So che ci sono diverse competizioni di hacking, ma mi piacerebbe sapere come prepararsi per le competizioni di hacking.
So che ci sono diversi corsi di hacking, online e offline, ma sembrano solo prepararsi per gli elementi di base. Prendere i corsi OSCE / CTP fornire una preparazione sufficiente?
Non considererei alcuna certificazione o corso una preparazione sufficiente per una competizione di hacker, presumendo che tu stia parlando del tipo di competizioni di Capture the Flag che tendono a essere eseguite alle conferenze. Di solito non si concentrano su alcun aspetto particolare della sicurezza delle informazioni, ma piuttosto su una vasta gamma di competenze tecniche.
All'ultima conferenza alla quale ho partecipato, il loro CTF ha coperto i seguenti argomenti:
Questo non è il tipo di cose che puoi imparare in una settimana (o un mese, se è per questo) in un corso. Mentre l'attenzione è rivolta a testare le abilità tecniche dei partecipanti, una grande parte del fattore di successo è l'intuizione e l'esperienza. Si tratta di avere una vasta esperienza in una varietà di argomenti, con una profondità sufficiente in alcuni per creare soluzioni complesse ai problemi.
Dipende dal tipo di competizioni di hacking a cui vuoi prendere parte. Ci sono caccie per le applicazioni web per le quali vorresti sapere su HTTP, browser, SQL injection, XSS (cross site scripting) e principalmente javascript. Usando alcuni strumenti per forza bruta per rompere un hash. Dovresti conoscere la chiave pubblica e la crittografia della chiave privata.
Se stai facendo un hacking basato su applicazioni come trovare bug in un programma. Vorresti imparare molti comandi linux come strace. Dovresti essere in grado di fare il reverse engineering.
Se partecipi a gare di tipo CTF dovresti conoscere le basi delle reti. Impara i comandi di linux basati sulla rete o impara a usare strumenti come nmap, wireshark.
Come diceva il polinomio, non puoi impararlo in un intervallo di tempo definito. Dovresti praticare e tenere le orecchie aperte per le ultime cose che stanno accadendo in sicurezza.
Per allenarsi per le competizioni di hacking, è necessario modificarlo.
Il polinomio ha ragione quando dice che le abilità necessarie per avere successo in una competizione CTF o hacking non vengono apprese in un giorno. Il modo migliore per migliorare è trovare CTF online e esercitarsi sotto la pistola.
Questo è un link ad alcuni CTF online . Vorrei iniziare con questi. Defcon pubblica link a CTF a cui puoi partecipare per qualificarti per il loro CTF. Link CTF Defcon
Successivamente andrei a una conferenza sulla sicurezza che consente a chiunque di competere nel CTF e competere. Quelli più piccoli, quelli più grandi, quelli di media grandezza funzionano tutti. Esercitati lì e poi vai sulle soluzioni che le persone postano ai problemi che non capisci.
Come ha detto Polynomial, un sacco di diversi tipi di conoscenze sulla sicurezza sono importanti. Questi CTF sono non vinti da 1 persona. Sono vinti da una squadra. A DerbyCon quest'anno ricordo di aver parlato con la squadra vincente che era composta da 6 membri. Alcune squadre (a seconda delle regole del CTF) hanno dozzine di membri fuori sede per aiutare la squadra e fornire una base di conoscenza più ampia. Queste squadre più grandi sono solitamente divise in squadre più piccole che hanno specialità. Ciò significa che imparare tutto può essere prezioso ... ma imparare tutto su una cosa è utile anche se sei veramente cazzuto a quell'unica cosa.
Se entri maggiormente nella comunità CTF / ConferenceSec, probabilmente finirai per diventare parte di una squadra per avere effettivamente una possibilità di vincere alcuni di questi grandi nomi CTF.
Dig. I CTF sono divertenti sia che tu ottenga il primo o l'ultimo, a patto che tu gli conceda qualche sforzo.
Leggi altre domande sui tag professional-education