course d'INE "Penetrating System" et j'ai légèrement enrichi ma culture générale sur certains "Phreaking" : Kevin Mitnick, Captain Crunch, le manifeste du Hacker du Mentor ainsi que mon vocabulaire vis à vis de la cybersecurity.
J'ai installé Kali sur une machine virtuelle (j'ai galéré ) et je suis en train de tester Wireshark pour voir la différence entre un protocole HTTP et HTTPS au niveau des données visibles.
Et pour finir j'ai aussi commencé en parallèle à regarder la vidéo de 9h sur les réseaux et ça part direct sur le modèle OSI. D'ici la fin de la semaine j'espère en avoir fini avec cette ressource
Si tu arrives à maîtriser wireshark ça m'intéresse, moi ça fait longtemps que je suis dans l'informatique j'ai jamais su faire fonctionner ce truc correctement, par exemple j'arrivai pas à filtrer les requêtes http, je pouvais juste filtrer sur les protocoles de couche plus basse comme tcp ou udp
Le 16 janvier 2022 à 20:12:20 Manager_Excel a écrit :
L'op renseigne-toi s'il y a des associations d'informatique près de chez toi. Un ami 0 tout a été bénévole dans une asso qui gérait un FAI. Il a cherché du taf et il a trouvé en poste en cybersecu très bien payé alors qu'il a zéro diplôme (no fake)
Tiens j'avais jamais pensé aux asso bien vu. Même si j'ai pas de taf ou de compétences particulières je pourrai discuter avec des gens du milieu qui aime (ou non) leur métier c'est 100% gagnant pour l'apprentissage
Le 16 janvier 2022 à 20:13:37 ban156324895 a écrit :
Le 16 janvier 2022 à 19:29:26 :
Bonsoir mes kheysAujourd'hui j'ai commencé le free course d'INE "Penetrating System" et j'ai légèrement enrichi ma culture générale sur certains "Phreaking" : Kevin Mitnick, Captain Crunch, le manifeste du Hacker du Mentor ainsi que mon vocabulaire vis à vis de la cybersecurity.
J'ai installé Kali sur une machine virtuelle (j'ai galéré ) et je suis en train de tester Wireshark pour voir la différence entre un protocole HTTP et HTTPS au niveau des données visibles.
Et pour finir j'ai aussi commencé en parallèle à regarder la vidéo de 9h sur les réseaux et ça part direct sur le modèle OSI. D'ici la fin de la semaine j'espère en avoir fini avec cette ressource
Si tu arrives à maîtriser wireshark ça m'intéresse, moi ça fait longtemps que je suis dans l'informatique j'ai jamais su faire fonctionner ce truc correctement, par exemple j'arrivai pas à filtrer les requêtes http, je pouvais juste filtrer sur les protocoles de couche plus basse comme tcp ou udp
Quand je saurai vraiment l'utiliser je viendrai te MP, mais ce sera dans un moment
Le 16 janvier 2022 à 20:08:56 :
Le 16 janvier 2022 à 20:07:55 OZEN-SENSEI a écrit :
suis mon conseilmeme si cela risque d'etre difficile la première année
Je vais prendre le temps d'y réfléchir et de tracer mon plan sur les 5 ans à venir, merci de me proposer une voie
Je remercie les Dieux que t'ai pris en consideration ce que je t'ai écris .
parcontre l'op il y a rien a réflechir sur certaine chose ca va t'améliorer t'a qualité de vie pour le restant de t'a vie c'est année de sacrifice
je t'écris ceci en partant du principe que je pense pas que t'ai des diplome appart le bac
+ si tu vie en ville
un moyen pour avoir une autre source de revenu ( qui n'est pas imposé ) serais que tu t'inscrive a la A.F.A ( que tu devienne arbitre de foot )
ils payent 25 euro le match le dimanche pour les debutant ( ca fait comme meme aumoins 900 euro sur une année ce qui n'est pas négligable )
perso c'est un moyen a moi pour me faire des tune facilement
Le 16 janvier 2022 à 20:13:37 :
Le 16 janvier 2022 à 19:29:26 :
Bonsoir mes kheysAujourd'hui j'ai commencé le free course d'INE "Penetrating System" et j'ai légèrement enrichi ma culture générale sur certains "Phreaking" : Kevin Mitnick, Captain Crunch, le manifeste du Hacker du Mentor ainsi que mon vocabulaire vis à vis de la cybersecurity.
J'ai installé Kali sur une machine virtuelle (j'ai galéré ) et je suis en train de tester Wireshark pour voir la différence entre un protocole HTTP et HTTPS au niveau des données visibles.
Et pour finir j'ai aussi commencé en parallèle à regarder la vidéo de 9h sur les réseaux et ça part direct sur le modèle OSI. D'ici la fin de la semaine j'espère en avoir fini avec cette ressource
Si tu arrives à maîtriser wireshark ça m'intéresse, moi ça fait longtemps que je suis dans l'informatique j'ai jamais su faire fonctionner ce truc correctement, par exemple j'arrivai pas à filtrer les requêtes http, je pouvais juste filtrer sur les protocoles de couche plus basse comme tcp ou udp
wireshark = analyse du traffic sur une connexion
tu peux y voir les paquets de données entrants et sortant de la machine qui fait tourner wireshark
tu as les ip source, destination, les protocoles utilisés et le contenu du paquet
c'est rien de ouf
mais ça peut être pratique pour détecter des failles de sécurité au niveau de l'équipement réseau
je sais pas moi au pif, tu n'as pas bien configuré tes switch en mettant un Spanning Tree et tu te retrouves flood avec des quêtes ARP, t'auras l'impression d'avoir perdu la connexion mais wireshark te permet de comprendre avec une petite investigation que non
Le 16 janvier 2022 à 20:05:58 :
en vrai l'auteur la route est longue un peu
il va falloir que tu comprennes un peu tout le fonctionnement d'un système informatiqueLes couches OSI c'est un truc
mais en ingé cybersécu, il faut que tu comprennes les protocoles de chaque couche, les types d'attaques qui peuvent avoir eu lieu par niveau et donc par protocole
- il faudra que tu comprennes le chiffrement (a)symétrique, les certificats, les signatures numériques, les PKI, les KMS...
- que tu saches mettre en place un VPN, configurer un pare-feu (1, 2eme génération), mettre en place des DMZ..
- Que tu saches mettre en place des NACL, et à quel niveau on les trouve...
- il faudra que tu saches agir sur le routage et le filtrage à plusieurs niveaux.. en utilisant plusieurs logiciels ou VMs
- Que tu saches comment intérgrer tout ça dans active directory
- comment utiliser centos (et sur quoi ça repose)..
et ça, encore, ce n'est qu'une partie de la partie système
Il te restera la partie applicative - applis web (couche 7 principalement)
- les injections embarquées dans des requêtes http (xml, sql) et la securisation des accès aux APIs
- les tokens jwt ou autres
- tls/ssl et les certif
- les connexions ssh
- la gestion des secrets
- la mise en place de WAF...
- contrer les ddos et autres
une fois que tu auras saisi tout ce bordel et ce que veut dire "une attaque"
il te faudra apprendre les contre-mesures pour chaque classe d'attaque en général et en particulierune référence pour y voir un poil plus clair, le top 10 des cyber-threats au niveau des applis web https://owasp.org/www-project-top-ten/
et puis y'a la sécurité non fonctionnelle
rgpd
sécurité dans le sens pérennité des données
etcet dans tout ce bordel, je te parle même pas d'automatisation au niveau infra, et au niveau appli
les pentest c'est ce qui vient à la toute fin
mais t'as 36000 contre-mesures à tous les niveaux d'un système
Toi t'es sur rootme non ?
A aucun moment il a besoin de savoir comment monter un VPN... On parle de sécurité offensive l'idiot du vilage
Tu fais croire que tout est compliqué, comportement typiquement français.
C'est simple :
Base systeme
Base réseau
Base prog
Qu'il sache lire du JS, le fonctionnement d'un serveur web etc
Une fois que t'as fait ça tu fais portswigger into HTB et ensuite tu te lances dans le bug bounty.
Je vais pas débunker ton pavé de frustré qui veut pas que les autres apprennent, mais à quel moment t'as besoin de savoir mettre en place un WAF ?????????????????? xd
Et pourquoi centos en particulier ?
"contrer les ddos" en une requete google tu as ta réponse.
Tu dis de la merde de A à Z c'est un truc de taré, hallucinant. Typiquement français le comportement, j'avais affaire au meme trou du cul quand je connaissais rien et que je voulais faire de la sécurité offensive
BREF l'op si tu veux en faire ton métier, fait BTS + LPRO + MASTER en alternance et ensuite tu passes l'OSCP. A coté tu fais du bug bounty hunting ( une fois que t'as fait ce que je t'ai dit)
Et tu seras bon
Le 16 janvier 2022 à 20:11:59 :
Le 16 janvier 2022 à 20:05:58 el-famoso-rino a écrit :
en vrai l'auteur la route est longue un peu
il va falloir que tu comprennes un peu tout le fonctionnement d'un système informatiqueLes couches OSI c'est un truc
mais en ingé cybersécu, il faut que tu comprennes les protocoles de chaque couche, les types d'attaques qui peuvent avoir eu lieu par niveau et donc par protocole
- il faudra que tu comprennes le chiffrement (a)symétrique, les certificats, les signatures numériques, les PKI, les KMS...
- que tu saches mettre en place un VPN, configurer un pare-feu (1, 2eme génération), mettre en place des DMZ..
- Que tu saches mettre en place des NACL, et à quel niveau on les trouve...
- il faudra que tu saches agir sur le routage et le filtrage à plusieurs niveaux.. en utilisant plusieurs logiciels ou VMs
- Que tu saches comment intérgrer tout ça dans active directory
- comment utiliser centos (et sur quoi ça repose)..
et ça, encore, ce n'est qu'une partie de la partie système
Il te restera la partie applicative - applis web (couche 7 principalement)
- les injections embarquées dans des requêtes http (xml, sql) et la securisation des accès aux APIs
- les tokens jwt ou autres
- tls/ssl et les certif
- les connexions ssh
- la gestion des secrets
- la mise en place de WAF...
- contrer les ddos et autres
une fois que tu auras saisi tout ce bordel et ce que veut dire "une attaque"
il te faudra apprendre les contre-mesures pour chaque classe d'attaque en général et en particulierune référence pour y voir un poil plus clair, le top 10 des cyber-threats au niveau des applis web https://owasp.org/www-project-top-ten/
et puis y'a la sécurité non fonctionnelle
rgpd
sécurité dans le sens pérennité des données
etcet dans tout ce bordel, je te parle même pas d'automatisation au niveau infra, et au niveau appli
les pentest c'est ce qui vient à la toute fin
mais t'as 36000 contre-mesures à tous les niveaux d'un systèmeBordel khey tu me fais plaisir à schématiser une partie de ce qu'il y a à apprendre !! Ne t'en fais pas je me suis jamais dit qu'en 1-2 ans j'allais avoir des compétences fonctionnelles pour pouvoir travailler
Mais je tente, comme ça aucun regret et rien que les deux dernières pages à échanger avec les kheys ça m'a appris plusieurs choses
courage à toi crayon
prends ton temps pour avancer tranquillou
go udemy
courage clé n'écoute pas les losers sur ce forum y a que ça
j'ai appris de zéro et je suis mtnt dev freelance, proprio et expat
par contre je te recommand de faire une école à côté quand même, malheureusement en France cest important
mais ne te repose pas là dessus pour être bon, fais des projets à côté
Le 16 janvier 2022 à 20:16:37 :
Le 16 janvier 2022 à 20:13:37 :
Le 16 janvier 2022 à 19:29:26 :
Bonsoir mes kheysAujourd'hui j'ai commencé le free course d'INE "Penetrating System" et j'ai légèrement enrichi ma culture générale sur certains "Phreaking" : Kevin Mitnick, Captain Crunch, le manifeste du Hacker du Mentor ainsi que mon vocabulaire vis à vis de la cybersecurity.
J'ai installé Kali sur une machine virtuelle (j'ai galéré ) et je suis en train de tester Wireshark pour voir la différence entre un protocole HTTP et HTTPS au niveau des données visibles.
Et pour finir j'ai aussi commencé en parallèle à regarder la vidéo de 9h sur les réseaux et ça part direct sur le modèle OSI. D'ici la fin de la semaine j'espère en avoir fini avec cette ressource
Si tu arrives à maîtriser wireshark ça m'intéresse, moi ça fait longtemps que je suis dans l'informatique j'ai jamais su faire fonctionner ce truc correctement, par exemple j'arrivai pas à filtrer les requêtes http, je pouvais juste filtrer sur les protocoles de couche plus basse comme tcp ou udp
wireshark = analyse du traffic sur une connexion
tu peux y voir les paquets de données entrants et sortant de la machine qui fait tourner wireshark
tu as les ip source, destination, les protocoles utilisés et le contenu du paquet
c'est rien de ouf
mais ça peut être pratique pour détecter des failles de sécurité au niveau de l'équipement réseau
je sais pas moi au pif, tu n'as pas bien configuré tes switch en mettant un Spanning Tree et tu te retrouves flood avec des quêtes ARP, t'auras l'impression d'avoir perdu la connexion mais wireshark te permet de comprendre avec une petite investigation que non
Merci khey mais du coup justement vu que ça permet de voir les protocoles utilisés sur les différentes couches à une époque je voulais filtrer sur le protocole http et je me souviens que même en cherchant sur internet j'avais jamais trouvé
J'utilisais la version graphique sur Windows
Le 16 janvier 2022 à 20:17:48 :
Le 16 janvier 2022 à 20:05:58 :
en vrai l'auteur la route est longue un peu
il va falloir que tu comprennes un peu tout le fonctionnement d'un système informatiqueLes couches OSI c'est un truc
mais en ingé cybersécu, il faut que tu comprennes les protocoles de chaque couche, les types d'attaques qui peuvent avoir eu lieu par niveau et donc par protocole
- il faudra que tu comprennes le chiffrement (a)symétrique, les certificats, les signatures numériques, les PKI, les KMS...
- que tu saches mettre en place un VPN, configurer un pare-feu (1, 2eme génération), mettre en place des DMZ..
- Que tu saches mettre en place des NACL, et à quel niveau on les trouve...
- il faudra que tu saches agir sur le routage et le filtrage à plusieurs niveaux.. en utilisant plusieurs logiciels ou VMs
- Que tu saches comment intérgrer tout ça dans active directory
- comment utiliser centos (et sur quoi ça repose)..
et ça, encore, ce n'est qu'une partie de la partie système
Il te restera la partie applicative - applis web (couche 7 principalement)
- les injections embarquées dans des requêtes http (xml, sql) et la securisation des accès aux APIs
- les tokens jwt ou autres
- tls/ssl et les certif
- les connexions ssh
- la gestion des secrets
- la mise en place de WAF...
- contrer les ddos et autres
une fois que tu auras saisi tout ce bordel et ce que veut dire "une attaque"
il te faudra apprendre les contre-mesures pour chaque classe d'attaque en général et en particulierune référence pour y voir un poil plus clair, le top 10 des cyber-threats au niveau des applis web https://owasp.org/www-project-top-ten/
et puis y'a la sécurité non fonctionnelle
rgpd
sécurité dans le sens pérennité des données
etcet dans tout ce bordel, je te parle même pas d'automatisation au niveau infra, et au niveau appli
les pentest c'est ce qui vient à la toute fin
mais t'as 36000 contre-mesures à tous les niveaux d'un systèmeToi t'es sur rootme non ?
A aucun moment il a besoin de savoir comment monter un VPN... On parle de sécurité offensive l'idiot du vilage
Tu fais croire que tout est compliqué, comportement typiquement français.
C'est simple :
Base systeme
Base réseau
Base progQu'il sache lire du JS, le fonctionnement d'un serveur web etc
Une fois que t'as fait ça tu fais portswigger into HTB et ensuite tu te lances dans le bug bounty.
Je vais pas débunker ton pavé de frustré qui veut pas que les autres apprennent, mais à quel moment t'as besoin de savoir mettre en place un WAF ?????????????????? xd
Et pourquoi centos en particulier ?
"contrer les ddos" en une requete google tu as ta réponse.Tu dis de la merde de A à Z c'est un truc de taré, hallucinant. Typiquement français le comportement, j'avais affaire au meme trou du cul quand je connaissais rien et que je voulais faire de la sécurité offensive
BREF l'op si tu veux en faire ton métier, fait BTS + LPRO + MASTER en alternance et ensuite tu passes l'OSCP. A coté tu fais du bug bounty hunting ( une fois que t'as fait ce que je t'ai dit)
Et tu seras bon
calmos khey respire, fait toi couler une camomille
cybersécu où sens où toi tu l'entends = boulot de merde de matrixé sans aucun challenge = plafond de verre très rapide = tu te fais chier à te tirer une balle
je suis pas sur rootme
j'ai commencé software engineer
puis cloud / devops
et maintenant je suis architecte cloud / devsecops
un consultant en cybersécu maitrise toute la stack ahurin
si tu veux amasser masse thune, tu prends du recul
si tu veux t'amuser à fermer des ports et blacklister des ip... ce n'est qu'une infime partie de la cybersécu
+ je n'essaie pas de décourager l'auteur
j'essaie au contraire de l'encourager à étudier toute la stack s'il le peut
ça lui ouvrira BEAUCOUP BEAUCOUP plus d'opportunités et SURTOUT DES PERSPECTIVES d'EVOLUTION
et PAZ sur toi
Le 16 janvier 2022 à 20:05:58 :
en vrai l'auteur la route est longue un peu
il va falloir que tu comprennes un peu tout le fonctionnement d'un système informatiqueLes couches OSI c'est un truc
mais en ingé cybersécu, il faut que tu comprennes les protocoles de chaque couche, les types d'attaques qui peuvent avoir eu lieu par niveau et donc par protocole
- il faudra que tu comprennes le chiffrement (a)symétrique, les certificats, les signatures numériques, les PKI, les KMS...
- que tu saches mettre en place un VPN, configurer un pare-feu (1, 2eme génération), mettre en place des DMZ..
- Que tu saches mettre en place des NACL, et à quel niveau on les trouve...
- il faudra que tu saches agir sur le routage et le filtrage à plusieurs niveaux.. en utilisant plusieurs logiciels ou VMs
- Que tu saches comment intérgrer tout ça dans active directory
- comment utiliser centos (et sur quoi ça repose)..
et ça, encore, ce n'est qu'une partie de la partie système
Il te restera la partie applicative - applis web (couche 7 principalement)
- les injections embarquées dans des requêtes http (xml, sql) et la securisation des accès aux APIs
- les tokens jwt ou autres
- tls/ssl et les certif
- les connexions ssh
- la gestion des secrets
- la mise en place de WAF...
- contrer les ddos et autres
une fois que tu auras saisi tout ce bordel et ce que veut dire "une attaque"
il te faudra apprendre les contre-mesures pour chaque classe d'attaque en général et en particulierune référence pour y voir un poil plus clair, le top 10 des cyber-threats au niveau des applis web https://owasp.org/www-project-top-ten/
et puis y'a la sécurité non fonctionnelle
rgpd
sécurité dans le sens pérennité des données
etcet dans tout ce bordel, je te parle même pas d'automatisation au niveau infra, et au niveau appli
les pentest c'est ce qui vient à la toute fin
mais t'as 36000 contre-mesures à tous les niveaux d'un système
"le pentest vient à la toute fin"
non ? Je connais pleins de gens qui ont commencé directement en pentester en France. à l'étranger tu as juste l'oscp sans diplome on te prend en pentest junior. Au bout de 6 mois d'xp toutes les entreprises te suces la bite
Données du topic
- Auteur
- AbyssalGrowth
- Date de création
- 15 janvier 2022 à 19:22:21
- Nb. messages archivés
- 105
- Nb. messages JVC
- 105