¿Dónde debe comenzar un joven de 15 años si quieren aprender las pruebas de penetración?

Te recomendaría que comiences por ver cómo funciona la seguridad (y qué tipo de vulnerabilidades hay), y te preocupes por las certificaciones un poco más tarde (no todos los lugares se preocupan por las certificaciones).

Las herramientas de ejecución que alguien más haya creado descubrirán muchas de las mismas vulnerabilidades, pero todos, al menos con la mitad de la competencia en las computadoras, pueden ejecutar un script, o al menos buscarlo en Google en unos minutos. Sin embargo, si conoce suficientes mecanismos, podría descubrir algo que otra persona podría haberse perdido. Debes comenzar a observar algunas fuentes que específicamente reportan vulnerabilidades. (Es posible que los más nuevos aún no tengan herramientas que los revisen).

Además, descubra cómo crear máquinas virtuales si no lo ha hecho, algo con lo que puede simular cosas y jugar con abandono y no preocuparse por romper de alguna manera su sistema operativo principal. Existen bastantes programas y sistemas operativos “intencionalmente dañados” que están diseñados específicamente para el aprendizaje de pruebas de lápiz. La mayoría de las veces, también probará contra un clon del sistema en vivo, no contra el sistema en vivo.

Si sabes lo que se debería haber hecho, normalmente puedes darte cuenta rápidamente cuando no se ha hecho … Las pruebas con el lápiz se reducen a “¿puedo ingresar algo o no? ¿Debo hacerlo?” Es más fácil hacerlo así que cuando sepa dónde están todas las ventanas, puertas, felpudos y macetas …

¿Ejemplos específicos sobre lo que podrías mirar?

¿Por qué un sitio con “https: //” antes de su dirección es más seguro que uno con “http: //” al principio? ¿Cuál es la diferencia entre un certificado autofirmado y uno emitido por un proveedor confiable? ¿Qué hace que un proveedor sea de “confianza”? ¿Son de confianza?

¿Por qué la mayoría de los navegadores le gritan certificados autofirmados y le advierten sobre el “inicio de sesión inseguro” en los sitios http?

¿Por qué es importante verificar si una cosa está dentro de las restricciones esperadas? ¿Cómo hacerlo de manera efectiva? ¿Cómo funcionan las cosas como “Heartbleed”?

¿Cómo funciona el cifrado de clave pública? ¿Por qué es difícil averiguar cómo descifrar algo en función de la clave pública? ¿Cómo funciona el intercambio seguro de llaves en largas distancias? ¿Cómo funciona SSH?

¿Hombre en el medio? Oler? ¿Puedo obtener algo de los encabezados de paquetes de paquetes cifrados?

¿Cómo se deben almacenar las contraseñas y por qué algunos algoritmos hash son preferidos a otros? ¿Qué hace que un algoritmo hash sea “fuerte”? ¿Qué es una tabla de arco iris?

¿Qué es la inyección de SQL y qué tan malo puede ser?

¿Cómo sanear adecuadamente las entradas?

¿Cómo utiliza una botnet una computadora sin su permiso?

¿Qué son todos estos puertos y qué hacen los firewalls básicos como iptables? ¿Cómo funcionan las direcciones IP en general?

¿Qué puedo hacer con la información de algo como ejecutar un escaneo de puerto? ¿Qué hacer para evitar que las personas escaneen todo y prueben cosas hasta que algo funcione?

¿Cómo funcionan los permisos de usuario y grupo en Linux? ¿Por qué es peligroso ejecutar un servidor web como root? ¿Y qué pasa con los permisos de “otros”?

¿Cuántas capas de permisos hay? Un sitio puede tener permisos, una base de datos bajo él puede tener algunas restricciones más, luego los usuarios que ejecutan la base de datos y el servidor pueden tener un conjunto de permisos diferente. Permisos.

¿Qué pasó con la discordia recientemente? ¿Lo de CloudFlare?

¿Qué son las supercookies?

Estas son solo algunas de las ideas que me vinieron a la cabeza de inmediato: fíjate, deliberadamente sin tocar Google. Perdóneme si conoce los mecanismos entre algunas de esas preguntas y puntos; Estas son solo algunas ideas aleatorias de las cosas que podrías considerar si aún no lo has hecho.

Pero también debe recordar siempre que el humano es a menudo el enlace más débil … Nada salvará a una empresa si el administrador usa “password1” como contraseña.

Related Content

¿Qué ejercicios debe hacer un niño de 13 años para obtener abdominales? ¿Cuánto tiempo tomaría aproximadamente?

A los 16 años de edad, cuyos padres viven en el extranjero, ¿cómo puedo hacer visitas a la universidad fuera del estado?

¿Por qué los contenidos sexuales a menudo se limitan a las edades 17+ o 18+?

Cómo ser un adolescente varonil

¿Por qué odio conducir?

Estoy de acuerdo con la respuesta de Iris. Primero aprender el concepto de seguridad.

En resumen tienes que asegurar las siguientes cosas:

SO : Cuentas de usuario, Sistema de archivos, Servicios / Procesos y Red.

Aplicación : Vulnerabilidades de código

Sobre la conexión superior : Principalmente conexión https (ssl).

Ahora trata de cavar cada uno de ellos.

Luego están DDOS, desbordamiento de búfer, inyección de sql, tipo de ataque a través del sitio. Estos caerán en una de las categorías anteriores.

Arriba te dará una buena vista. Luego comience a leer las pruebas de lápiz, que no son más que pruebas profundas, vulnerabilidades en todas las capas.

Suhas Mirade

Aprender a aprender es una búsqueda de por vida. Con el tiempo he encontrado algo nuevo, es mejor comenzar con la autoevaluación.

¿Cómo aprendes, visual, escritura, cinética? Personalmente, soy un aprendiz visual y necesito cinética para desarrollar una habilidad.

Encuentra a alguien local para que te ayude, la mayoría de las ciudades principales tienen reuniones. Si no ve un grupo infosec, comience con una red o un grupo orientado a sistemas. Es mucho más fácil para la mayoría de las personas aprender de otros con más experiencia. Los hackatones en las universidades son excelentes lugares para conocer a otros.

Desarrolle un entendimiento de alto nivel de la arquitectura del sistema, las áreas de superficie y cómo el tráfico se mueve alrededor de una red desde los diagramas de visio. Comprender el mapeo de los dispositivos y el descubrimiento son críticos para calcular el riesgo y la vulnerabilidad.

Practique con herramientas disponibles en AWS gratis o casi gratis. Aprender los conceptos básicos de cómo funcionan los sistemas operativos y cómo realizar tareas de script es importante. Una vez que aprendas el marco, el resto es sintaxis. Linux, AIX, MVS, IOS, JUNOS siguen todas las reglas básicas.

Las certificaciones son valiosas, me gustaría ver una ruta amplia de tipo CISSP frente a un certificado enfocado al comenzar.

Una de las habilidades más subestimadas es la ingeniería social. Las infracciones de mayor perfil en la historia son las personas que pasan por alto la seguridad extensiva por una razón u otra.

Los Juegos Olímpicos, cero días, el phishing son geniales, pero pagarle a alguien $ 5000 dólares por su identificación y contraseña puede ser igual de efectivo, a veces, pedir bien es suficiente para obtener acceso.

Ben Gent

Estoy de acuerdo con los otros carteles. Asegúrese de tener un buen sentido de la seguridad en general antes de intentar hacer frente a las pruebas de pluma. Nuestro blog puede ser un buen recurso para usted. Cubrimos una gran cantidad de temas de seguridad y tendemos a ser bastante profundos, pero definitivamente no se nos pasará por alto.

Inside Out Security – Varonis Blog

También tenemos algunos cursos de video creados por Troy Hunt que impulsarán sus conocimientos básicos de seguridad.

Además, tenemos un par de buenas series de blogs dedicadas a las pruebas de pluma en las que puede sumergirse una vez que esté listo.

¡Buena suerte!

Ben Gent

More Interesting

Nadie en mi familia me ama, ni siquiera me gusta. Tengo 15 años, ¿cómo puedo escapar?

Si todos descubriéramos el año próximo que dios era un niño de 14 años en 2032 y solo 1 de cada millón de personas era real, ¿te considerarías real?

Como aspirante a artista de 15 años, ¿cuáles son algunas de las cosas que puedo hacer para mejorar mi arte?

Cómo lidiar con una hija descarada de nueve años

¿Ser un adolescente es tan malo?

¿Hay cursos disponibles para jóvenes de 15 años en bellas artes en la universidad de Kashmir?

¿Ser una ayuda asiática no estereotípica en las admisiones universitarias?

¿Se considera incorrecto salir con un hombre 16 años más joven sin hijos propios?

¿Debo llamar a un chico que no he visto desde el primer grado?

¿Qué consejo le darías a un niño de 14 años que participa en una competencia de artes marciales por primera vez?