[Journal] From déchet 0 ALL to MONSTRE en CYBERSECURITE
Le 16 janvier 2022 à 20:20:31 :
Le 16 janvier 2022 à 20:16:37 :
Le 16 janvier 2022 à 20:13:37 :
Le 16 janvier 2022 à 19:29:26 :
Bonsoir mes kheysAujourd'hui j'ai commencé le free course d'INE "Penetrating System" et j'ai légèrement enrichi ma culture générale sur certains "Phreaking" : Kevin Mitnick, Captain Crunch, le manifeste du Hacker du Mentor ainsi que mon vocabulaire vis à vis de la cybersecurity.
J'ai installé Kali sur une machine virtuelle (j'ai galéré ) et je suis en train de tester Wireshark pour voir la différence entre un protocole HTTP et HTTPS au niveau des données visibles.
Et pour finir j'ai aussi commencé en parallèle à regarder la vidéo de 9h sur les réseaux et ça part direct sur le modèle OSI. D'ici la fin de la semaine j'espère en avoir fini avec cette ressource
Si tu arrives à maîtriser wireshark ça m'intéresse, moi ça fait longtemps que je suis dans l'informatique j'ai jamais su faire fonctionner ce truc correctement, par exemple j'arrivai pas à filtrer les requêtes http, je pouvais juste filtrer sur les protocoles de couche plus basse comme tcp ou udp
wireshark = analyse du traffic sur une connexion
tu peux y voir les paquets de données entrants et sortant de la machine qui fait tourner wireshark
tu as les ip source, destination, les protocoles utilisés et le contenu du paquet
c'est rien de ouf
mais ça peut être pratique pour détecter des failles de sécurité au niveau de l'équipement réseau
je sais pas moi au pif, tu n'as pas bien configuré tes switch en mettant un Spanning Tree et tu te retrouves flood avec des quêtes ARP, t'auras l'impression d'avoir perdu la connexion mais wireshark te permet de comprendre avec une petite investigation que nonMerci khey mais du coup justement vu que ça permet de voir les protocoles utilisés sur les différentes couches à une époque je voulais filtrer sur le protocole http et je me souviens que même en cherchant sur internet j'avais jamais trouvé
J'utilisais la version graphique sur Windows
voilà pour toi crayon https://ask.wireshark.org/question/12916/how-to-filter-to-view-only-http-requests/
Le 16 janvier 2022 à 20:23:53 :
Le 16 janvier 2022 à 20:17:48 :
Le 16 janvier 2022 à 20:05:58 :
en vrai l'auteur la route est longue un peu
il va falloir que tu comprennes un peu tout le fonctionnement d'un système informatiqueLes couches OSI c'est un truc
mais en ingé cybersécu, il faut que tu comprennes les protocoles de chaque couche, les types d'attaques qui peuvent avoir eu lieu par niveau et donc par protocole
- il faudra que tu comprennes le chiffrement (a)symétrique, les certificats, les signatures numériques, les PKI, les KMS...
- que tu saches mettre en place un VPN, configurer un pare-feu (1, 2eme génération), mettre en place des DMZ..
- Que tu saches mettre en place des NACL, et à quel niveau on les trouve...
- il faudra que tu saches agir sur le routage et le filtrage à plusieurs niveaux.. en utilisant plusieurs logiciels ou VMs
- Que tu saches comment intérgrer tout ça dans active directory
- comment utiliser centos (et sur quoi ça repose)..
et ça, encore, ce n'est qu'une partie de la partie système
Il te restera la partie applicative - applis web (couche 7 principalement)
- les injections embarquées dans des requêtes http (xml, sql) et la securisation des accès aux APIs
- les tokens jwt ou autres
- tls/ssl et les certif
- les connexions ssh
- la gestion des secrets
- la mise en place de WAF...
- contrer les ddos et autres
une fois que tu auras saisi tout ce bordel et ce que veut dire "une attaque"
il te faudra apprendre les contre-mesures pour chaque classe d'attaque en général et en particulierune référence pour y voir un poil plus clair, le top 10 des cyber-threats au niveau des applis web https://owasp.org/www-project-top-ten/
et puis y'a la sécurité non fonctionnelle
rgpd
sécurité dans le sens pérennité des données
etcet dans tout ce bordel, je te parle même pas d'automatisation au niveau infra, et au niveau appli
les pentest c'est ce qui vient à la toute fin
mais t'as 36000 contre-mesures à tous les niveaux d'un systèmeToi t'es sur rootme non ?
A aucun moment il a besoin de savoir comment monter un VPN... On parle de sécurité offensive l'idiot du vilage
Tu fais croire que tout est compliqué, comportement typiquement français.
C'est simple :
Base systeme
Base réseau
Base progQu'il sache lire du JS, le fonctionnement d'un serveur web etc
Une fois que t'as fait ça tu fais portswigger into HTB et ensuite tu te lances dans le bug bounty.
Je vais pas débunker ton pavé de frustré qui veut pas que les autres apprennent, mais à quel moment t'as besoin de savoir mettre en place un WAF ?????????????????? xd
Et pourquoi centos en particulier ?
"contrer les ddos" en une requete google tu as ta réponse.Tu dis de la merde de A à Z c'est un truc de taré, hallucinant. Typiquement français le comportement, j'avais affaire au meme trou du cul quand je connaissais rien et que je voulais faire de la sécurité offensive
BREF l'op si tu veux en faire ton métier, fait BTS + LPRO + MASTER en alternance et ensuite tu passes l'OSCP. A coté tu fais du bug bounty hunting ( une fois que t'as fait ce que je t'ai dit)
Et tu seras bon
calmos khey respire, fait toi couler une camomille
cybersécu où sens où toi tu l'entends = boulot de merde de matrixé sans aucun challenge = plafond de verre très rapide = tu te fais chier à te tirer une balle
je suis pas sur rootme
j'ai commencé software engineer
puis cloud / devops
et maintenant je suis architecte cloud / devsecopsun consultant en cybersécu maitrise toute la stack ahurin
si tu veux amasser masse thune, tu prends du reculsi tu veux t'amuser à fermer des ports et blacklister des ip... ce n'est qu'une infime partie de la cybersécu
+ je n'essaie pas de décourager l'auteur
j'essaie au contraire de l'encourager à étudier toute la stack s'il le peut
ça lui ouvrira BEAUCOUP BEAUCOUP plus d'opportunités et SURTOUT DES PERSPECTIVES d'EVOLUTIONet PAZ sur toi
"devops"
Je parle de sécu offensive l'ahuri
Et si t'as moins de 1000 réputations sur hackerone me parle meme pas de sécurité informatique
Le 16 janvier 2022 à 20:26:00 :
Le 16 janvier 2022 à 20:20:31 :
Le 16 janvier 2022 à 20:16:37 :
Le 16 janvier 2022 à 20:13:37 :
Le 16 janvier 2022 à 19:29:26 :
Bonsoir mes kheysAujourd'hui j'ai commencé le free course d'INE "Penetrating System" et j'ai légèrement enrichi ma culture générale sur certains "Phreaking" : Kevin Mitnick, Captain Crunch, le manifeste du Hacker du Mentor ainsi que mon vocabulaire vis à vis de la cybersecurity.
J'ai installé Kali sur une machine virtuelle (j'ai galéré ) et je suis en train de tester Wireshark pour voir la différence entre un protocole HTTP et HTTPS au niveau des données visibles.
Et pour finir j'ai aussi commencé en parallèle à regarder la vidéo de 9h sur les réseaux et ça part direct sur le modèle OSI. D'ici la fin de la semaine j'espère en avoir fini avec cette ressource
Si tu arrives à maîtriser wireshark ça m'intéresse, moi ça fait longtemps que je suis dans l'informatique j'ai jamais su faire fonctionner ce truc correctement, par exemple j'arrivai pas à filtrer les requêtes http, je pouvais juste filtrer sur les protocoles de couche plus basse comme tcp ou udp
wireshark = analyse du traffic sur une connexion
tu peux y voir les paquets de données entrants et sortant de la machine qui fait tourner wireshark
tu as les ip source, destination, les protocoles utilisés et le contenu du paquet
c'est rien de ouf
mais ça peut être pratique pour détecter des failles de sécurité au niveau de l'équipement réseau
je sais pas moi au pif, tu n'as pas bien configuré tes switch en mettant un Spanning Tree et tu te retrouves flood avec des quêtes ARP, t'auras l'impression d'avoir perdu la connexion mais wireshark te permet de comprendre avec une petite investigation que nonMerci khey mais du coup justement vu que ça permet de voir les protocoles utilisés sur les différentes couches à une époque je voulais filtrer sur le protocole http et je me souviens que même en cherchant sur internet j'avais jamais trouvé
J'utilisais la version graphique sur Windows
voilà pour toi crayon https://ask.wireshark.org/question/12916/how-to-filter-to-view-only-http-requests/
Oui je me souviens avoir essayé de mettre directement http dans la barre de recherche pour filtrer, ça fonctionnait pour les protocoles de couche transport mais pas pour les couches hautes
De toute façon il faudra que je m'y mette plus sérieusement j'aime bien l'idée de pouvoir voir en profondeur ce qui passe sur le réseau
Je vais pas citer tout le monde car c'est trop volumineux pour rien mais je prends en compte tous vos messages et merci pour ceux qui apportent du soutien
En vrai ouais ça a l'air d'être un consensus qu'il est vital d'aller viser le Master donc je vais partir sur ça l'année prochaine.
Je retourne me former, je reviens demain 20h comme d'hab', passez une bonne soirée les kheys
Le 16 janvier 2022 à 20:24:43 :
Le 16 janvier 2022 à 20:05:58 :
en vrai l'auteur la route est longue un peu
il va falloir que tu comprennes un peu tout le fonctionnement d'un système informatiqueLes couches OSI c'est un truc
mais en ingé cybersécu, il faut que tu comprennes les protocoles de chaque couche, les types d'attaques qui peuvent avoir eu lieu par niveau et donc par protocole
- il faudra que tu comprennes le chiffrement (a)symétrique, les certificats, les signatures numériques, les PKI, les KMS...
- que tu saches mettre en place un VPN, configurer un pare-feu (1, 2eme génération), mettre en place des DMZ..
- Que tu saches mettre en place des NACL, et à quel niveau on les trouve...
- il faudra que tu saches agir sur le routage et le filtrage à plusieurs niveaux.. en utilisant plusieurs logiciels ou VMs
- Que tu saches comment intérgrer tout ça dans active directory
- comment utiliser centos (et sur quoi ça repose)..
et ça, encore, ce n'est qu'une partie de la partie système
Il te restera la partie applicative - applis web (couche 7 principalement)
- les injections embarquées dans des requêtes http (xml, sql) et la securisation des accès aux APIs
- les tokens jwt ou autres
- tls/ssl et les certif
- les connexions ssh
- la gestion des secrets
- la mise en place de WAF...
- contrer les ddos et autres
une fois que tu auras saisi tout ce bordel et ce que veut dire "une attaque"
il te faudra apprendre les contre-mesures pour chaque classe d'attaque en général et en particulierune référence pour y voir un poil plus clair, le top 10 des cyber-threats au niveau des applis web https://owasp.org/www-project-top-ten/
et puis y'a la sécurité non fonctionnelle
rgpd
sécurité dans le sens pérennité des données
etcet dans tout ce bordel, je te parle même pas d'automatisation au niveau infra, et au niveau appli
les pentest c'est ce qui vient à la toute fin
mais t'as 36000 contre-mesures à tous les niveaux d'un système"le pentest vient à la toute fin"
non ? Je connais pleins de gens qui ont commencé directement en pentester en France. à l'étranger tu as juste l'oscp sans diplome on te prend en pentest junior. Au bout de 6 mois d'xp toutes les entreprises te suces la bite
oui tu as raison
je ne veux pas dire "en fin de carrière"
mais dans ce sens "pour diagnostiquer / sécuriser un système, les pentest, c'est ce qui vient plutôt à la fin"
une requête pour être traitée atterrit en infra, dans l'environnement de prod à destination du serveur qui héberge le service qu'elle sollicite
dans son épopée, elle rencontrera moult étapes avant d'arriver à sa destination
et parmi ces étapes, certaines permettront de la jarreter
j'ai une vision un peu bottom-up et top-down sur le sujet clé...
avec les années, cybersécu c'est devenu très très vaste et ne se limite pas au réseau/système
Je suis pas un expert mais tu me dis si tu veux ds ressources
Le 16 janvier 2022 à 20:31:23 :
Je vais pas citer tout le monde car c'est trop volumineux pour rien mais je prends en compte tous vos messages et merci pour ceux qui apportent du soutienEn vrai ouais ça a l'air d'être un consensus qu'il est vital d'aller viser le Master donc je vais partir sur ça l'année prochaine.
Je retourne me former, je reviens demain 20h comme d'hab', passez une bonne soirée les kheys
Bon courage khey
Le 16 janvier 2022 à 20:31:42 :
Le 16 janvier 2022 à 20:24:43 :
Le 16 janvier 2022 à 20:05:58 :
en vrai l'auteur la route est longue un peu
il va falloir que tu comprennes un peu tout le fonctionnement d'un système informatiqueLes couches OSI c'est un truc
mais en ingé cybersécu, il faut que tu comprennes les protocoles de chaque couche, les types d'attaques qui peuvent avoir eu lieu par niveau et donc par protocole
- il faudra que tu comprennes le chiffrement (a)symétrique, les certificats, les signatures numériques, les PKI, les KMS...
- que tu saches mettre en place un VPN, configurer un pare-feu (1, 2eme génération), mettre en place des DMZ..
- Que tu saches mettre en place des NACL, et à quel niveau on les trouve...
- il faudra que tu saches agir sur le routage et le filtrage à plusieurs niveaux.. en utilisant plusieurs logiciels ou VMs
- Que tu saches comment intérgrer tout ça dans active directory
- comment utiliser centos (et sur quoi ça repose)..
et ça, encore, ce n'est qu'une partie de la partie système
Il te restera la partie applicative - applis web (couche 7 principalement)
- les injections embarquées dans des requêtes http (xml, sql) et la securisation des accès aux APIs
- les tokens jwt ou autres
- tls/ssl et les certif
- les connexions ssh
- la gestion des secrets
- la mise en place de WAF...
- contrer les ddos et autres
une fois que tu auras saisi tout ce bordel et ce que veut dire "une attaque"
il te faudra apprendre les contre-mesures pour chaque classe d'attaque en général et en particulierune référence pour y voir un poil plus clair, le top 10 des cyber-threats au niveau des applis web https://owasp.org/www-project-top-ten/
et puis y'a la sécurité non fonctionnelle
rgpd
sécurité dans le sens pérennité des données
etcet dans tout ce bordel, je te parle même pas d'automatisation au niveau infra, et au niveau appli
les pentest c'est ce qui vient à la toute fin
mais t'as 36000 contre-mesures à tous les niveaux d'un système"le pentest vient à la toute fin"
non ? Je connais pleins de gens qui ont commencé directement en pentester en France. à l'étranger tu as juste l'oscp sans diplome on te prend en pentest junior. Au bout de 6 mois d'xp toutes les entreprises te suces la bite
oui tu as raison
je ne veux pas dire "en fin de carrière"mais dans ce sens "pour diagnostiquer / sécuriser un système, les pentest, c'est ce qui vient plutôt à la fin"
une requête pour être traitée atterrit en infra, dans l'environnement de prod à destination du serveur qui héberge le service qu'elle sollicite
dans son épopée, elle rencontrera moult étapes avant d'arriver à sa destination
et parmi ces étapes, certaines permettront de la jarreterj'ai une vision un peu bottom-up et top-down sur le sujet clé...
avec les années, cybersécu c'est devenu très très vaste et ne se limite pas au réseau/système
Tout ça pour se retrouver avec une RCE parce que t'as un service qui tourne log4j
Quand je vois certaines failles que je trouve sur certaines entreprises coté en bourse, je peux pas m'empecher de te voir comme un vendeur de tapis désolé
ce que je veux dire c'est que c'est pas ton WAF / firewall qui va protéger quoi que ce soit, si l'app est vulnérable tout ce que tu as mis à coté ne sert à rien
Le 16 janvier 2022 à 20:27:02 :
Le 16 janvier 2022 à 20:23:53 :
Le 16 janvier 2022 à 20:17:48 :
Le 16 janvier 2022 à 20:05:58 :
en vrai l'auteur la route est longue un peu
il va falloir que tu comprennes un peu tout le fonctionnement d'un système informatiqueLes couches OSI c'est un truc
mais en ingé cybersécu, il faut que tu comprennes les protocoles de chaque couche, les types d'attaques qui peuvent avoir eu lieu par niveau et donc par protocole
- il faudra que tu comprennes le chiffrement (a)symétrique, les certificats, les signatures numériques, les PKI, les KMS...
- que tu saches mettre en place un VPN, configurer un pare-feu (1, 2eme génération), mettre en place des DMZ..
- Que tu saches mettre en place des NACL, et à quel niveau on les trouve...
- il faudra que tu saches agir sur le routage et le filtrage à plusieurs niveaux.. en utilisant plusieurs logiciels ou VMs
- Que tu saches comment intérgrer tout ça dans active directory
- comment utiliser centos (et sur quoi ça repose)..
et ça, encore, ce n'est qu'une partie de la partie système
Il te restera la partie applicative - applis web (couche 7 principalement)
- les injections embarquées dans des requêtes http (xml, sql) et la securisation des accès aux APIs
- les tokens jwt ou autres
- tls/ssl et les certif
- les connexions ssh
- la gestion des secrets
- la mise en place de WAF...
- contrer les ddos et autres
une fois que tu auras saisi tout ce bordel et ce que veut dire "une attaque"
il te faudra apprendre les contre-mesures pour chaque classe d'attaque en général et en particulierune référence pour y voir un poil plus clair, le top 10 des cyber-threats au niveau des applis web https://owasp.org/www-project-top-ten/
et puis y'a la sécurité non fonctionnelle
rgpd
sécurité dans le sens pérennité des données
etcet dans tout ce bordel, je te parle même pas d'automatisation au niveau infra, et au niveau appli
les pentest c'est ce qui vient à la toute fin
mais t'as 36000 contre-mesures à tous les niveaux d'un systèmeToi t'es sur rootme non ?
A aucun moment il a besoin de savoir comment monter un VPN... On parle de sécurité offensive l'idiot du vilage
Tu fais croire que tout est compliqué, comportement typiquement français.
C'est simple :
Base systeme
Base réseau
Base progQu'il sache lire du JS, le fonctionnement d'un serveur web etc
Une fois que t'as fait ça tu fais portswigger into HTB et ensuite tu te lances dans le bug bounty.
Je vais pas débunker ton pavé de frustré qui veut pas que les autres apprennent, mais à quel moment t'as besoin de savoir mettre en place un WAF ?????????????????? xd
Et pourquoi centos en particulier ?
"contrer les ddos" en une requete google tu as ta réponse.Tu dis de la merde de A à Z c'est un truc de taré, hallucinant. Typiquement français le comportement, j'avais affaire au meme trou du cul quand je connaissais rien et que je voulais faire de la sécurité offensive
BREF l'op si tu veux en faire ton métier, fait BTS + LPRO + MASTER en alternance et ensuite tu passes l'OSCP. A coté tu fais du bug bounty hunting ( une fois que t'as fait ce que je t'ai dit)
Et tu seras bon
calmos khey respire, fait toi couler une camomille
cybersécu où sens où toi tu l'entends = boulot de merde de matrixé sans aucun challenge = plafond de verre très rapide = tu te fais chier à te tirer une balle
je suis pas sur rootme
j'ai commencé software engineer
puis cloud / devops
et maintenant je suis architecte cloud / devsecopsun consultant en cybersécu maitrise toute la stack ahurin
si tu veux amasser masse thune, tu prends du reculsi tu veux t'amuser à fermer des ports et blacklister des ip... ce n'est qu'une infime partie de la cybersécu
+ je n'essaie pas de décourager l'auteur
j'essaie au contraire de l'encourager à étudier toute la stack s'il le peut
ça lui ouvrira BEAUCOUP BEAUCOUP plus d'opportunités et SURTOUT DES PERSPECTIVES d'EVOLUTIONet PAZ sur toi
"devops"
Je parle de sécu offensive l'ahuri, j'ai jamais parler de blue team ( ton shitjob)
Et si t'as moins de 1000 réputations sur hackerone me parle meme pas de sécurité informatique en fait.
+
Rien qu'en bug bounty j'ai fait 4500€ sur les 3 derniers mois + boulot de pentester je pense que je gagne plus que toi
t'as aucune idée de combien je gagne avortin
bref, je sais pas pourquoi tu transpires et réagis émotionnellement à mes messages
l'auteur lui a apprécié
je t'invite à relire sa toute première phrase du topax
tant mieux pour toi crayon si t'es heureux
je te dis juste que j'aspire à bcp plus que ce que tu dis
et c'est pas en faisant du pentest que j'y arriverai
ps : va jeter un coup d'oeil sur combien est payé un senio solutions architect
PAZ sur toi nonobstant en dépit de ent's
Le 16 janvier 2022 à 20:37:17 :
Le 16 janvier 2022 à 20:27:02 :
Le 16 janvier 2022 à 20:23:53 :
Le 16 janvier 2022 à 20:17:48 :
Le 16 janvier 2022 à 20:05:58 :
en vrai l'auteur la route est longue un peu
il va falloir que tu comprennes un peu tout le fonctionnement d'un système informatiqueLes couches OSI c'est un truc
mais en ingé cybersécu, il faut que tu comprennes les protocoles de chaque couche, les types d'attaques qui peuvent avoir eu lieu par niveau et donc par protocole
- il faudra que tu comprennes le chiffrement (a)symétrique, les certificats, les signatures numériques, les PKI, les KMS...
- que tu saches mettre en place un VPN, configurer un pare-feu (1, 2eme génération), mettre en place des DMZ..
- Que tu saches mettre en place des NACL, et à quel niveau on les trouve...
- il faudra que tu saches agir sur le routage et le filtrage à plusieurs niveaux.. en utilisant plusieurs logiciels ou VMs
- Que tu saches comment intérgrer tout ça dans active directory
- comment utiliser centos (et sur quoi ça repose)..
et ça, encore, ce n'est qu'une partie de la partie système
Il te restera la partie applicative - applis web (couche 7 principalement)
- les injections embarquées dans des requêtes http (xml, sql) et la securisation des accès aux APIs
- les tokens jwt ou autres
- tls/ssl et les certif
- les connexions ssh
- la gestion des secrets
- la mise en place de WAF...
- contrer les ddos et autres
une fois que tu auras saisi tout ce bordel et ce que veut dire "une attaque"
il te faudra apprendre les contre-mesures pour chaque classe d'attaque en général et en particulierune référence pour y voir un poil plus clair, le top 10 des cyber-threats au niveau des applis web https://owasp.org/www-project-top-ten/
et puis y'a la sécurité non fonctionnelle
rgpd
sécurité dans le sens pérennité des données
etcet dans tout ce bordel, je te parle même pas d'automatisation au niveau infra, et au niveau appli
les pentest c'est ce qui vient à la toute fin
mais t'as 36000 contre-mesures à tous les niveaux d'un systèmeToi t'es sur rootme non ?
A aucun moment il a besoin de savoir comment monter un VPN... On parle de sécurité offensive l'idiot du vilage
Tu fais croire que tout est compliqué, comportement typiquement français.
C'est simple :
Base systeme
Base réseau
Base progQu'il sache lire du JS, le fonctionnement d'un serveur web etc
Une fois que t'as fait ça tu fais portswigger into HTB et ensuite tu te lances dans le bug bounty.
Je vais pas débunker ton pavé de frustré qui veut pas que les autres apprennent, mais à quel moment t'as besoin de savoir mettre en place un WAF ?????????????????? xd
Et pourquoi centos en particulier ?
"contrer les ddos" en une requete google tu as ta réponse.Tu dis de la merde de A à Z c'est un truc de taré, hallucinant. Typiquement français le comportement, j'avais affaire au meme trou du cul quand je connaissais rien et que je voulais faire de la sécurité offensive
BREF l'op si tu veux en faire ton métier, fait BTS + LPRO + MASTER en alternance et ensuite tu passes l'OSCP. A coté tu fais du bug bounty hunting ( une fois que t'as fait ce que je t'ai dit)
Et tu seras bon
calmos khey respire, fait toi couler une camomille
cybersécu où sens où toi tu l'entends = boulot de merde de matrixé sans aucun challenge = plafond de verre très rapide = tu te fais chier à te tirer une balle
je suis pas sur rootme
j'ai commencé software engineer
puis cloud / devops
et maintenant je suis architecte cloud / devsecopsun consultant en cybersécu maitrise toute la stack ahurin
si tu veux amasser masse thune, tu prends du reculsi tu veux t'amuser à fermer des ports et blacklister des ip... ce n'est qu'une infime partie de la cybersécu
+ je n'essaie pas de décourager l'auteur
j'essaie au contraire de l'encourager à étudier toute la stack s'il le peut
ça lui ouvrira BEAUCOUP BEAUCOUP plus d'opportunités et SURTOUT DES PERSPECTIVES d'EVOLUTIONet PAZ sur toi
"devops"
Je parle de sécu offensive l'ahuri, j'ai jamais parler de blue team ( ton shitjob)
Et si t'as moins de 1000 réputations sur hackerone me parle meme pas de sécurité informatique en fait.
+
Rien qu'en bug bounty j'ai fait 4500€ sur les 3 derniers mois + boulot de pentester je pense que je gagne plus que toi
t'as aucune idée de combien je gagne avortin
bref, je sais pas pourquoi tu transpires et réagis émotionnellement à mes messagesl'auteur lui a apprécié
je t'invite à relire sa toute première phrase du topaxtant mieux pour toi crayon si t'es heureux
je te dis juste que j'aspire à bcp plus que ce que tu dis
et c'est pas en faisant du pentest que j'y arriveraips : va jeter un coup d'oeil sur combien est payé un senio solutions architect
PAZ sur toi nonobstant en dépit de ent's
Je fais en moyenne 2000€ net en bb
rajoute à ça mon salaire de pentester junior 2500€ net
4500e net
Je débute. Je compte faire beaucoup plus en bug bounty dans les mois qui arrivent. Impossible que tu gagnes plus que moi.
En France en IT très peu de personnes gagnent plus que moi
Le 16 janvier 2022 à 20:35:08 :
Le 16 janvier 2022 à 20:31:42 :
Le 16 janvier 2022 à 20:24:43 :
Le 16 janvier 2022 à 20:05:58 :
en vrai l'auteur la route est longue un peu
il va falloir que tu comprennes un peu tout le fonctionnement d'un système informatiqueLes couches OSI c'est un truc
mais en ingé cybersécu, il faut que tu comprennes les protocoles de chaque couche, les types d'attaques qui peuvent avoir eu lieu par niveau et donc par protocole
- il faudra que tu comprennes le chiffrement (a)symétrique, les certificats, les signatures numériques, les PKI, les KMS...
- que tu saches mettre en place un VPN, configurer un pare-feu (1, 2eme génération), mettre en place des DMZ..
- Que tu saches mettre en place des NACL, et à quel niveau on les trouve...
- il faudra que tu saches agir sur le routage et le filtrage à plusieurs niveaux.. en utilisant plusieurs logiciels ou VMs
- Que tu saches comment intérgrer tout ça dans active directory
- comment utiliser centos (et sur quoi ça repose)..
et ça, encore, ce n'est qu'une partie de la partie système
Il te restera la partie applicative - applis web (couche 7 principalement)
- les injections embarquées dans des requêtes http (xml, sql) et la securisation des accès aux APIs
- les tokens jwt ou autres
- tls/ssl et les certif
- les connexions ssh
- la gestion des secrets
- la mise en place de WAF...
- contrer les ddos et autres
une fois que tu auras saisi tout ce bordel et ce que veut dire "une attaque"
il te faudra apprendre les contre-mesures pour chaque classe d'attaque en général et en particulierune référence pour y voir un poil plus clair, le top 10 des cyber-threats au niveau des applis web https://owasp.org/www-project-top-ten/
et puis y'a la sécurité non fonctionnelle
rgpd
sécurité dans le sens pérennité des données
etcet dans tout ce bordel, je te parle même pas d'automatisation au niveau infra, et au niveau appli
les pentest c'est ce qui vient à la toute fin
mais t'as 36000 contre-mesures à tous les niveaux d'un système"le pentest vient à la toute fin"
non ? Je connais pleins de gens qui ont commencé directement en pentester en France. à l'étranger tu as juste l'oscp sans diplome on te prend en pentest junior. Au bout de 6 mois d'xp toutes les entreprises te suces la bite
oui tu as raison
je ne veux pas dire "en fin de carrière"mais dans ce sens "pour diagnostiquer / sécuriser un système, les pentest, c'est ce qui vient plutôt à la fin"
une requête pour être traitée atterrit en infra, dans l'environnement de prod à destination du serveur qui héberge le service qu'elle sollicite
dans son épopée, elle rencontrera moult étapes avant d'arriver à sa destination
et parmi ces étapes, certaines permettront de la jarreterj'ai une vision un peu bottom-up et top-down sur le sujet clé...
avec les années, cybersécu c'est devenu très très vaste et ne se limite pas au réseau/systèmeTout ça pour se retrouver avec une RCE parce que t'as un service qui tourne log4j
Quand je vois certaines failles que je trouve sur certaines entreprises coté en bourse, je peux pas m'empecher de te voir comme un vendeur de tapis désolé
ce que je veux dire c'est que c'est pas ton WAF / firewall qui va protéger quoi que ce soit, si l'app est vulnérable tout ce que tu as mis à coté ne sert à rien
mais
c'est quoi ton problème avec moi avortin, respire un coup, ça va bien se passer
tu connais absolument rien de mon taff ahiii
et donc pour toi c'est les pentest la solution au log4j ? je comprends pas
+ pourquoi m'associer log4j ?
+ encore une fois t'as aucune idée de mon taff
pas très fin d'esprit tout ça
Le 16 janvier 2022 à 20:40:35 :
Le 16 janvier 2022 à 20:35:08 :
Le 16 janvier 2022 à 20:31:42 :
Le 16 janvier 2022 à 20:24:43 :
Le 16 janvier 2022 à 20:05:58 :
en vrai l'auteur la route est longue un peu
il va falloir que tu comprennes un peu tout le fonctionnement d'un système informatiqueLes couches OSI c'est un truc
mais en ingé cybersécu, il faut que tu comprennes les protocoles de chaque couche, les types d'attaques qui peuvent avoir eu lieu par niveau et donc par protocole
- il faudra que tu comprennes le chiffrement (a)symétrique, les certificats, les signatures numériques, les PKI, les KMS...
- que tu saches mettre en place un VPN, configurer un pare-feu (1, 2eme génération), mettre en place des DMZ..
- Que tu saches mettre en place des NACL, et à quel niveau on les trouve...
- il faudra que tu saches agir sur le routage et le filtrage à plusieurs niveaux.. en utilisant plusieurs logiciels ou VMs
- Que tu saches comment intérgrer tout ça dans active directory
- comment utiliser centos (et sur quoi ça repose)..
et ça, encore, ce n'est qu'une partie de la partie système
Il te restera la partie applicative - applis web (couche 7 principalement)
- les injections embarquées dans des requêtes http (xml, sql) et la securisation des accès aux APIs
- les tokens jwt ou autres
- tls/ssl et les certif
- les connexions ssh
- la gestion des secrets
- la mise en place de WAF...
- contrer les ddos et autres
une fois que tu auras saisi tout ce bordel et ce que veut dire "une attaque"
il te faudra apprendre les contre-mesures pour chaque classe d'attaque en général et en particulierune référence pour y voir un poil plus clair, le top 10 des cyber-threats au niveau des applis web https://owasp.org/www-project-top-ten/
et puis y'a la sécurité non fonctionnelle
rgpd
sécurité dans le sens pérennité des données
etcet dans tout ce bordel, je te parle même pas d'automatisation au niveau infra, et au niveau appli
les pentest c'est ce qui vient à la toute fin
mais t'as 36000 contre-mesures à tous les niveaux d'un système"le pentest vient à la toute fin"
non ? Je connais pleins de gens qui ont commencé directement en pentester en France. à l'étranger tu as juste l'oscp sans diplome on te prend en pentest junior. Au bout de 6 mois d'xp toutes les entreprises te suces la bite
oui tu as raison
je ne veux pas dire "en fin de carrière"mais dans ce sens "pour diagnostiquer / sécuriser un système, les pentest, c'est ce qui vient plutôt à la fin"
une requête pour être traitée atterrit en infra, dans l'environnement de prod à destination du serveur qui héberge le service qu'elle sollicite
dans son épopée, elle rencontrera moult étapes avant d'arriver à sa destination
et parmi ces étapes, certaines permettront de la jarreterj'ai une vision un peu bottom-up et top-down sur le sujet clé...
avec les années, cybersécu c'est devenu très très vaste et ne se limite pas au réseau/systèmeTout ça pour se retrouver avec une RCE parce que t'as un service qui tourne log4j
Quand je vois certaines failles que je trouve sur certaines entreprises coté en bourse, je peux pas m'empecher de te voir comme un vendeur de tapis désolé
ce que je veux dire c'est que c'est pas ton WAF / firewall qui va protéger quoi que ce soit, si l'app est vulnérable tout ce que tu as mis à coté ne sert à rien
mais
c'est quoi ton problème avec moi avortin, respire un coup, ça va bien se passertu connais absolument rien de mon taff ahiii
et donc pour toi c'est les pentest la solution au log4j ? je comprends pas
+ pourquoi m'associer log4j ?
+ encore une fois t'as aucune idée de mon taffpas très fin d'esprit tout ça
C'est toi qui parle de RGPD de WAF d'iso 27001 etc...
Je peux pas m'empecher de te voir comme un vendeur de tapis.
Le 16 janvier 2022 à 20:39:48 :
Le 16 janvier 2022 à 20:37:17 :
Le 16 janvier 2022 à 20:27:02 :
Le 16 janvier 2022 à 20:23:53 :
Le 16 janvier 2022 à 20:17:48 :
Le 16 janvier 2022 à 20:05:58 :
en vrai l'auteur la route est longue un peu
il va falloir que tu comprennes un peu tout le fonctionnement d'un système informatiqueLes couches OSI c'est un truc
mais en ingé cybersécu, il faut que tu comprennes les protocoles de chaque couche, les types d'attaques qui peuvent avoir eu lieu par niveau et donc par protocole
- il faudra que tu comprennes le chiffrement (a)symétrique, les certificats, les signatures numériques, les PKI, les KMS...
- que tu saches mettre en place un VPN, configurer un pare-feu (1, 2eme génération), mettre en place des DMZ..
- Que tu saches mettre en place des NACL, et à quel niveau on les trouve...
- il faudra que tu saches agir sur le routage et le filtrage à plusieurs niveaux.. en utilisant plusieurs logiciels ou VMs
- Que tu saches comment intérgrer tout ça dans active directory
- comment utiliser centos (et sur quoi ça repose)..
et ça, encore, ce n'est qu'une partie de la partie système
Il te restera la partie applicative - applis web (couche 7 principalement)
- les injections embarquées dans des requêtes http (xml, sql) et la securisation des accès aux APIs
- les tokens jwt ou autres
- tls/ssl et les certif
- les connexions ssh
- la gestion des secrets
- la mise en place de WAF...
- contrer les ddos et autres
une fois que tu auras saisi tout ce bordel et ce que veut dire "une attaque"
il te faudra apprendre les contre-mesures pour chaque classe d'attaque en général et en particulierune référence pour y voir un poil plus clair, le top 10 des cyber-threats au niveau des applis web https://owasp.org/www-project-top-ten/
et puis y'a la sécurité non fonctionnelle
rgpd
sécurité dans le sens pérennité des données
etcet dans tout ce bordel, je te parle même pas d'automatisation au niveau infra, et au niveau appli
les pentest c'est ce qui vient à la toute fin
mais t'as 36000 contre-mesures à tous les niveaux d'un systèmeToi t'es sur rootme non ?
A aucun moment il a besoin de savoir comment monter un VPN... On parle de sécurité offensive l'idiot du vilage
Tu fais croire que tout est compliqué, comportement typiquement français.
C'est simple :
Base systeme
Base réseau
Base progQu'il sache lire du JS, le fonctionnement d'un serveur web etc
Une fois que t'as fait ça tu fais portswigger into HTB et ensuite tu te lances dans le bug bounty.
Je vais pas débunker ton pavé de frustré qui veut pas que les autres apprennent, mais à quel moment t'as besoin de savoir mettre en place un WAF ?????????????????? xd
Et pourquoi centos en particulier ?
"contrer les ddos" en une requete google tu as ta réponse.Tu dis de la merde de A à Z c'est un truc de taré, hallucinant. Typiquement français le comportement, j'avais affaire au meme trou du cul quand je connaissais rien et que je voulais faire de la sécurité offensive
BREF l'op si tu veux en faire ton métier, fait BTS + LPRO + MASTER en alternance et ensuite tu passes l'OSCP. A coté tu fais du bug bounty hunting ( une fois que t'as fait ce que je t'ai dit)
Et tu seras bon
calmos khey respire, fait toi couler une camomille
cybersécu où sens où toi tu l'entends = boulot de merde de matrixé sans aucun challenge = plafond de verre très rapide = tu te fais chier à te tirer une balle
je suis pas sur rootme
j'ai commencé software engineer
puis cloud / devops
et maintenant je suis architecte cloud / devsecopsun consultant en cybersécu maitrise toute la stack ahurin
si tu veux amasser masse thune, tu prends du reculsi tu veux t'amuser à fermer des ports et blacklister des ip... ce n'est qu'une infime partie de la cybersécu
+ je n'essaie pas de décourager l'auteur
j'essaie au contraire de l'encourager à étudier toute la stack s'il le peut
ça lui ouvrira BEAUCOUP BEAUCOUP plus d'opportunités et SURTOUT DES PERSPECTIVES d'EVOLUTIONet PAZ sur toi
"devops"
Je parle de sécu offensive l'ahuri, j'ai jamais parler de blue team ( ton shitjob)
Et si t'as moins de 1000 réputations sur hackerone me parle meme pas de sécurité informatique en fait.
+
Rien qu'en bug bounty j'ai fait 4500€ sur les 3 derniers mois + boulot de pentester je pense que je gagne plus que toi
t'as aucune idée de combien je gagne avortin
bref, je sais pas pourquoi tu transpires et réagis émotionnellement à mes messagesl'auteur lui a apprécié
je t'invite à relire sa toute première phrase du topaxtant mieux pour toi crayon si t'es heureux
je te dis juste que j'aspire à bcp plus que ce que tu dis
et c'est pas en faisant du pentest que j'y arriveraips : va jeter un coup d'oeil sur combien est payé un senio solutions architect
PAZ sur toi nonobstant en dépit de ent's
Je fais en moyenne 2000€ net en bb
rajoute à ça mon salaire de pentester junior 2500€ net4500e net
Je débute. Je compte faire beaucoup plus en bug bounty dans les mois qui arrivent. Impossible que tu gagnes plus que moi.
En France en IT très peu de personnes gagnent plus que moi
ok avortin
Le 16 janvier 2022 à 20:41:38 :
Le 16 janvier 2022 à 20:40:35 :
Le 16 janvier 2022 à 20:35:08 :
Le 16 janvier 2022 à 20:31:42 :
Le 16 janvier 2022 à 20:24:43 :
Le 16 janvier 2022 à 20:05:58 :
en vrai l'auteur la route est longue un peu
il va falloir que tu comprennes un peu tout le fonctionnement d'un système informatiqueLes couches OSI c'est un truc
mais en ingé cybersécu, il faut que tu comprennes les protocoles de chaque couche, les types d'attaques qui peuvent avoir eu lieu par niveau et donc par protocole
- il faudra que tu comprennes le chiffrement (a)symétrique, les certificats, les signatures numériques, les PKI, les KMS...
- que tu saches mettre en place un VPN, configurer un pare-feu (1, 2eme génération), mettre en place des DMZ..
- Que tu saches mettre en place des NACL, et à quel niveau on les trouve...
- il faudra que tu saches agir sur le routage et le filtrage à plusieurs niveaux.. en utilisant plusieurs logiciels ou VMs
- Que tu saches comment intérgrer tout ça dans active directory
- comment utiliser centos (et sur quoi ça repose)..
et ça, encore, ce n'est qu'une partie de la partie système
Il te restera la partie applicative - applis web (couche 7 principalement)
- les injections embarquées dans des requêtes http (xml, sql) et la securisation des accès aux APIs
- les tokens jwt ou autres
- tls/ssl et les certif
- les connexions ssh
- la gestion des secrets
- la mise en place de WAF...
- contrer les ddos et autres
une fois que tu auras saisi tout ce bordel et ce que veut dire "une attaque"
il te faudra apprendre les contre-mesures pour chaque classe d'attaque en général et en particulierune référence pour y voir un poil plus clair, le top 10 des cyber-threats au niveau des applis web https://owasp.org/www-project-top-ten/
et puis y'a la sécurité non fonctionnelle
rgpd
sécurité dans le sens pérennité des données
etcet dans tout ce bordel, je te parle même pas d'automatisation au niveau infra, et au niveau appli
les pentest c'est ce qui vient à la toute fin
mais t'as 36000 contre-mesures à tous les niveaux d'un système"le pentest vient à la toute fin"
non ? Je connais pleins de gens qui ont commencé directement en pentester en France. à l'étranger tu as juste l'oscp sans diplome on te prend en pentest junior. Au bout de 6 mois d'xp toutes les entreprises te suces la bite
oui tu as raison
je ne veux pas dire "en fin de carrière"mais dans ce sens "pour diagnostiquer / sécuriser un système, les pentest, c'est ce qui vient plutôt à la fin"
une requête pour être traitée atterrit en infra, dans l'environnement de prod à destination du serveur qui héberge le service qu'elle sollicite
dans son épopée, elle rencontrera moult étapes avant d'arriver à sa destination
et parmi ces étapes, certaines permettront de la jarreterj'ai une vision un peu bottom-up et top-down sur le sujet clé...
avec les années, cybersécu c'est devenu très très vaste et ne se limite pas au réseau/systèmeTout ça pour se retrouver avec une RCE parce que t'as un service qui tourne log4j
Quand je vois certaines failles que je trouve sur certaines entreprises coté en bourse, je peux pas m'empecher de te voir comme un vendeur de tapis désolé
ce que je veux dire c'est que c'est pas ton WAF / firewall qui va protéger quoi que ce soit, si l'app est vulnérable tout ce que tu as mis à coté ne sert à rien
mais
c'est quoi ton problème avec moi avortin, respire un coup, ça va bien se passertu connais absolument rien de mon taff ahiii
et donc pour toi c'est les pentest la solution au log4j ? je comprends pas
+ pourquoi m'associer log4j ?
+ encore une fois t'as aucune idée de mon taffpas très fin d'esprit tout ça
C'est toi qui parle de RGPD de WAF d'iso 27001 etc...
Je peux pas m'empecher de te voir comme un vendeur de tapis.
un jour si tu comprends, fais moi un mp
Oh salut l'opax
Bon courage dans ta démarche tu me rappel moi plus jeune
Et oublie pas un truc > la sécurité c'est pas que le code et les ports, c'est aussi où tu run tes apps et de quelle façon
Petit conseil l'auteur
Quand tu te lances dans un projet
Fixe toi une durée à sacrifier où tu vas aller jusqu'au bout
Très souvent, on se décourage au début vu la quantité de travail à fournir, on se dit que ça va être une perte de temps et on retourne à sa routine.
Je te parle d'expérience
Donne toi par ex 2 ans pour tout baiser, où tu iras au bout peu importe la difficulté
Rien n'est impossible avec une bonne organisation, méthodologie et du culot
Le 16 janvier 2022 à 19:49:35 :
Le 16 janvier 2022 à 19:48:29 :
Le 16 janvier 2022 à 19:42:47 :
Non mais je veux dire que s'il décide de trouver une voie en partant de zéro y a mieux à faire que l'informatique je pense, surtout si tu veux gagner beaucoupRien de méchant
Je respecte les gens qui se reprennent en main c'est très bien l'auteur, je suis avec toiMerci khey, après j'ai une réelle appétence dans ce domaine, j'aime aussi le challenge et le travail et c'est un travail qui est bien payé quoi qu'on en dise, même en junior selon le métier tu touches mini 2k5. Je compte clairement pas gagner énormément d'argent mais plutôt faire un métier qui me fait plaisir sans pour autant toucher le smic, et plus j'en apprends plus j'adore.
Au pire tu pourras te foutre de ma gueule si j'abandonne mais c'est pas prêt d'arriver vu ma mentaleSi t'as pas de master tu vas jamais gagner ces salaires en débutants, et meme les master gagnent rarement ça en débutant
Je touche 2k3 net junior avec un bac+3 perso, c'est quitte ou double, si t'arrives à trouver le filon ca passe
Le 16 janvier 2022 à 20:31:23 :
Je vais pas citer tout le monde car c'est trop volumineux pour rien mais je prends en compte tous vos messages et merci pour ceux qui apportent du soutienEn vrai ouais ça a l'air d'être un consensus qu'il est vital d'aller viser le Master donc je vais partir sur ça l'année prochaine.
Je retourne me former, je reviens demain 20h comme d'hab', passez une bonne soirée les kheys
Khey je peux t’aider si tu veux.
Dans l'ordre des choses pour que à la fin on est un petit bagage pour pouvoir trouver un job dans le domaine.
Merci d'avance les khey
regarde ce lien, c'est important,
https://github.com/ChocolateCharlie/TeachYourselfCS-FR/blob/main/TeachYourselfCS-FR.md
Apprenez par vous-même la science informatique
Ce document est une traduction de TeachYourselfCS, écrit par Ozan Onay et Myles Byrne.
Ceci est une traduction de la version originale mise à jour en mai 2020.
Si vous êtes un ingénieur autodidacte ou que vous avez suivi une formation accélérée, vous vous devez d'apprendre la science informatique. Heureusement, vous pouvez vous instruire dans ce domaine sans y passer des années ni dépenser une petite fortune dans un diplôme 💸.
Si les ressources disponibles sont nombreuses, toutes ne se valent pas. Et vous n'avez pas besoin d'encore une autre liste de "200+ cours en ligne gratuits". Vous avez besoin de réponses aux questions suivantes:
Quelles disciplines apprendre, et pourquoi ?
Quel est le meilleur livre ou la meilleure série de cours filmés pour chacune de ces disciplines ?
Ce guide est notre tentative de répondre définitivement à toutes ces questions.
En bref
Étudiez l'ensemble des neufs disciplines suivantes approximativement dans le même ordre à l'aide du manuel ou des vidéos conseillées (idéalement les deux). Comptez 100 à 200 heures pour chaque sujet, puis revoyez vos préférés tout au long de votre carrière 🚀.
Domaine Pourquoi l'étudier ? Livre Vidéos
Programmation
Ne soyez pas la personne qui n'a "jamais vraiment bien compris" quelque chose comme la récursion.
Structure and Interpretation of Computer Programs
Berkeley CS 61A par Brian Harvey
<u>
Architecture des ordinateurs</u>
Si vous n'avez pas une représentation mentale solide de la manière dont fonctionne un ordinateur, toutes vos abstractions de haut niveau en seront fragilisées.
Computer Systems: A Programmer's Perspective
Berkeley CS 61C
<u>
Algorithmes et structures de données </u>
Si vous ne savez pas comment utiliser des structures de données omniprésentes, comme des piles, des queues, des arbres ou des graphes, alors vous ne serez pas en mesure de résoudre des problèmes difficiles.
The Algorithm Design Manual
Les cours de Steven Skiena
Mathématiques pour l'informatique
La science informatique est fondamentalement une branche dérivée des mathématiques appliquées, par conséquent apprendre les mathématiques vous donnera un avantage compétitif.
MIT 6.042J par Tom Leighton
Système d'exploitation
La plupart du code que vous écrivez est exécutée par un système d'exploitation donc vous devriez savoir comment celui-ci interagit. Operating Systems: Three Easy Pieces
Berkeley CS 162
Réseaux informatiques
Internet s'est avéré être une grosse problématique: comprenez comment il fonctionne pour déployer son plein potentiel.
Computer Networking: A Top-Down Approach
Stanford CS 144
Bases de données
Les données sont au coeurs des programmes les plus importants, or peu de personnes comprennent comment les systèmes de bases de données fonctionnent réellement.
Readings in Database Systems
Berkeley CS 186 par Joe Hellerstein
Langages et compilateurs
Si vous comprenez comment les langages et les compilateurs fonctionnent, votre code en sera meilleur et il vous sera plus aisé d'apprendre de nouveaux langages.
Crafting Interpreters
Le cours d'Alex Aiken sur edX
Systèmes distribués
De nos jours, la plupart des systèmes sont distribués.
Designing Data-Intensive Applications de Martin Kleppmann
MIT 6.824
Données du topic
- Auteur
- AbyssalGrowth
- Date de création
- 15 janvier 2022 à 19:22:21
- Nb. messages archivés
- 105
- Nb. messages JVC
- 105