Topic de AbyssalGrowth :

[Journal] From déchet 0 ALL to MONSTRE en CYBERSECURITE

Le 16 janvier 2022 à 19:54:56 OZEN-SENSEI a écrit :

Le 16 janvier 2022 à 19:32:42 :
Cybersécu c'est esclave au smic ça non

non

mais dans le cas de l'auteur ca sera meme pas le smic ca sera le chomage

car pour bosser en cybersécurité il faut un master/ diplome d'ingé en cybersécurité

donc quand l'op ira faire son entretien devant le patron il bégayera car il sera incapable de justifier c'est compétence car 0 diplome et donc il sera pas pris car il y a une queue interminable de diplomé

Certif + Portfolio + Réseautage Linkedin ça passe pas ?

Edit : "Cependant, même pour un autodidacte sans diplôme, sans années d’études, et même sans Bac, il est possible de travailler dans la cybersécurité, en tant que « chasseur de primes » indépendant.

Il existe en effet des plateformes dites de Bug Bounty, où des entreprises proposent des récompenses à qui parviendrait à trouver une faille de sécurité dans leurs systèmes informatiques."

Hormis ça c'est mort j'imagine ?

Le 16 janvier 2022 à 19:58:07 :

Le 16 janvier 2022 à 19:54:56 OZEN-SENSEI a écrit :

Le 16 janvier 2022 à 19:32:42 :
Cybersécu c'est esclave au smic ça non

non

mais dans le cas de l'auteur ca sera meme pas le smic ca sera le chomage

car pour bosser en cybersécurité il faut un master/ diplome d'ingé en cybersécurité

donc quand l'op ira faire son entretien devant le patron il bégayera car il sera incapable de justifier c'est compétence car 0 diplome et donc il sera pas pris car il y a une queue interminable de diplomé

Certif + Portfolio + Réseautage Linkedin ça passe pas ?

a la rigueur si t'a un certificat mais pas un bullshit mais un connu a l'international quelque fou fauché serais peut etre tenter de te donner une mission :(

mais endehors de ce cas c'est mort :ok:

je te conseille vivement de faire un IUT/licence en info en full alternance + l3 full alternance + master / diplome d'ingè en full alternance :ok:

pourquoi en full alternance ? pour avoir un revenu :ok:

mets de coté assez pour pouvoir vivre une année avant de commencer ce truc et c'est bon c'est parti :ok:
:
meme si ceci veut aussi dire prendre un studio pour mettre de coté les tune etc... :hap:

dans tout les cas t'a rien a perdre t'a juste a gagner dans cette histoire :hap:

en vrai l'auteur la route est longue un peu :hap:
il va falloir que tu comprennes un peu tout le fonctionnement d'un système informatique :hap:

Les couches OSI c'est un truc
mais en ingé cybersécu, il faut que tu comprennes les protocoles de chaque couche, les types d'attaques qui peuvent avoir eu lieu par niveau et donc par protocole :)

  • il faudra que tu comprennes le chiffrement (a)symétrique, les certificats, les signatures numériques, les PKI, les KMS...
  • que tu saches mettre en place un VPN, configurer un pare-feu (1, 2eme génération), mettre en place des DMZ..
  • Que tu saches mettre en place des NACL, et à quel niveau on les trouve...
  • il faudra que tu saches agir sur le routage et le filtrage à plusieurs niveaux.. en utilisant plusieurs logiciels ou VMs
  • Que tu saches comment intérgrer tout ça dans active directory
  • comment utiliser centos (et sur quoi ça repose)..

et ça, encore, ce n'est qu'une partie de la partie système

Il te restera la partie applicative - applis web (couche 7 principalement)
  • les injections embarquées dans des requêtes http (xml, sql) et la securisation des accès aux APIs
  • les tokens jwt ou autres
  • tls/ssl et les certif
  • les connexions ssh
  • la gestion des secrets
  • la mise en place de WAF...
  • contrer les ddos et autres

une fois que tu auras saisi tout ce bordel et ce que veut dire "une attaque"
il te faudra apprendre les contre-mesures pour chaque classe d'attaque en général et en particulier :hap:

:d) une référence pour y voir un poil plus clair, le top 10 des cyber-threats au niveau des applis web https://owasp.org/www-project-top-ten/

et puis y'a la sécurité non fonctionnelle :hap:
rgpd
sécurité dans le sens pérennité des données
etc

et dans tout ce bordel, je te parle même pas d'automatisation au niveau infra, et au niveau appli :hap:

les pentest c'est ce qui vient à la toute fin
mais t'as 36000 contre-mesures à tous les niveaux d'un système

Le 16 janvier 2022 à 19:58:07 :

Le 16 janvier 2022 à 19:54:56 OZEN-SENSEI a écrit :

Le 16 janvier 2022 à 19:32:42 :
Cybersécu c'est esclave au smic ça non

non

mais dans le cas de l'auteur ca sera meme pas le smic ca sera le chomage

car pour bosser en cybersécurité il faut un master/ diplome d'ingé en cybersécurité

donc quand l'op ira faire son entretien devant le patron il bégayera car il sera incapable de justifier c'est compétence car 0 diplome et donc il sera pas pris car il y a une queue interminable de diplomé

Certif + Portfolio + Réseautage Linkedin ça passe pas ?

Edit : "Cependant, même pour un autodidacte sans diplôme, sans années d’études, et même sans Bac, il est possible de travailler dans la cybersécurité, en tant que « chasseur de primes » indépendant.

Il existe en effet des plateformes dites de Bug Bounty, où des entreprises proposent des récompenses à qui parviendrait à trouver une faille de sécurité dans leurs systèmes informatiques."

Hormis ça c'est mort j'imagine ?

mec ce n'est pas viable comme projet

en face t'a des gens qui ont de l'experience ( en entreprise ) car ils ont leur diplome et qui savent comment bouger entre les maille

et il y a toi ....

c'est pas viable

suis mon conseil

meme si cela risque d'etre difficile la première année

Le 16 janvier 2022 à 20:07:55 OZEN-SENSEI a écrit :
suis mon conseil

meme si cela risque d'etre difficile la première année

Je vais prendre le temps d'y réfléchir et de tracer mon plan sur les 5 ans à venir, merci de me proposer une voie :ok:

Le 16 janvier 2022 à 20:05:58 el-famoso-rino a écrit :
en vrai l'auteur la route est longue un peu :hap:
il va falloir que tu comprennes un peu tout le fonctionnement d'un système informatique :hap:

Les couches OSI c'est un truc
mais en ingé cybersécu, il faut que tu comprennes les protocoles de chaque couche, les types d'attaques qui peuvent avoir eu lieu par niveau et donc par protocole :)

  • il faudra que tu comprennes le chiffrement (a)symétrique, les certificats, les signatures numériques, les PKI, les KMS...
  • que tu saches mettre en place un VPN, configurer un pare-feu (1, 2eme génération), mettre en place des DMZ..
  • Que tu saches mettre en place des NACL, et à quel niveau on les trouve...
  • il faudra que tu saches agir sur le routage et le filtrage à plusieurs niveaux.. en utilisant plusieurs logiciels ou VMs
  • Que tu saches comment intérgrer tout ça dans active directory
  • comment utiliser centos (et sur quoi ça repose)..

et ça, encore, ce n'est qu'une partie de la partie système

Il te restera la partie applicative - applis web (couche 7 principalement)
  • les injections embarquées dans des requêtes http (xml, sql) et la securisation des accès aux APIs
  • les tokens jwt ou autres
  • tls/ssl et les certif
  • les connexions ssh
  • la gestion des secrets
  • la mise en place de WAF...
  • contrer les ddos et autres

une fois que tu auras saisi tout ce bordel et ce que veut dire "une attaque"
il te faudra apprendre les contre-mesures pour chaque classe d'attaque en général et en particulier :hap:

:d) une référence pour y voir un poil plus clair, le top 10 des cyber-threats au niveau des applis web https://owasp.org/www-project-top-ten/

et puis y'a la sécurité non fonctionnelle :hap:
rgpd
sécurité dans le sens pérennité des données
etc

et dans tout ce bordel, je te parle même pas d'automatisation au niveau infra, et au niveau appli :hap:

les pentest c'est ce qui vient à la toute fin
mais t'as 36000 contre-mesures à tous les niveaux d'un système

Bordel khey tu me fais plaisir à schématiser une partie de ce qu'il y a à apprendre !! Ne t'en fais pas je me suis jamais dit qu'en 1-2 ans j'allais avoir des compétences fonctionnelles pour pouvoir travailler :ok:
Mais je tente, comme ça aucun regret et rien que les deux dernières pages à échanger avec les kheys ça m'a appris plusieurs choses https://image.noelshack.com/fichiers/2020/49/3/1606877408-arraaa-miskina-wallah.png

L'op renseigne-toi s'il y a des associations d'informatique près de chez toi. Un ami 0 tout a été bénévole dans une asso qui gérait un FAI. Il a cherché du taf et il a trouvé en poste en cybersecu très bien payé alors qu'il a zéro diplôme (no fake)

Le 16 janvier 2022 à 19:29:26 :
Bonsoir mes kheys https://image.noelshack.com/fichiers/2020/49/3/1606877408-arraaa-miskina-wallah.png

Aujourd'hui j'ai commencé le free course d'INE "Penetrating System" et j'ai légèrement enrichi ma culture générale sur certains "Phreaking" : Kevin Mitnick, Captain Crunch, le manifeste du Hacker du Mentor ainsi que mon vocabulaire vis à vis de la cybersecurity. https://image.noelshack.com/fichiers/2017/39/3/1506524542-ruth-perplexev2.png

J'ai installé Kali sur une machine virtuelle (j'ai galéré https://image.noelshack.com/fichiers/2018/10/1/1520256134-risitasue2.png ) et je suis en train de tester Wireshark pour voir la différence entre un protocole HTTP et HTTPS au niveau des données visibles.

Et pour finir j'ai aussi commencé en parallèle à regarder la vidéo de 9h sur les réseaux et ça part direct sur le modèle OSI. D'ici la fin de la semaine j'espère en avoir fini avec cette ressource https://image.noelshack.com/fichiers/2018/10/1/1520260980-risitas94.png

Si tu arrives à maîtriser wireshark ça m'intéresse, moi ça fait longtemps que je suis dans l'informatique j'ai jamais su faire fonctionner ce truc correctement, par exemple j'arrivai pas à filtrer les requêtes http, je pouvais juste filtrer sur les protocoles de couche plus basse comme tcp ou udp

Le 16 janvier 2022 à 20:12:20 Manager_Excel a écrit :
L'op renseigne-toi s'il y a des associations d'informatique près de chez toi. Un ami 0 tout a été bénévole dans une asso qui gérait un FAI. Il a cherché du taf et il a trouvé en poste en cybersecu très bien payé alors qu'il a zéro diplôme (no fake)

Tiens j'avais jamais pensé aux asso bien vu. Même si j'ai pas de taf ou de compétences particulières je pourrai discuter avec des gens du milieu qui aime (ou non) leur métier c'est 100% gagnant pour l'apprentissage https://image.noelshack.com/fichiers/2020/49/3/1606877408-arraaa-miskina-wallah.png

Le 16 janvier 2022 à 20:13:37 ban156324895 a écrit :

Le 16 janvier 2022 à 19:29:26 :
Bonsoir mes kheys https://image.noelshack.com/fichiers/2020/49/3/1606877408-arraaa-miskina-wallah.png

Aujourd'hui j'ai commencé le free course d'INE "Penetrating System" et j'ai légèrement enrichi ma culture générale sur certains "Phreaking" : Kevin Mitnick, Captain Crunch, le manifeste du Hacker du Mentor ainsi que mon vocabulaire vis à vis de la cybersecurity. https://image.noelshack.com/fichiers/2017/39/3/1506524542-ruth-perplexev2.png

J'ai installé Kali sur une machine virtuelle (j'ai galéré https://image.noelshack.com/fichiers/2018/10/1/1520256134-risitasue2.png ) et je suis en train de tester Wireshark pour voir la différence entre un protocole HTTP et HTTPS au niveau des données visibles.

Et pour finir j'ai aussi commencé en parallèle à regarder la vidéo de 9h sur les réseaux et ça part direct sur le modèle OSI. D'ici la fin de la semaine j'espère en avoir fini avec cette ressource https://image.noelshack.com/fichiers/2018/10/1/1520260980-risitas94.png

Si tu arrives à maîtriser wireshark ça m'intéresse, moi ça fait longtemps que je suis dans l'informatique j'ai jamais su faire fonctionner ce truc correctement, par exemple j'arrivai pas à filtrer les requêtes http, je pouvais juste filtrer sur les protocoles de couche plus basse comme tcp ou udp

Quand je saurai vraiment l'utiliser je viendrai te MP, mais ce sera dans un moment https://image.noelshack.com/fichiers/2020/49/3/1606877408-arraaa-miskina-wallah.png

Le 16 janvier 2022 à 20:08:56 :

Le 16 janvier 2022 à 20:07:55 OZEN-SENSEI a écrit :
suis mon conseil

meme si cela risque d'etre difficile la première année

Je vais prendre le temps d'y réfléchir et de tracer mon plan sur les 5 ans à venir, merci de me proposer une voie :ok:

Je remercie les Dieux que t'ai pris en consideration ce que je t'ai écris . :coeur:

parcontre l'op il y a rien a réflechir sur certaine chose ca va t'améliorer t'a qualité de vie pour le restant de t'a vie c'est année de sacrifice :(

je t'écris ceci en partant du principe que je pense pas que t'ai des diplome appart le bac :(

+ si tu vie en ville

un moyen pour avoir une autre source de revenu ( qui n'est pas imposé ) serais que tu t'inscrive a la A.F.A ( que tu devienne arbitre de foot ) :ok:
ils payent 25 euro le match le dimanche pour les debutant ( ca fait comme meme aumoins 900 euro sur une année ce qui n'est pas négligable ) :ok:
perso c'est un moyen a moi pour me faire des tune facilement :ok:

Le 16 janvier 2022 à 20:13:37 :

Le 16 janvier 2022 à 19:29:26 :
Bonsoir mes kheys https://image.noelshack.com/fichiers/2020/49/3/1606877408-arraaa-miskina-wallah.png

Aujourd'hui j'ai commencé le free course d'INE "Penetrating System" et j'ai légèrement enrichi ma culture générale sur certains "Phreaking" : Kevin Mitnick, Captain Crunch, le manifeste du Hacker du Mentor ainsi que mon vocabulaire vis à vis de la cybersecurity. https://image.noelshack.com/fichiers/2017/39/3/1506524542-ruth-perplexev2.png

J'ai installé Kali sur une machine virtuelle (j'ai galéré https://image.noelshack.com/fichiers/2018/10/1/1520256134-risitasue2.png ) et je suis en train de tester Wireshark pour voir la différence entre un protocole HTTP et HTTPS au niveau des données visibles.

Et pour finir j'ai aussi commencé en parallèle à regarder la vidéo de 9h sur les réseaux et ça part direct sur le modèle OSI. D'ici la fin de la semaine j'espère en avoir fini avec cette ressource https://image.noelshack.com/fichiers/2018/10/1/1520260980-risitas94.png

Si tu arrives à maîtriser wireshark ça m'intéresse, moi ça fait longtemps que je suis dans l'informatique j'ai jamais su faire fonctionner ce truc correctement, par exemple j'arrivai pas à filtrer les requêtes http, je pouvais juste filtrer sur les protocoles de couche plus basse comme tcp ou udp

wireshark = analyse du traffic sur une connexion

tu peux y voir les paquets de données entrants et sortant de la machine qui fait tourner wireshark

tu as les ip source, destination, les protocoles utilisés et le contenu du paquet

c'est rien de ouf

mais ça peut être pratique pour détecter des failles de sécurité au niveau de l'équipement réseau
je sais pas moi au pif, tu n'as pas bien configuré tes switch en mettant un Spanning Tree et tu te retrouves flood avec des quêtes ARP, t'auras l'impression d'avoir perdu la connexion mais wireshark te permet de comprendre avec une petite investigation que non:ok:

Le 16 janvier 2022 à 20:05:58 :
en vrai l'auteur la route est longue un peu :hap:
il va falloir que tu comprennes un peu tout le fonctionnement d'un système informatique :hap:

Les couches OSI c'est un truc
mais en ingé cybersécu, il faut que tu comprennes les protocoles de chaque couche, les types d'attaques qui peuvent avoir eu lieu par niveau et donc par protocole :)

  • il faudra que tu comprennes le chiffrement (a)symétrique, les certificats, les signatures numériques, les PKI, les KMS...
  • que tu saches mettre en place un VPN, configurer un pare-feu (1, 2eme génération), mettre en place des DMZ..
  • Que tu saches mettre en place des NACL, et à quel niveau on les trouve...
  • il faudra que tu saches agir sur le routage et le filtrage à plusieurs niveaux.. en utilisant plusieurs logiciels ou VMs
  • Que tu saches comment intérgrer tout ça dans active directory
  • comment utiliser centos (et sur quoi ça repose)..

et ça, encore, ce n'est qu'une partie de la partie système

Il te restera la partie applicative - applis web (couche 7 principalement)
  • les injections embarquées dans des requêtes http (xml, sql) et la securisation des accès aux APIs
  • les tokens jwt ou autres
  • tls/ssl et les certif
  • les connexions ssh
  • la gestion des secrets
  • la mise en place de WAF...
  • contrer les ddos et autres

une fois que tu auras saisi tout ce bordel et ce que veut dire "une attaque"
il te faudra apprendre les contre-mesures pour chaque classe d'attaque en général et en particulier :hap:

:d) une référence pour y voir un poil plus clair, le top 10 des cyber-threats au niveau des applis web https://owasp.org/www-project-top-ten/

et puis y'a la sécurité non fonctionnelle :hap:
rgpd
sécurité dans le sens pérennité des données
etc

et dans tout ce bordel, je te parle même pas d'automatisation au niveau infra, et au niveau appli :hap:

les pentest c'est ce qui vient à la toute fin
mais t'as 36000 contre-mesures à tous les niveaux d'un système

Toi t'es sur rootme non ? :o))

A aucun moment il a besoin de savoir comment monter un VPN... On parle de sécurité offensive l'idiot du vilage

Tu fais croire que tout est compliqué, comportement typiquement français.

C'est simple :

Base systeme
Base réseau
Base prog

Qu'il sache lire du JS, le fonctionnement d'un serveur web etc

Une fois que t'as fait ça tu fais portswigger into HTB et ensuite tu te lances dans le bug bounty.

Je vais pas débunker ton pavé de frustré qui veut pas que les autres apprennent, mais à quel moment t'as besoin de savoir mettre en place un WAF ?????????????????? xd
Et pourquoi centos en particulier ?
"contrer les ddos" en une requete google tu as ta réponse.

Tu dis de la merde de A à Z c'est un truc de taré, hallucinant. Typiquement français le comportement, j'avais affaire au meme trou du cul quand je connaissais rien et que je voulais faire de la sécurité offensive

BREF l'op si tu veux en faire ton métier, fait BTS + LPRO + MASTER en alternance et ensuite tu passes l'OSCP. A coté tu fais du bug bounty hunting ( une fois que t'as fait ce que je t'ai dit)

Et tu seras bon

Le 16 janvier 2022 à 20:11:59 :

Le 16 janvier 2022 à 20:05:58 el-famoso-rino a écrit :
en vrai l'auteur la route est longue un peu :hap:
il va falloir que tu comprennes un peu tout le fonctionnement d'un système informatique :hap:

Les couches OSI c'est un truc
mais en ingé cybersécu, il faut que tu comprennes les protocoles de chaque couche, les types d'attaques qui peuvent avoir eu lieu par niveau et donc par protocole :)

  • il faudra que tu comprennes le chiffrement (a)symétrique, les certificats, les signatures numériques, les PKI, les KMS...
  • que tu saches mettre en place un VPN, configurer un pare-feu (1, 2eme génération), mettre en place des DMZ..
  • Que tu saches mettre en place des NACL, et à quel niveau on les trouve...
  • il faudra que tu saches agir sur le routage et le filtrage à plusieurs niveaux.. en utilisant plusieurs logiciels ou VMs
  • Que tu saches comment intérgrer tout ça dans active directory
  • comment utiliser centos (et sur quoi ça repose)..

et ça, encore, ce n'est qu'une partie de la partie système

Il te restera la partie applicative - applis web (couche 7 principalement)
  • les injections embarquées dans des requêtes http (xml, sql) et la securisation des accès aux APIs
  • les tokens jwt ou autres
  • tls/ssl et les certif
  • les connexions ssh
  • la gestion des secrets
  • la mise en place de WAF...
  • contrer les ddos et autres

une fois que tu auras saisi tout ce bordel et ce que veut dire "une attaque"
il te faudra apprendre les contre-mesures pour chaque classe d'attaque en général et en particulier :hap:

:d) une référence pour y voir un poil plus clair, le top 10 des cyber-threats au niveau des applis web https://owasp.org/www-project-top-ten/

et puis y'a la sécurité non fonctionnelle :hap:
rgpd
sécurité dans le sens pérennité des données
etc

et dans tout ce bordel, je te parle même pas d'automatisation au niveau infra, et au niveau appli :hap:

les pentest c'est ce qui vient à la toute fin
mais t'as 36000 contre-mesures à tous les niveaux d'un système

Bordel khey tu me fais plaisir à schématiser une partie de ce qu'il y a à apprendre !! Ne t'en fais pas je me suis jamais dit qu'en 1-2 ans j'allais avoir des compétences fonctionnelles pour pouvoir travailler :ok:
Mais je tente, comme ça aucun regret et rien que les deux dernières pages à échanger avec les kheys ça m'a appris plusieurs choses https://image.noelshack.com/fichiers/2020/49/3/1606877408-arraaa-miskina-wallah.png

courage à toi crayon

prends ton temps pour avancer tranquillou
go udemy :ok:

courage clé n'écoute pas les losers sur ce forum y a que ça

j'ai appris de zéro et je suis mtnt dev freelance, proprio et expat

par contre je te recommand de faire une école à côté quand même, malheureusement en France cest important

mais ne te repose pas là dessus pour être bon, fais des projets à côté

Le 16 janvier 2022 à 20:16:37 :

Le 16 janvier 2022 à 20:13:37 :

Le 16 janvier 2022 à 19:29:26 :
Bonsoir mes kheys https://image.noelshack.com/fichiers/2020/49/3/1606877408-arraaa-miskina-wallah.png

Aujourd'hui j'ai commencé le free course d'INE "Penetrating System" et j'ai légèrement enrichi ma culture générale sur certains "Phreaking" : Kevin Mitnick, Captain Crunch, le manifeste du Hacker du Mentor ainsi que mon vocabulaire vis à vis de la cybersecurity. https://image.noelshack.com/fichiers/2017/39/3/1506524542-ruth-perplexev2.png

J'ai installé Kali sur une machine virtuelle (j'ai galéré https://image.noelshack.com/fichiers/2018/10/1/1520256134-risitasue2.png ) et je suis en train de tester Wireshark pour voir la différence entre un protocole HTTP et HTTPS au niveau des données visibles.

Et pour finir j'ai aussi commencé en parallèle à regarder la vidéo de 9h sur les réseaux et ça part direct sur le modèle OSI. D'ici la fin de la semaine j'espère en avoir fini avec cette ressource https://image.noelshack.com/fichiers/2018/10/1/1520260980-risitas94.png

Si tu arrives à maîtriser wireshark ça m'intéresse, moi ça fait longtemps que je suis dans l'informatique j'ai jamais su faire fonctionner ce truc correctement, par exemple j'arrivai pas à filtrer les requêtes http, je pouvais juste filtrer sur les protocoles de couche plus basse comme tcp ou udp

wireshark = analyse du traffic sur une connexion

tu peux y voir les paquets de données entrants et sortant de la machine qui fait tourner wireshark

tu as les ip source, destination, les protocoles utilisés et le contenu du paquet

c'est rien de ouf

mais ça peut être pratique pour détecter des failles de sécurité au niveau de l'équipement réseau
je sais pas moi au pif, tu n'as pas bien configuré tes switch en mettant un Spanning Tree et tu te retrouves flood avec des quêtes ARP, t'auras l'impression d'avoir perdu la connexion mais wireshark te permet de comprendre avec une petite investigation que non:ok:

Merci khey mais du coup justement vu que ça permet de voir les protocoles utilisés sur les différentes couches à une époque je voulais filtrer sur le protocole http et je me souviens que même en cherchant sur internet j'avais jamais trouvé

J'utilisais la version graphique sur Windows

T'as une excellente mentalité l'auteur, soutiens

Le 16 janvier 2022 à 20:17:48 :

Le 16 janvier 2022 à 20:05:58 :
en vrai l'auteur la route est longue un peu :hap:
il va falloir que tu comprennes un peu tout le fonctionnement d'un système informatique :hap:

Les couches OSI c'est un truc
mais en ingé cybersécu, il faut que tu comprennes les protocoles de chaque couche, les types d'attaques qui peuvent avoir eu lieu par niveau et donc par protocole :)

  • il faudra que tu comprennes le chiffrement (a)symétrique, les certificats, les signatures numériques, les PKI, les KMS...
  • que tu saches mettre en place un VPN, configurer un pare-feu (1, 2eme génération), mettre en place des DMZ..
  • Que tu saches mettre en place des NACL, et à quel niveau on les trouve...
  • il faudra que tu saches agir sur le routage et le filtrage à plusieurs niveaux.. en utilisant plusieurs logiciels ou VMs
  • Que tu saches comment intérgrer tout ça dans active directory
  • comment utiliser centos (et sur quoi ça repose)..

et ça, encore, ce n'est qu'une partie de la partie système

Il te restera la partie applicative - applis web (couche 7 principalement)
  • les injections embarquées dans des requêtes http (xml, sql) et la securisation des accès aux APIs
  • les tokens jwt ou autres
  • tls/ssl et les certif
  • les connexions ssh
  • la gestion des secrets
  • la mise en place de WAF...
  • contrer les ddos et autres

une fois que tu auras saisi tout ce bordel et ce que veut dire "une attaque"
il te faudra apprendre les contre-mesures pour chaque classe d'attaque en général et en particulier :hap:

:d) une référence pour y voir un poil plus clair, le top 10 des cyber-threats au niveau des applis web https://owasp.org/www-project-top-ten/

et puis y'a la sécurité non fonctionnelle :hap:
rgpd
sécurité dans le sens pérennité des données
etc

et dans tout ce bordel, je te parle même pas d'automatisation au niveau infra, et au niveau appli :hap:

les pentest c'est ce qui vient à la toute fin
mais t'as 36000 contre-mesures à tous les niveaux d'un système

Toi t'es sur rootme non ? :o))

A aucun moment il a besoin de savoir comment monter un VPN... On parle de sécurité offensive l'idiot du vilage

Tu fais croire que tout est compliqué, comportement typiquement français.

C'est simple :

Base systeme
Base réseau
Base prog

Qu'il sache lire du JS, le fonctionnement d'un serveur web etc

Une fois que t'as fait ça tu fais portswigger into HTB et ensuite tu te lances dans le bug bounty.

Je vais pas débunker ton pavé de frustré qui veut pas que les autres apprennent, mais à quel moment t'as besoin de savoir mettre en place un WAF ?????????????????? xd
Et pourquoi centos en particulier ?
"contrer les ddos" en une requete google tu as ta réponse.

Tu dis de la merde de A à Z c'est un truc de taré, hallucinant. Typiquement français le comportement, j'avais affaire au meme trou du cul quand je connaissais rien et que je voulais faire de la sécurité offensive

BREF l'op si tu veux en faire ton métier, fait BTS + LPRO + MASTER en alternance et ensuite tu passes l'OSCP. A coté tu fais du bug bounty hunting ( une fois que t'as fait ce que je t'ai dit)

Et tu seras bon

calmos khey respire, fait toi couler une camomille :rire:

cybersécu où sens où toi tu l'entends = boulot de merde de matrixé sans aucun challenge = plafond de verre très rapide = tu te fais chier à te tirer une balle :hap:

je suis pas sur rootme
j'ai commencé software engineer
puis cloud / devops
et maintenant je suis architecte cloud / devsecops

un consultant en cybersécu maitrise toute la stack ahurin
si tu veux amasser masse thune, tu prends du recul

si tu veux t'amuser à fermer des ports et blacklister des ip... ce n'est qu'une infime partie de la cybersécu

+ je n'essaie pas de décourager l'auteur
j'essaie au contraire de l'encourager à étudier toute la stack s'il le peut :)
ça lui ouvrira BEAUCOUP BEAUCOUP plus d'opportunités et SURTOUT DES PERSPECTIVES d'EVOLUTION :)

et PAZ sur toi :ok:

Le 16 janvier 2022 à 20:05:58 :
en vrai l'auteur la route est longue un peu :hap:
il va falloir que tu comprennes un peu tout le fonctionnement d'un système informatique :hap:

Les couches OSI c'est un truc
mais en ingé cybersécu, il faut que tu comprennes les protocoles de chaque couche, les types d'attaques qui peuvent avoir eu lieu par niveau et donc par protocole :)

  • il faudra que tu comprennes le chiffrement (a)symétrique, les certificats, les signatures numériques, les PKI, les KMS...
  • que tu saches mettre en place un VPN, configurer un pare-feu (1, 2eme génération), mettre en place des DMZ..
  • Que tu saches mettre en place des NACL, et à quel niveau on les trouve...
  • il faudra que tu saches agir sur le routage et le filtrage à plusieurs niveaux.. en utilisant plusieurs logiciels ou VMs
  • Que tu saches comment intérgrer tout ça dans active directory
  • comment utiliser centos (et sur quoi ça repose)..

et ça, encore, ce n'est qu'une partie de la partie système

Il te restera la partie applicative - applis web (couche 7 principalement)
  • les injections embarquées dans des requêtes http (xml, sql) et la securisation des accès aux APIs
  • les tokens jwt ou autres
  • tls/ssl et les certif
  • les connexions ssh
  • la gestion des secrets
  • la mise en place de WAF...
  • contrer les ddos et autres

une fois que tu auras saisi tout ce bordel et ce que veut dire "une attaque"
il te faudra apprendre les contre-mesures pour chaque classe d'attaque en général et en particulier :hap:

:d) une référence pour y voir un poil plus clair, le top 10 des cyber-threats au niveau des applis web https://owasp.org/www-project-top-ten/

et puis y'a la sécurité non fonctionnelle :hap:
rgpd
sécurité dans le sens pérennité des données
etc

et dans tout ce bordel, je te parle même pas d'automatisation au niveau infra, et au niveau appli :hap:

les pentest c'est ce qui vient à la toute fin
mais t'as 36000 contre-mesures à tous les niveaux d'un système

"le pentest vient à la toute fin"

non ? Je connais pleins de gens qui ont commencé directement en pentester en France. à l'étranger tu as juste l'oscp sans diplome on te prend en pentest junior. Au bout de 6 mois d'xp toutes les entreprises te suces la bite

Données du topic

Auteur
AbyssalGrowth
Date de création
15 janvier 2022 à 19:22:21
Nb. messages archivés
105
Nb. messages JVC
105
En ligne sur JvArchive 116