[Journal] From déchet 0 ALL to MONSTRE en CYBERSECURITE

Le 16 janvier 2022 à 20:20:31 :

Le 16 janvier 2022 à 20:16:37 :

Le 16 janvier 2022 à 20:13:37 :

Le 16 janvier 2022 à 19:29:26 :
Bonsoir mes kheys

Aujourd'hui j'ai commencé le free course d'INE "Penetrating System" et j'ai légèrement enrichi ma culture générale sur certains "Phreaking" : Kevin Mitnick, Captain Crunch, le manifeste du Hacker du Mentor ainsi que mon vocabulaire vis à vis de la cybersecurity.

J'ai installé Kali sur une machine virtuelle (j'ai galéré ) et je suis en train de tester Wireshark pour voir la différence entre un protocole HTTP et HTTPS au niveau des données visibles.

Et pour finir j'ai aussi commencé en parallèle à regarder la vidéo de 9h sur les réseaux et ça part direct sur le modèle OSI. D'ici la fin de la semaine j'espère en avoir fini avec cette ressource

Si tu arrives à maîtriser wireshark ça m'intéresse, moi ça fait longtemps que je suis dans l'informatique j'ai jamais su faire fonctionner ce truc correctement, par exemple j'arrivai pas à filtrer les requêtes http, je pouvais juste filtrer sur les protocoles de couche plus basse comme tcp ou udp

wireshark = analyse du traffic sur une connexion

tu peux y voir les paquets de données entrants et sortant de la machine qui fait tourner wireshark

tu as les ip source, destination, les protocoles utilisés et le contenu du paquet

c'est rien de ouf

mais ça peut être pratique pour détecter des failles de sécurité au niveau de l'équipement réseau
je sais pas moi au pif, tu n'as pas bien configuré tes switch en mettant un Spanning Tree et tu te retrouves flood avec des quêtes ARP, t'auras l'impression d'avoir perdu la connexion mais wireshark te permet de comprendre avec une petite investigation que non

Merci khey mais du coup justement vu que ça permet de voir les protocoles utilisés sur les différentes couches à une époque je voulais filtrer sur le protocole http et je me souviens que même en cherchant sur internet j'avais jamais trouvé

J'utilisais la version graphique sur Windows

voilà pour toi crayon https://ask.wireshark.org/question/12916/how-to-filter-to-view-only-http-requests/

Le 16 janvier 2022 à 20:23:53 :

Le 16 janvier 2022 à 20:17:48 :

Le 16 janvier 2022 à 20:05:58 :
en vrai l'auteur la route est longue un peu
il va falloir que tu comprennes un peu tout le fonctionnement d'un système informatique

Les couches OSI c'est un truc
mais en ingé cybersécu, il faut que tu comprennes les protocoles de chaque couche, les types d'attaques qui peuvent avoir eu lieu par niveau et donc par protocole

• il faudra que tu comprennes le chiffrement (a)symétrique, les certificats, les signatures numériques, les PKI, les KMS...
• que tu saches mettre en place un VPN, configurer un pare-feu (1, 2eme génération), mettre en place des DMZ..
• Que tu saches mettre en place des NACL, et à quel niveau on les trouve...
• il faudra que tu saches agir sur le routage et le filtrage à plusieurs niveaux.. en utilisant plusieurs logiciels ou VMs
• Que tu saches comment intérgrer tout ça dans active directory
• comment utiliser centos (et sur quoi ça repose)..

et ça, encore, ce n'est qu'une partie de la partie système

Il te restera la partie applicative - applis web (couche 7 principalement)

• les injections embarquées dans des requêtes http (xml, sql) et la securisation des accès aux APIs
• les tokens jwt ou autres
• tls/ssl et les certif
• les connexions ssh
• la gestion des secrets
• la mise en place de WAF...
• contrer les ddos et autres

une fois que tu auras saisi tout ce bordel et ce que veut dire "une attaque"
il te faudra apprendre les contre-mesures pour chaque classe d'attaque en général et en particulier

une référence pour y voir un poil plus clair, le top 10 des cyber-threats au niveau des applis web https://owasp.org/www-project-top-ten/

et puis y'a la sécurité non fonctionnelle
rgpd
sécurité dans le sens pérennité des données
etc

et dans tout ce bordel, je te parle même pas d'automatisation au niveau infra, et au niveau appli

les pentest c'est ce qui vient à la toute fin
mais t'as 36000 contre-mesures à tous les niveaux d'un système

Toi t'es sur rootme non ?

A aucun moment il a besoin de savoir comment monter un VPN... On parle de sécurité offensive l'idiot du vilage

Tu fais croire que tout est compliqué, comportement typiquement français.

C'est simple :

Base systeme
Base réseau
Base prog

Qu'il sache lire du JS, le fonctionnement d'un serveur web etc

Une fois que t'as fait ça tu fais portswigger into HTB et ensuite tu te lances dans le bug bounty.

Je vais pas débunker ton pavé de frustré qui veut pas que les autres apprennent, mais à quel moment t'as besoin de savoir mettre en place un WAF ?????????????????? xd
Et pourquoi centos en particulier ?
"contrer les ddos" en une requete google tu as ta réponse.

Tu dis de la merde de A à Z c'est un truc de taré, hallucinant. Typiquement français le comportement, j'avais affaire au meme trou du cul quand je connaissais rien et que je voulais faire de la sécurité offensive

BREF l'op si tu veux en faire ton métier, fait BTS + LPRO + MASTER en alternance et ensuite tu passes l'OSCP. A coté tu fais du bug bounty hunting ( une fois que t'as fait ce que je t'ai dit)

Et tu seras bon

calmos khey respire, fait toi couler une camomille

cybersécu où sens où toi tu l'entends = boulot de merde de matrixé sans aucun challenge = plafond de verre très rapide = tu te fais chier à te tirer une balle

je suis pas sur rootme
j'ai commencé software engineer
puis cloud / devops
et maintenant je suis architecte cloud / devsecops

un consultant en cybersécu maitrise toute la stack ahurin
si tu veux amasser masse thune, tu prends du recul

si tu veux t'amuser à fermer des ports et blacklister des ip... ce n'est qu'une infime partie de la cybersécu

+ je n'essaie pas de décourager l'auteur
j'essaie au contraire de l'encourager à étudier toute la stack s'il le peut
ça lui ouvrira BEAUCOUP BEAUCOUP plus d'opportunités et SURTOUT DES PERSPECTIVES d'EVOLUTION

et PAZ sur toi

"devops"

Je parle de sécu offensive l'ahuri

Et si t'as moins de 1000 réputations sur hackerone me parle meme pas de sécurité informatique

Le 16 janvier 2022 à 20:26:00 :

Le 16 janvier 2022 à 20:20:31 :

Le 16 janvier 2022 à 20:16:37 :

Le 16 janvier 2022 à 20:13:37 :

Le 16 janvier 2022 à 19:29:26 :
Bonsoir mes kheys

Aujourd'hui j'ai commencé le free course d'INE "Penetrating System" et j'ai légèrement enrichi ma culture générale sur certains "Phreaking" : Kevin Mitnick, Captain Crunch, le manifeste du Hacker du Mentor ainsi que mon vocabulaire vis à vis de la cybersecurity.

J'ai installé Kali sur une machine virtuelle (j'ai galéré ) et je suis en train de tester Wireshark pour voir la différence entre un protocole HTTP et HTTPS au niveau des données visibles.

Et pour finir j'ai aussi commencé en parallèle à regarder la vidéo de 9h sur les réseaux et ça part direct sur le modèle OSI. D'ici la fin de la semaine j'espère en avoir fini avec cette ressource

Si tu arrives à maîtriser wireshark ça m'intéresse, moi ça fait longtemps que je suis dans l'informatique j'ai jamais su faire fonctionner ce truc correctement, par exemple j'arrivai pas à filtrer les requêtes http, je pouvais juste filtrer sur les protocoles de couche plus basse comme tcp ou udp

wireshark = analyse du traffic sur une connexion

tu peux y voir les paquets de données entrants et sortant de la machine qui fait tourner wireshark

tu as les ip source, destination, les protocoles utilisés et le contenu du paquet

c'est rien de ouf

mais ça peut être pratique pour détecter des failles de sécurité au niveau de l'équipement réseau
je sais pas moi au pif, tu n'as pas bien configuré tes switch en mettant un Spanning Tree et tu te retrouves flood avec des quêtes ARP, t'auras l'impression d'avoir perdu la connexion mais wireshark te permet de comprendre avec une petite investigation que non

Merci khey mais du coup justement vu que ça permet de voir les protocoles utilisés sur les différentes couches à une époque je voulais filtrer sur le protocole http et je me souviens que même en cherchant sur internet j'avais jamais trouvé

J'utilisais la version graphique sur Windows

voilà pour toi crayon https://ask.wireshark.org/question/12916/how-to-filter-to-view-only-http-requests/

Oui je me souviens avoir essayé de mettre directement http dans la barre de recherche pour filtrer, ça fonctionnait pour les protocoles de couche transport mais pas pour les couches hautes

De toute façon il faudra que je m'y mette plus sérieusement j'aime bien l'idée de pouvoir voir en profondeur ce qui passe sur le réseau

Je vais pas citer tout le monde car c'est trop volumineux pour rien mais je prends en compte tous vos messages et merci pour ceux qui apportent du soutien

En vrai ouais ça a l'air d'être un consensus qu'il est vital d'aller viser le Master donc je vais partir sur ça l'année prochaine.

Je retourne me former, je reviens demain 20h comme d'hab', passez une bonne soirée les kheys

Le 16 janvier 2022 à 20:24:43 :

Le 16 janvier 2022 à 20:05:58 :
en vrai l'auteur la route est longue un peu
il va falloir que tu comprennes un peu tout le fonctionnement d'un système informatique

Les couches OSI c'est un truc
mais en ingé cybersécu, il faut que tu comprennes les protocoles de chaque couche, les types d'attaques qui peuvent avoir eu lieu par niveau et donc par protocole

• il faudra que tu comprennes le chiffrement (a)symétrique, les certificats, les signatures numériques, les PKI, les KMS...
• que tu saches mettre en place un VPN, configurer un pare-feu (1, 2eme génération), mettre en place des DMZ..
• Que tu saches mettre en place des NACL, et à quel niveau on les trouve...
• il faudra que tu saches agir sur le routage et le filtrage à plusieurs niveaux.. en utilisant plusieurs logiciels ou VMs
• Que tu saches comment intérgrer tout ça dans active directory
• comment utiliser centos (et sur quoi ça repose)..

et ça, encore, ce n'est qu'une partie de la partie système

Il te restera la partie applicative - applis web (couche 7 principalement)

• les injections embarquées dans des requêtes http (xml, sql) et la securisation des accès aux APIs
• les tokens jwt ou autres
• tls/ssl et les certif
• les connexions ssh
• la gestion des secrets
• la mise en place de WAF...
• contrer les ddos et autres

une fois que tu auras saisi tout ce bordel et ce que veut dire "une attaque"
il te faudra apprendre les contre-mesures pour chaque classe d'attaque en général et en particulier

une référence pour y voir un poil plus clair, le top 10 des cyber-threats au niveau des applis web https://owasp.org/www-project-top-ten/

et puis y'a la sécurité non fonctionnelle
rgpd
sécurité dans le sens pérennité des données
etc

et dans tout ce bordel, je te parle même pas d'automatisation au niveau infra, et au niveau appli

les pentest c'est ce qui vient à la toute fin
mais t'as 36000 contre-mesures à tous les niveaux d'un système

"le pentest vient à la toute fin"

non ? Je connais pleins de gens qui ont commencé directement en pentester en France. à l'étranger tu as juste l'oscp sans diplome on te prend en pentest junior. Au bout de 6 mois d'xp toutes les entreprises te suces la bite

oui tu as raison
je ne veux pas dire "en fin de carrière"

mais dans ce sens "pour diagnostiquer / sécuriser un système, les pentest, c'est ce qui vient plutôt à la fin"

une requête pour être traitée atterrit en infra, dans l'environnement de prod à destination du serveur qui héberge le service qu'elle sollicite
dans son épopée, elle rencontrera moult étapes avant d'arriver à sa destination
et parmi ces étapes, certaines permettront de la jarreter

j'ai une vision un peu bottom-up et top-down sur le sujet clé...
avec les années, cybersécu c'est devenu très très vaste et ne se limite pas au réseau/système

Le 16 janvier 2022 à 20:31:23 :
Je vais pas citer tout le monde car c'est trop volumineux pour rien mais je prends en compte tous vos messages et merci pour ceux qui apportent du soutien

En vrai ouais ça a l'air d'être un consensus qu'il est vital d'aller viser le Master donc je vais partir sur ça l'année prochaine.

Je retourne me former, je reviens demain 20h comme d'hab', passez une bonne soirée les kheys

Bon courage khey

Le 16 janvier 2022 à 20:31:42 :

Le 16 janvier 2022 à 20:24:43 :

Le 16 janvier 2022 à 20:05:58 :
en vrai l'auteur la route est longue un peu
il va falloir que tu comprennes un peu tout le fonctionnement d'un système informatique

Les couches OSI c'est un truc
mais en ingé cybersécu, il faut que tu comprennes les protocoles de chaque couche, les types d'attaques qui peuvent avoir eu lieu par niveau et donc par protocole

• il faudra que tu comprennes le chiffrement (a)symétrique, les certificats, les signatures numériques, les PKI, les KMS...
• que tu saches mettre en place un VPN, configurer un pare-feu (1, 2eme génération), mettre en place des DMZ..
• Que tu saches mettre en place des NACL, et à quel niveau on les trouve...
• il faudra que tu saches agir sur le routage et le filtrage à plusieurs niveaux.. en utilisant plusieurs logiciels ou VMs
• Que tu saches comment intérgrer tout ça dans active directory
• comment utiliser centos (et sur quoi ça repose)..

et ça, encore, ce n'est qu'une partie de la partie système

Il te restera la partie applicative - applis web (couche 7 principalement)

• les injections embarquées dans des requêtes http (xml, sql) et la securisation des accès aux APIs
• les tokens jwt ou autres
• tls/ssl et les certif
• les connexions ssh
• la gestion des secrets
• la mise en place de WAF...
• contrer les ddos et autres

une fois que tu auras saisi tout ce bordel et ce que veut dire "une attaque"
il te faudra apprendre les contre-mesures pour chaque classe d'attaque en général et en particulier

une référence pour y voir un poil plus clair, le top 10 des cyber-threats au niveau des applis web https://owasp.org/www-project-top-ten/

et puis y'a la sécurité non fonctionnelle
rgpd
sécurité dans le sens pérennité des données
etc

et dans tout ce bordel, je te parle même pas d'automatisation au niveau infra, et au niveau appli

les pentest c'est ce qui vient à la toute fin
mais t'as 36000 contre-mesures à tous les niveaux d'un système

"le pentest vient à la toute fin"

non ? Je connais pleins de gens qui ont commencé directement en pentester en France. à l'étranger tu as juste l'oscp sans diplome on te prend en pentest junior. Au bout de 6 mois d'xp toutes les entreprises te suces la bite

oui tu as raison
je ne veux pas dire "en fin de carrière"

mais dans ce sens "pour diagnostiquer / sécuriser un système, les pentest, c'est ce qui vient plutôt à la fin"

une requête pour être traitée atterrit en infra, dans l'environnement de prod à destination du serveur qui héberge le service qu'elle sollicite
dans son épopée, elle rencontrera moult étapes avant d'arriver à sa destination
et parmi ces étapes, certaines permettront de la jarreter

j'ai une vision un peu bottom-up et top-down sur le sujet clé...
avec les années, cybersécu c'est devenu très très vaste et ne se limite pas au réseau/système

Tout ça pour se retrouver avec une RCE parce que t'as un service qui tourne log4j

Quand je vois certaines failles que je trouve sur certaines entreprises coté en bourse, je peux pas m'empecher de te voir comme un vendeur de tapis désolé

ce que je veux dire c'est que c'est pas ton WAF / firewall qui va protéger quoi que ce soit, si l'app est vulnérable tout ce que tu as mis à coté ne sert à rien

Le 16 janvier 2022 à 20:27:02 :

Le 16 janvier 2022 à 20:23:53 :

Le 16 janvier 2022 à 20:17:48 :

Le 16 janvier 2022 à 20:05:58 :
en vrai l'auteur la route est longue un peu
il va falloir que tu comprennes un peu tout le fonctionnement d'un système informatique

Les couches OSI c'est un truc
mais en ingé cybersécu, il faut que tu comprennes les protocoles de chaque couche, les types d'attaques qui peuvent avoir eu lieu par niveau et donc par protocole

• il faudra que tu comprennes le chiffrement (a)symétrique, les certificats, les signatures numériques, les PKI, les KMS...
• que tu saches mettre en place un VPN, configurer un pare-feu (1, 2eme génération), mettre en place des DMZ..
• Que tu saches mettre en place des NACL, et à quel niveau on les trouve...
• il faudra que tu saches agir sur le routage et le filtrage à plusieurs niveaux.. en utilisant plusieurs logiciels ou VMs
• Que tu saches comment intérgrer tout ça dans active directory
• comment utiliser centos (et sur quoi ça repose)..

et ça, encore, ce n'est qu'une partie de la partie système

Il te restera la partie applicative - applis web (couche 7 principalement)

• les injections embarquées dans des requêtes http (xml, sql) et la securisation des accès aux APIs
• les tokens jwt ou autres
• tls/ssl et les certif
• les connexions ssh
• la gestion des secrets
• la mise en place de WAF...
• contrer les ddos et autres

une fois que tu auras saisi tout ce bordel et ce que veut dire "une attaque"
il te faudra apprendre les contre-mesures pour chaque classe d'attaque en général et en particulier

une référence pour y voir un poil plus clair, le top 10 des cyber-threats au niveau des applis web https://owasp.org/www-project-top-ten/

et puis y'a la sécurité non fonctionnelle
rgpd
sécurité dans le sens pérennité des données
etc

et dans tout ce bordel, je te parle même pas d'automatisation au niveau infra, et au niveau appli

les pentest c'est ce qui vient à la toute fin
mais t'as 36000 contre-mesures à tous les niveaux d'un système

Toi t'es sur rootme non ?

A aucun moment il a besoin de savoir comment monter un VPN... On parle de sécurité offensive l'idiot du vilage

Tu fais croire que tout est compliqué, comportement typiquement français.

C'est simple :

Base systeme
Base réseau
Base prog

Qu'il sache lire du JS, le fonctionnement d'un serveur web etc

Une fois que t'as fait ça tu fais portswigger into HTB et ensuite tu te lances dans le bug bounty.

Je vais pas débunker ton pavé de frustré qui veut pas que les autres apprennent, mais à quel moment t'as besoin de savoir mettre en place un WAF ?????????????????? xd
Et pourquoi centos en particulier ?
"contrer les ddos" en une requete google tu as ta réponse.

Tu dis de la merde de A à Z c'est un truc de taré, hallucinant. Typiquement français le comportement, j'avais affaire au meme trou du cul quand je connaissais rien et que je voulais faire de la sécurité offensive

BREF l'op si tu veux en faire ton métier, fait BTS + LPRO + MASTER en alternance et ensuite tu passes l'OSCP. A coté tu fais du bug bounty hunting ( une fois que t'as fait ce que je t'ai dit)

Et tu seras bon

calmos khey respire, fait toi couler une camomille

cybersécu où sens où toi tu l'entends = boulot de merde de matrixé sans aucun challenge = plafond de verre très rapide = tu te fais chier à te tirer une balle

je suis pas sur rootme
j'ai commencé software engineer
puis cloud / devops
et maintenant je suis architecte cloud / devsecops

un consultant en cybersécu maitrise toute la stack ahurin
si tu veux amasser masse thune, tu prends du recul

si tu veux t'amuser à fermer des ports et blacklister des ip... ce n'est qu'une infime partie de la cybersécu

+ je n'essaie pas de décourager l'auteur
j'essaie au contraire de l'encourager à étudier toute la stack s'il le peut
ça lui ouvrira BEAUCOUP BEAUCOUP plus d'opportunités et SURTOUT DES PERSPECTIVES d'EVOLUTION

et PAZ sur toi

"devops"

Je parle de sécu offensive l'ahuri, j'ai jamais parler de blue team ( ton shitjob)

Et si t'as moins de 1000 réputations sur hackerone me parle meme pas de sécurité informatique en fait.

+

Rien qu'en bug bounty j'ai fait 4500€ sur les 3 derniers mois + boulot de pentester je pense que je gagne plus que toi

t'as aucune idée de combien je gagne avortin
bref, je sais pas pourquoi tu transpires et réagis émotionnellement à mes messages

l'auteur lui a apprécié
je t'invite à relire sa toute première phrase du topax

tant mieux pour toi crayon si t'es heureux
je te dis juste que j'aspire à bcp plus que ce que tu dis
et c'est pas en faisant du pentest que j'y arriverai

ps : va jeter un coup d'oeil sur combien est payé un senio solutions architect

PAZ sur toi nonobstant en dépit de ent's

Le 16 janvier 2022 à 20:37:17 :

Le 16 janvier 2022 à 20:27:02 :

Le 16 janvier 2022 à 20:23:53 :

Le 16 janvier 2022 à 20:17:48 :

Le 16 janvier 2022 à 20:05:58 :
en vrai l'auteur la route est longue un peu
il va falloir que tu comprennes un peu tout le fonctionnement d'un système informatique

Les couches OSI c'est un truc
mais en ingé cybersécu, il faut que tu comprennes les protocoles de chaque couche, les types d'attaques qui peuvent avoir eu lieu par niveau et donc par protocole

• il faudra que tu comprennes le chiffrement (a)symétrique, les certificats, les signatures numériques, les PKI, les KMS...
• que tu saches mettre en place un VPN, configurer un pare-feu (1, 2eme génération), mettre en place des DMZ..
• Que tu saches mettre en place des NACL, et à quel niveau on les trouve...
• il faudra que tu saches agir sur le routage et le filtrage à plusieurs niveaux.. en utilisant plusieurs logiciels ou VMs
• Que tu saches comment intérgrer tout ça dans active directory
• comment utiliser centos (et sur quoi ça repose)..

et ça, encore, ce n'est qu'une partie de la partie système

Il te restera la partie applicative - applis web (couche 7 principalement)

• les injections embarquées dans des requêtes http (xml, sql) et la securisation des accès aux APIs
• les tokens jwt ou autres
• tls/ssl et les certif
• les connexions ssh
• la gestion des secrets
• la mise en place de WAF...
• contrer les ddos et autres

une fois que tu auras saisi tout ce bordel et ce que veut dire "une attaque"
il te faudra apprendre les contre-mesures pour chaque classe d'attaque en général et en particulier

une référence pour y voir un poil plus clair, le top 10 des cyber-threats au niveau des applis web https://owasp.org/www-project-top-ten/

et puis y'a la sécurité non fonctionnelle
rgpd
sécurité dans le sens pérennité des données
etc

et dans tout ce bordel, je te parle même pas d'automatisation au niveau infra, et au niveau appli

les pentest c'est ce qui vient à la toute fin
mais t'as 36000 contre-mesures à tous les niveaux d'un système

Toi t'es sur rootme non ?

A aucun moment il a besoin de savoir comment monter un VPN... On parle de sécurité offensive l'idiot du vilage

Tu fais croire que tout est compliqué, comportement typiquement français.

C'est simple :

Base systeme
Base réseau
Base prog

Qu'il sache lire du JS, le fonctionnement d'un serveur web etc

Une fois que t'as fait ça tu fais portswigger into HTB et ensuite tu te lances dans le bug bounty.

Je vais pas débunker ton pavé de frustré qui veut pas que les autres apprennent, mais à quel moment t'as besoin de savoir mettre en place un WAF ?????????????????? xd
Et pourquoi centos en particulier ?
"contrer les ddos" en une requete google tu as ta réponse.

Tu dis de la merde de A à Z c'est un truc de taré, hallucinant. Typiquement français le comportement, j'avais affaire au meme trou du cul quand je connaissais rien et que je voulais faire de la sécurité offensive

BREF l'op si tu veux en faire ton métier, fait BTS + LPRO + MASTER en alternance et ensuite tu passes l'OSCP. A coté tu fais du bug bounty hunting ( une fois que t'as fait ce que je t'ai dit)

Et tu seras bon

calmos khey respire, fait toi couler une camomille

cybersécu où sens où toi tu l'entends = boulot de merde de matrixé sans aucun challenge = plafond de verre très rapide = tu te fais chier à te tirer une balle

je suis pas sur rootme
j'ai commencé software engineer
puis cloud / devops
et maintenant je suis architecte cloud / devsecops

un consultant en cybersécu maitrise toute la stack ahurin
si tu veux amasser masse thune, tu prends du recul

si tu veux t'amuser à fermer des ports et blacklister des ip... ce n'est qu'une infime partie de la cybersécu

+ je n'essaie pas de décourager l'auteur
j'essaie au contraire de l'encourager à étudier toute la stack s'il le peut
ça lui ouvrira BEAUCOUP BEAUCOUP plus d'opportunités et SURTOUT DES PERSPECTIVES d'EVOLUTION

et PAZ sur toi

"devops"

Je parle de sécu offensive l'ahuri, j'ai jamais parler de blue team ( ton shitjob)

Et si t'as moins de 1000 réputations sur hackerone me parle meme pas de sécurité informatique en fait.

+

Rien qu'en bug bounty j'ai fait 4500€ sur les 3 derniers mois + boulot de pentester je pense que je gagne plus que toi

t'as aucune idée de combien je gagne avortin
bref, je sais pas pourquoi tu transpires et réagis émotionnellement à mes messages

l'auteur lui a apprécié
je t'invite à relire sa toute première phrase du topax

tant mieux pour toi crayon si t'es heureux
je te dis juste que j'aspire à bcp plus que ce que tu dis
et c'est pas en faisant du pentest que j'y arriverai

ps : va jeter un coup d'oeil sur combien est payé un senio solutions architect

PAZ sur toi nonobstant en dépit de ent's

Je fais en moyenne 2000€ net en bb
rajoute à ça mon salaire de pentester junior 2500€ net

4500e net

Je débute. Je compte faire beaucoup plus en bug bounty dans les mois qui arrivent. Impossible que tu gagnes plus que moi.

En France en IT très peu de personnes gagnent plus que moi

Le 16 janvier 2022 à 20:35:08 :

Le 16 janvier 2022 à 20:31:42 :

Le 16 janvier 2022 à 20:24:43 :

Le 16 janvier 2022 à 20:05:58 :
en vrai l'auteur la route est longue un peu
il va falloir que tu comprennes un peu tout le fonctionnement d'un système informatique

Les couches OSI c'est un truc
mais en ingé cybersécu, il faut que tu comprennes les protocoles de chaque couche, les types d'attaques qui peuvent avoir eu lieu par niveau et donc par protocole

• il faudra que tu comprennes le chiffrement (a)symétrique, les certificats, les signatures numériques, les PKI, les KMS...
• que tu saches mettre en place un VPN, configurer un pare-feu (1, 2eme génération), mettre en place des DMZ..
• Que tu saches mettre en place des NACL, et à quel niveau on les trouve...
• il faudra que tu saches agir sur le routage et le filtrage à plusieurs niveaux.. en utilisant plusieurs logiciels ou VMs
• Que tu saches comment intérgrer tout ça dans active directory
• comment utiliser centos (et sur quoi ça repose)..

et ça, encore, ce n'est qu'une partie de la partie système

Il te restera la partie applicative - applis web (couche 7 principalement)

• les injections embarquées dans des requêtes http (xml, sql) et la securisation des accès aux APIs
• les tokens jwt ou autres
• tls/ssl et les certif
• les connexions ssh
• la gestion des secrets
• la mise en place de WAF...
• contrer les ddos et autres

une fois que tu auras saisi tout ce bordel et ce que veut dire "une attaque"
il te faudra apprendre les contre-mesures pour chaque classe d'attaque en général et en particulier

une référence pour y voir un poil plus clair, le top 10 des cyber-threats au niveau des applis web https://owasp.org/www-project-top-ten/

et puis y'a la sécurité non fonctionnelle
rgpd
sécurité dans le sens pérennité des données
etc

et dans tout ce bordel, je te parle même pas d'automatisation au niveau infra, et au niveau appli

les pentest c'est ce qui vient à la toute fin
mais t'as 36000 contre-mesures à tous les niveaux d'un système

"le pentest vient à la toute fin"

non ? Je connais pleins de gens qui ont commencé directement en pentester en France. à l'étranger tu as juste l'oscp sans diplome on te prend en pentest junior. Au bout de 6 mois d'xp toutes les entreprises te suces la bite

oui tu as raison
je ne veux pas dire "en fin de carrière"

mais dans ce sens "pour diagnostiquer / sécuriser un système, les pentest, c'est ce qui vient plutôt à la fin"

une requête pour être traitée atterrit en infra, dans l'environnement de prod à destination du serveur qui héberge le service qu'elle sollicite
dans son épopée, elle rencontrera moult étapes avant d'arriver à sa destination
et parmi ces étapes, certaines permettront de la jarreter

j'ai une vision un peu bottom-up et top-down sur le sujet clé...
avec les années, cybersécu c'est devenu très très vaste et ne se limite pas au réseau/système

Tout ça pour se retrouver avec une RCE parce que t'as un service qui tourne log4j

Quand je vois certaines failles que je trouve sur certaines entreprises coté en bourse, je peux pas m'empecher de te voir comme un vendeur de tapis désolé

ce que je veux dire c'est que c'est pas ton WAF / firewall qui va protéger quoi que ce soit, si l'app est vulnérable tout ce que tu as mis à coté ne sert à rien

mais
c'est quoi ton problème avec moi avortin, respire un coup, ça va bien se passer

tu connais absolument rien de mon taff ahiii

et donc pour toi c'est les pentest la solution au log4j ? je comprends pas
+ pourquoi m'associer log4j ?
+ encore une fois t'as aucune idée de mon taff

pas très fin d'esprit tout ça

Le 16 janvier 2022 à 20:40:35 :

Le 16 janvier 2022 à 20:35:08 :

Le 16 janvier 2022 à 20:31:42 :

Le 16 janvier 2022 à 20:24:43 :

Le 16 janvier 2022 à 20:05:58 :
en vrai l'auteur la route est longue un peu
il va falloir que tu comprennes un peu tout le fonctionnement d'un système informatique

Les couches OSI c'est un truc
mais en ingé cybersécu, il faut que tu comprennes les protocoles de chaque couche, les types d'attaques qui peuvent avoir eu lieu par niveau et donc par protocole

• il faudra que tu comprennes le chiffrement (a)symétrique, les certificats, les signatures numériques, les PKI, les KMS...
• que tu saches mettre en place un VPN, configurer un pare-feu (1, 2eme génération), mettre en place des DMZ..
• Que tu saches mettre en place des NACL, et à quel niveau on les trouve...
• il faudra que tu saches agir sur le routage et le filtrage à plusieurs niveaux.. en utilisant plusieurs logiciels ou VMs
• Que tu saches comment intérgrer tout ça dans active directory
• comment utiliser centos (et sur quoi ça repose)..

et ça, encore, ce n'est qu'une partie de la partie système

Il te restera la partie applicative - applis web (couche 7 principalement)

• les injections embarquées dans des requêtes http (xml, sql) et la securisation des accès aux APIs
• les tokens jwt ou autres
• tls/ssl et les certif
• les connexions ssh
• la gestion des secrets
• la mise en place de WAF...
• contrer les ddos et autres

une fois que tu auras saisi tout ce bordel et ce que veut dire "une attaque"
il te faudra apprendre les contre-mesures pour chaque classe d'attaque en général et en particulier

une référence pour y voir un poil plus clair, le top 10 des cyber-threats au niveau des applis web https://owasp.org/www-project-top-ten/

et puis y'a la sécurité non fonctionnelle
rgpd
sécurité dans le sens pérennité des données
etc

et dans tout ce bordel, je te parle même pas d'automatisation au niveau infra, et au niveau appli

les pentest c'est ce qui vient à la toute fin
mais t'as 36000 contre-mesures à tous les niveaux d'un système

"le pentest vient à la toute fin"

non ? Je connais pleins de gens qui ont commencé directement en pentester en France. à l'étranger tu as juste l'oscp sans diplome on te prend en pentest junior. Au bout de 6 mois d'xp toutes les entreprises te suces la bite

oui tu as raison
je ne veux pas dire "en fin de carrière"

mais dans ce sens "pour diagnostiquer / sécuriser un système, les pentest, c'est ce qui vient plutôt à la fin"

une requête pour être traitée atterrit en infra, dans l'environnement de prod à destination du serveur qui héberge le service qu'elle sollicite
dans son épopée, elle rencontrera moult étapes avant d'arriver à sa destination
et parmi ces étapes, certaines permettront de la jarreter

j'ai une vision un peu bottom-up et top-down sur le sujet clé...
avec les années, cybersécu c'est devenu très très vaste et ne se limite pas au réseau/système

Tout ça pour se retrouver avec une RCE parce que t'as un service qui tourne log4j

Quand je vois certaines failles que je trouve sur certaines entreprises coté en bourse, je peux pas m'empecher de te voir comme un vendeur de tapis désolé

ce que je veux dire c'est que c'est pas ton WAF / firewall qui va protéger quoi que ce soit, si l'app est vulnérable tout ce que tu as mis à coté ne sert à rien

mais
c'est quoi ton problème avec moi avortin, respire un coup, ça va bien se passer

tu connais absolument rien de mon taff ahiii

et donc pour toi c'est les pentest la solution au log4j ? je comprends pas
+ pourquoi m'associer log4j ?
+ encore une fois t'as aucune idée de mon taff

pas très fin d'esprit tout ça

C'est toi qui parle de RGPD de WAF d'iso 27001 etc...

Je peux pas m'empecher de te voir comme un vendeur de tapis.

Le 16 janvier 2022 à 20:39:48 :

Le 16 janvier 2022 à 20:37:17 :

Le 16 janvier 2022 à 20:27:02 :

Le 16 janvier 2022 à 20:23:53 :

Le 16 janvier 2022 à 20:17:48 :

Le 16 janvier 2022 à 20:05:58 :
en vrai l'auteur la route est longue un peu
il va falloir que tu comprennes un peu tout le fonctionnement d'un système informatique

Les couches OSI c'est un truc
mais en ingé cybersécu, il faut que tu comprennes les protocoles de chaque couche, les types d'attaques qui peuvent avoir eu lieu par niveau et donc par protocole

• il faudra que tu comprennes le chiffrement (a)symétrique, les certificats, les signatures numériques, les PKI, les KMS...
• que tu saches mettre en place un VPN, configurer un pare-feu (1, 2eme génération), mettre en place des DMZ..
• Que tu saches mettre en place des NACL, et à quel niveau on les trouve...
• il faudra que tu saches agir sur le routage et le filtrage à plusieurs niveaux.. en utilisant plusieurs logiciels ou VMs
• Que tu saches comment intérgrer tout ça dans active directory
• comment utiliser centos (et sur quoi ça repose)..

et ça, encore, ce n'est qu'une partie de la partie système

Il te restera la partie applicative - applis web (couche 7 principalement)

• les injections embarquées dans des requêtes http (xml, sql) et la securisation des accès aux APIs
• les tokens jwt ou autres
• tls/ssl et les certif
• les connexions ssh
• la gestion des secrets
• la mise en place de WAF...
• contrer les ddos et autres

une fois que tu auras saisi tout ce bordel et ce que veut dire "une attaque"
il te faudra apprendre les contre-mesures pour chaque classe d'attaque en général et en particulier

une référence pour y voir un poil plus clair, le top 10 des cyber-threats au niveau des applis web https://owasp.org/www-project-top-ten/

et puis y'a la sécurité non fonctionnelle
rgpd
sécurité dans le sens pérennité des données
etc

et dans tout ce bordel, je te parle même pas d'automatisation au niveau infra, et au niveau appli

les pentest c'est ce qui vient à la toute fin
mais t'as 36000 contre-mesures à tous les niveaux d'un système

Toi t'es sur rootme non ?

A aucun moment il a besoin de savoir comment monter un VPN... On parle de sécurité offensive l'idiot du vilage

Tu fais croire que tout est compliqué, comportement typiquement français.

C'est simple :

Base systeme
Base réseau
Base prog

Qu'il sache lire du JS, le fonctionnement d'un serveur web etc

Une fois que t'as fait ça tu fais portswigger into HTB et ensuite tu te lances dans le bug bounty.

Je vais pas débunker ton pavé de frustré qui veut pas que les autres apprennent, mais à quel moment t'as besoin de savoir mettre en place un WAF ?????????????????? xd
Et pourquoi centos en particulier ?
"contrer les ddos" en une requete google tu as ta réponse.

Tu dis de la merde de A à Z c'est un truc de taré, hallucinant. Typiquement français le comportement, j'avais affaire au meme trou du cul quand je connaissais rien et que je voulais faire de la sécurité offensive

BREF l'op si tu veux en faire ton métier, fait BTS + LPRO + MASTER en alternance et ensuite tu passes l'OSCP. A coté tu fais du bug bounty hunting ( une fois que t'as fait ce que je t'ai dit)

Et tu seras bon

calmos khey respire, fait toi couler une camomille

cybersécu où sens où toi tu l'entends = boulot de merde de matrixé sans aucun challenge = plafond de verre très rapide = tu te fais chier à te tirer une balle

je suis pas sur rootme
j'ai commencé software engineer
puis cloud / devops
et maintenant je suis architecte cloud / devsecops

un consultant en cybersécu maitrise toute la stack ahurin
si tu veux amasser masse thune, tu prends du recul

si tu veux t'amuser à fermer des ports et blacklister des ip... ce n'est qu'une infime partie de la cybersécu

+ je n'essaie pas de décourager l'auteur
j'essaie au contraire de l'encourager à étudier toute la stack s'il le peut
ça lui ouvrira BEAUCOUP BEAUCOUP plus d'opportunités et SURTOUT DES PERSPECTIVES d'EVOLUTION

et PAZ sur toi

"devops"

Je parle de sécu offensive l'ahuri, j'ai jamais parler de blue team ( ton shitjob)

Et si t'as moins de 1000 réputations sur hackerone me parle meme pas de sécurité informatique en fait.

+

Rien qu'en bug bounty j'ai fait 4500€ sur les 3 derniers mois + boulot de pentester je pense que je gagne plus que toi

t'as aucune idée de combien je gagne avortin
bref, je sais pas pourquoi tu transpires et réagis émotionnellement à mes messages

l'auteur lui a apprécié
je t'invite à relire sa toute première phrase du topax

tant mieux pour toi crayon si t'es heureux
je te dis juste que j'aspire à bcp plus que ce que tu dis
et c'est pas en faisant du pentest que j'y arriverai

ps : va jeter un coup d'oeil sur combien est payé un senio solutions architect

PAZ sur toi nonobstant en dépit de ent's

Je fais en moyenne 2000€ net en bb
rajoute à ça mon salaire de pentester junior 2500€ net

4500e net

Je débute. Je compte faire beaucoup plus en bug bounty dans les mois qui arrivent. Impossible que tu gagnes plus que moi.

En France en IT très peu de personnes gagnent plus que moi

ok avortin

Le 16 janvier 2022 à 20:41:38 :

Le 16 janvier 2022 à 20:40:35 :

Le 16 janvier 2022 à 20:35:08 :

Le 16 janvier 2022 à 20:31:42 :

Le 16 janvier 2022 à 20:24:43 :

Le 16 janvier 2022 à 20:05:58 :
en vrai l'auteur la route est longue un peu
il va falloir que tu comprennes un peu tout le fonctionnement d'un système informatique

Les couches OSI c'est un truc
mais en ingé cybersécu, il faut que tu comprennes les protocoles de chaque couche, les types d'attaques qui peuvent avoir eu lieu par niveau et donc par protocole

• il faudra que tu comprennes le chiffrement (a)symétrique, les certificats, les signatures numériques, les PKI, les KMS...
• que tu saches mettre en place un VPN, configurer un pare-feu (1, 2eme génération), mettre en place des DMZ..
• Que tu saches mettre en place des NACL, et à quel niveau on les trouve...
• il faudra que tu saches agir sur le routage et le filtrage à plusieurs niveaux.. en utilisant plusieurs logiciels ou VMs
• Que tu saches comment intérgrer tout ça dans active directory
• comment utiliser centos (et sur quoi ça repose)..

et ça, encore, ce n'est qu'une partie de la partie système

Il te restera la partie applicative - applis web (couche 7 principalement)

• les injections embarquées dans des requêtes http (xml, sql) et la securisation des accès aux APIs
• les tokens jwt ou autres
• tls/ssl et les certif
• les connexions ssh
• la gestion des secrets
• la mise en place de WAF...
• contrer les ddos et autres

une fois que tu auras saisi tout ce bordel et ce que veut dire "une attaque"
il te faudra apprendre les contre-mesures pour chaque classe d'attaque en général et en particulier

une référence pour y voir un poil plus clair, le top 10 des cyber-threats au niveau des applis web https://owasp.org/www-project-top-ten/

et puis y'a la sécurité non fonctionnelle
rgpd
sécurité dans le sens pérennité des données
etc

et dans tout ce bordel, je te parle même pas d'automatisation au niveau infra, et au niveau appli

les pentest c'est ce qui vient à la toute fin
mais t'as 36000 contre-mesures à tous les niveaux d'un système

"le pentest vient à la toute fin"

non ? Je connais pleins de gens qui ont commencé directement en pentester en France. à l'étranger tu as juste l'oscp sans diplome on te prend en pentest junior. Au bout de 6 mois d'xp toutes les entreprises te suces la bite

oui tu as raison
je ne veux pas dire "en fin de carrière"

mais dans ce sens "pour diagnostiquer / sécuriser un système, les pentest, c'est ce qui vient plutôt à la fin"

une requête pour être traitée atterrit en infra, dans l'environnement de prod à destination du serveur qui héberge le service qu'elle sollicite
dans son épopée, elle rencontrera moult étapes avant d'arriver à sa destination
et parmi ces étapes, certaines permettront de la jarreter

j'ai une vision un peu bottom-up et top-down sur le sujet clé...
avec les années, cybersécu c'est devenu très très vaste et ne se limite pas au réseau/système

Tout ça pour se retrouver avec une RCE parce que t'as un service qui tourne log4j

Quand je vois certaines failles que je trouve sur certaines entreprises coté en bourse, je peux pas m'empecher de te voir comme un vendeur de tapis désolé

ce que je veux dire c'est que c'est pas ton WAF / firewall qui va protéger quoi que ce soit, si l'app est vulnérable tout ce que tu as mis à coté ne sert à rien

mais
c'est quoi ton problème avec moi avortin, respire un coup, ça va bien se passer

tu connais absolument rien de mon taff ahiii

et donc pour toi c'est les pentest la solution au log4j ? je comprends pas
+ pourquoi m'associer log4j ?
+ encore une fois t'as aucune idée de mon taff

pas très fin d'esprit tout ça

C'est toi qui parle de RGPD de WAF d'iso 27001 etc...

Je peux pas m'empecher de te voir comme un vendeur de tapis.

un jour si tu comprends, fais moi un mp

Oh salut l'opax

Bon courage dans ta démarche tu me rappel moi plus jeune

Et oublie pas un truc > la sécurité c'est pas que le code et les ports, c'est aussi où tu run tes apps et de quelle façon

Petit conseil l'auteur
Quand tu te lances dans un projet
Fixe toi une durée à sacrifier où tu vas aller jusqu'au bout

Très souvent, on se décourage au début vu la quantité de travail à fournir, on se dit que ça va être une perte de temps et on retourne à sa routine.
Je te parle d'expérience

Donne toi par ex 2 ans pour tout baiser, où tu iras au bout peu importe la difficulté
Rien n'est impossible avec une bonne organisation, méthodologie et du culot

Le 16 janvier 2022 à 19:49:35 :

Le 16 janvier 2022 à 19:48:29 :

Le 16 janvier 2022 à 19:42:47 :
Non mais je veux dire que s'il décide de trouver une voie en partant de zéro y a mieux à faire que l'informatique je pense, surtout si tu veux gagner beaucoup

Rien de méchant
Je respecte les gens qui se reprennent en main c'est très bien l'auteur, je suis avec toi

Merci khey, après j'ai une réelle appétence dans ce domaine, j'aime aussi le challenge et le travail et c'est un travail qui est bien payé quoi qu'on en dise, même en junior selon le métier tu touches mini 2k5. Je compte clairement pas gagner énormément d'argent mais plutôt faire un métier qui me fait plaisir sans pour autant toucher le smic, et plus j'en apprends plus j'adore.
Au pire tu pourras te foutre de ma gueule si j'abandonne mais c'est pas prêt d'arriver vu ma mentale

Si t'as pas de master tu vas jamais gagner ces salaires en débutants, et meme les master gagnent rarement ça en débutant

Je touche 2k3 net junior avec un bac+3 perso, c'est quitte ou double, si t'arrives à trouver le filon ca passe

Le 16 janvier 2022 à 20:31:23 :
Je vais pas citer tout le monde car c'est trop volumineux pour rien mais je prends en compte tous vos messages et merci pour ceux qui apportent du soutien

En vrai ouais ça a l'air d'être un consensus qu'il est vital d'aller viser le Master donc je vais partir sur ça l'année prochaine.

Je retourne me former, je reviens demain 20h comme d'hab', passez une bonne soirée les kheys

Khey je peux t’aider si tu veux.

regarde ce lien, c'est important,
https://github.com/ChocolateCharlie/TeachYourselfCS-FR/blob/main/TeachYourselfCS-FR.md

Apprenez par vous-même la science informatique
Ce document est une traduction de TeachYourselfCS, écrit par Ozan Onay et Myles Byrne.

Ceci est une traduction de la version originale mise à jour en mai 2020.

Si vous êtes un ingénieur autodidacte ou que vous avez suivi une formation accélérée, vous vous devez d'apprendre la science informatique. Heureusement, vous pouvez vous instruire dans ce domaine sans y passer des années ni dépenser une petite fortune dans un diplôme 💸.

Si les ressources disponibles sont nombreuses, toutes ne se valent pas. Et vous n'avez pas besoin d'encore une autre liste de "200+ cours en ligne gratuits". Vous avez besoin de réponses aux questions suivantes:

Quelles disciplines apprendre, et pourquoi ?
Quel est le meilleur livre ou la meilleure série de cours filmés pour chacune de ces disciplines ?
Ce guide est notre tentative de répondre définitivement à toutes ces questions.

En bref
Étudiez l'ensemble des neufs disciplines suivantes approximativement dans le même ordre à l'aide du manuel ou des vidéos conseillées (idéalement les deux). Comptez 100 à 200 heures pour chaque sujet, puis revoyez vos préférés tout au long de votre carrière 🚀.

Domaine Pourquoi l'étudier ? Livre Vidéos
Programmation
Ne soyez pas la personne qui n'a "jamais vraiment bien compris" quelque chose comme la récursion.
Structure and Interpretation of Computer Programs
Berkeley CS 61A par Brian Harvey

<u>
Architecture des ordinateurs</u>
Si vous n'avez pas une représentation mentale solide de la manière dont fonctionne un ordinateur, toutes vos abstractions de haut niveau en seront fragilisées.
Computer Systems: A Programmer's Perspective
Berkeley CS 61C

<u>
Algorithmes et structures de données </u>
Si vous ne savez pas comment utiliser des structures de données omniprésentes, comme des piles, des queues, des arbres ou des graphes, alors vous ne serez pas en mesure de résoudre des problèmes difficiles.
The Algorithm Design Manual
Les cours de Steven Skiena

Mathématiques pour l'informatique
La science informatique est fondamentalement une branche dérivée des mathématiques appliquées, par conséquent apprendre les mathématiques vous donnera un avantage compétitif.
MIT 6.042J par Tom Leighton

Système d'exploitation
La plupart du code que vous écrivez est exécutée par un système d'exploitation donc vous devriez savoir comment celui-ci interagit. Operating Systems: Three Easy Pieces
Berkeley CS 162

Réseaux informatiques
Internet s'est avéré être une grosse problématique: comprenez comment il fonctionne pour déployer son plein potentiel.
Computer Networking: A Top-Down Approach
Stanford CS 144

Bases de données
Les données sont au coeurs des programmes les plus importants, or peu de personnes comprennent comment les systèmes de bases de données fonctionnent réellement.
Readings in Database Systems
Berkeley CS 186 par Joe Hellerstein

Langages et compilateurs
Si vous comprenez comment les langages et les compilateurs fonctionnent, votre code en sera meilleur et il vous sera plus aisé d'apprendre de nouveaux langages.
Crafting Interpreters
Le cours d'Alex Aiken sur edX

Systèmes distribués
De nos jours, la plupart des systèmes sont distribués.
Designing Data-Intensive Applications de Martin Kleppmann
MIT 6.824