Мама, я хакер. Или как, где и чем я пользуюсь для того чтобы им стать сегодня
Начало
Здравствуй, читатель.
Это моя первая статья на данном ресурсе и надеюсь она будет полезной для всех ребят, которые задались вопросами и целью — «Как мне стать хакером?», «Как мне самостоятельно учиться и где это делать?», «С чего начать свой путь?», «Где мне найти нужную информацию и вообще как её искать по тематике хакинга?».
На все эти вопросы и парочку других я постараюсь сегодня ответить в своей первой статье.
А также немного познакомить вас со своим путём становления, не постесняюсь этого бранного слова, хакером.
А так, как с размерами моего эго, может потягаться только сверх-массивная черная дыра в кластере супергалактик — то я постараюсь сделать эту статью/гайд/обзор — максимально объемным и полезным для новичков любого уровня, чтобы он стал ЛЕГЕНДАРНЫМ и на него все ссылались отныне и вовеки веков.
Ремарка — все указанные ссылки не имеют никакого рекламного подтекста.
Я никак не связан и не рекламирую ничей продукт, ссылки на которые будут представлены в этой статье.
Немного обо мне
Прежде, чем бежать и жадно изучать ресурсы, которые я подготовил, потратив кучу времени, сил и нервов своего бренного тела, я подумал, что было бы полезно поделиться с вами тем, кто я такой и почему вообще я этим занимаюсь. (но если тебе не терпится, скорей листай вниз, там куча полезностей и ссылок).
Меня зовут Ричард, на просторах интернета меня никто, нигде и никогда не знал ни под какими именами, потому что я, собственно говоря, никогда, нигде и не светился.
В прошлом году, в моём дурном мозге в очередной раз, родилась очередная дикая мысль и связана она была с тем, чтобы слепить из себя профессионального хакера и в целом спеца в сфере информационной безопасности.
А так как по образованию я являюсь «специалистом по организации и технологиям защиты информации», но никогда не работал (на момент написания статьи) и дня по-своему профильному образованию, то мне показалось это втройне ироничным — что спустя долгие годы, популярного как сегодня говорят, «поиска себя и своего предназначения», начиная от помощника кондитера в сша будучи оголтелым студентом, до, спустя многие годы, организатора фестиваля по паркуру будучи уже взрослым парнем аспирантом физ.мата — я вернулся к тому, с чего начинал.
Посему, поделиться такой ироничной и, возможно, в каком-то будущем, даже интересной историей обязан, особенно если она кому-то, да поможет однажды.
На большее я и не могу надеяться.
Так как за годы проб, придумывания отговорок, причин и метаний (что собственно говоря типично для ребят моего поколения) в стиле — «Что же мне стоит делать?», «Куда лежит душа?», «Это не интересно», «Здесь скучно», «Тут тупо», «Здесь вообще меня воротит от сферы деятельности», «Да ну не, может мне бросить всё и стать мотогонщиком ралли гонок ДАКАР?», «Не, может лучше мне поступить в MIT и заняться роботехникой?», «Или может быть я просто ленивый и бесконечно прокрастинирующий фантазёр, и буду всю жизнь работать посредственным специалистом в какой-нибудь конторке?». Или просто потому что я никак не мог перестать лениться и избегать той работы, которая мне сразу оказалась не по душе. Даже если мне нечего есть и моё обыденное существование подвергается опасности, я всё равно буду продолжать это делать. Такой вот я упёртый/глупый/самонадеянный/сверх меры самоуверенный в себе баран.
Но, в итоге, остановился я твёрдо и уверенно на теме хакинга.
Это оказалась та бесконечно-фрактальная тема и область, где моё нескончаемое любопытство (а проще говоря ОКР и желание быть готовым ко всему, всегда, везде), а также вечное стремление узнавать новое, неспособность сидеть долго на уже досконально изученном до дыр месте, и желание применять полученные знания на высоком уровне скилла на практике — наконец-то гармонично собрались, как будто так и надо было, в единую картину — «это то что надо, чувак, давай обоснуемся пока в этих чертогах.» — вещал я себе сам, радуясь как ребёнок, думая что мои потуги наконец-то подходят к концу (ага, щас).
И, так как по натуре уродился таким человеком, который любит и верит в то, что если помогать своему окружению, то все будут от этого в плюсе и мы будем расти вместе с окружением быстрее, лучше, сильнее — я решил что мне стоит попробовать свои силы в том, чтобы делиться своими похождениями и ресурсами которыми я пользуюсь по ходу своих похождений с другими людьми.
Итак, после нудного и не особо полезного вступления, начнём.
Процесс обучения
Прежде чем я перейду к самой простой части — перечислению ресурсов и того, что вы можете из них получить и найти — считаю святой обязанностью поделиться своим взглядом на основы и процесс обучения, который стоит применять не только к теме хакинга, но и к ежедневным задачам, которые падают на каждого из нас, вне зависимости от образа мышления, языка на котором мыслим, спектра эмоций и мировоззрения.
Мне хотелось бы разделить условно процесс самообразования/самообучения на 2 важных составляющих.
И это:
1) Парадигма обучения, которой вы придерживаетесь (как вы смотрите на вещи вокруг вас, на себя, на людей, находите мотивацию, поддерживаете интерес, справляетесь со стрессом и проблемами, позволяете влиять на вас другим людям и многое-многое другое, ну или не/нет — ко всему ранее перечисленному в скобках).
2) Обладать навыком поиска нужной информации (это значит уметь искать быстро (потому что ваше время — это ограниченный и самый ценный ресурс который есть у каждого из нас), это значит знать где искать, чем искать, грамотно фильтровать и после, и самое важное — грамотно её структурировать/каталогизировать, хранить, дополнять и после удобно использовать).
Особенно если мы говорим про хакеров, для которых навык OSINT’a (Open source intelligence — разведка из открытых источников) — является одним из самых crucial умений в списке профессиональных умений.
В этом году будет только 30 раз, как мне удалось облететь вокруг Солнца, стоя, лежа, сидя на этой планете.
Но даже за это, не столь значительное, время я обрел уйму различного опыта и знаний касательно процесса обучения — начиная от паркура и езды на мотоцикле, заканчивая поиском первой уязвимости и могу сказать, что везде присутствуют одни и те же паттерны обучения, придерживаясь которых можно достичь успехов и поставленных целей.
Я хотел бы подытожить описанное выше следующим образом (сразу прошу учесть, это сугубо субъективный опыт моей жизни, я не претендую на звание преподавателя и тем более ментора, мне бы себе найти оного, но я всегда оспаривал современные методы школьного/университетского обучения в силу их кусочности, грубости, ригидности и как следствие ущербности, посему я буду описывать своё видение)
Я разделю ниже указанные области на аспекты.Так должно быть проще и понятней.
Аспект 1.
Правильно формулируйте и задавайте вопросы.
Изучение любой темы, будь это поиск уязвимостей XSS, осваивание основных инструментов для проведения пентеста, вождение мотоцикла или как выполнять правильно болевой приём Гяку-Удэ-Гарами — должно начинаться с двух вопросов.
1) Что я уже знаю об этом?
2) Чего я ещё не знаю про это?
Это можно описать так.
Представьте себе что вы стоите на горе и перед вами внизу лес, вам нужно попасть на другую гору, которую вы видите перед собой, но между вам как раз таки расположен тот самый густой, очень тёмный, непроглядный лес.Если вы запомните примерное расположение горы и спуститесь в лес не подготовившись, поспешив и понадеявшись исключительно только на вашу память и первоначальный интерес и мотивацию, начав ваш поход ко второй горе — вы несомненно рано или поздно, но ошибетесь, затем заблудитесь, и как итог сдадитесь обнаружив себя посреди чащи густого незнакомого леса.
Но если же вы, стоя на верхушке первой горы нарисуете себе примерную карту на первой попавшейся бумажке того, как вам попасть на вторую гору и приблизительный путь как добраться до неё — вы никогда не собьетесь со своего пути, потому что с верхушки первой горы вы успели заметить, что в середине леса, оказывается есть огромный дуб, у которого сломана верхушка кроны и пробивается яркий луч внутрь чащи , а вон там протекает ручей, а вот тут груда камней и небольшая скала и это можно использовать как ориентир.
И тем самым, когда вы спуститесь в лес и начнете свой поход — вы будете отслеживать свой прогресс и пройденный путь — всегда сможете вернуться и понять, где вы ошиблись и выбрали не верный путь, что послужило причиной ошибки и насколько вы отклонились от своей цели.Таким образом вы создаете себе мини-помощника на бумажке — структуру — это может быть структурированный список или крякозябры нарисованные от руки или что угодно -, но то, что понятно вам и не забудется спустя день, неделю, месяц. Это также может быть ваша уникальная система понятная только вам, экспериментируйте! Здесь нет единственного правильного ответа
Таким образом вы обхватываете сразу две основных области в ваших головушках и разом убиваете двух зайцев
Вы проходите один из самых важных этапов в процессе обучения — формированию структуры.
Вы можете не знать вообще ничего, знать частично об этом (услышав от друзей, увидев рекламу на ютубе или ролик в рекомендациях) или быть экспертом в этой области, но благодаря этим двум основным вопросам вы уже начинаете формировать в голове общий образ того, что и как вы будете запоминать о той или иной вещи.
Вы формируете входные точки для того, чтобы в скором времени перейти к второму важному этапу и это — поиск. Когда вы осознаете, что слово «кимура» для вас пустой звук — то самым первым делом вы, как и любой живой человек на этой земле, в голове обратитесь к инструментам которые позволят получить любую информацию о неизвестном — сначала в долговременную память, а потом вы полезете в поисковик и сразу же узнаете что это довольно популярная японская фамилия, а прокрутив первую страницу с результатами поиска, узнаете также что это болевой прием, названный в честь одного именитого борца, который собственно говоря и придумал его.
На данном этапе, если вы сумеете выстроить в голове ретроспективную линию и взглянуть на себя то вы осознаете, что пару минут назад, вы ничего не знали ни о том, что находится в лесу, что такое кимура, таких знаний попросту не было в вашей голове.
Но если вы будете придерживаться четкой структуры в процессе изучения чего-либо — то мозгу проще и гармоничней будет запоминать и выстраивать ассоциативные связи благодаря этому.Вы скажете, хорошо Ричард, это всё круто и здорово, но знать что-то не равно уметь делать это, да к тому же на профессиональном уровне.
И будете абсолютно правы.
Ведь практический опыт и теория неразрывно связаны.
А точнее практика это ваша теория, которая обрела физическую форму на бумаге, в ваших действиях и словах.
И тут стоит перейти к второму важному аспекту.
Аспект 2.
Ошибайтесь.Нет ни одного человека на этой планете, который бы жил, живёт и будет жить — и который бы не ошибался ни разу в своей жизни.
Быть хакером — значит обладать огромным запасом разношерстных, порой несвязанных друг с другом знаний из разных областей и умений — и как итог уметь их применять вкупе в нужное время, в нужном месте и получать результат высокого качества/уровня.
А подобный уровень недостижим, если вы не позволите себе ошибаться по ходу процесса обучения.
Сегодняшняя культура нашего социума и цивилизации в котором мы с вами живём — всё также инфантильна и скоропалительна, а также нетерпима к изменениям и самоанализу своих ошибок.А посему проще заклеймить и предать стигматизму ошибки и процесс их появления в наших жизнях, нежели принять их и сделать неотъемлемой частью наших жизней.
Ошибки это больно, неприятно, затратно по ресурсам (физическим, психическим, временным) — поэтому это естественно что наши мозги (то бишь мы) — хотим минимизировать подобный опыт и свести его желательно к нулю.
НО
Для прогресса это делать запрещено.
Ни у кого из нас нет доступа к шару с предсказаниями и тому, что будет с нами в будущем.
А потому никто не может знать, принесет ли мне занятие хакингом истинное удовольствие в жизни, стану ли я топ-10 на hackerone и заработаю милльоны-милльонов долларов на этом? (спойлер — если вы решили заниматься хакингом исключительно ради денег можете закрыть эту статью и забыть обо всём что прочитали как страшный сон, эта сфера точно не для вас просто потому что вы быстро выгорите и вам быстро надоест), стоит ли мне записаться на курсы? Или заниматься самому? Читать мне эту книгу или вот эту?До тех пор пока вам приносит это удовольствие и делает счастливым — продолжайте это делать и старайтесь делать это отлично, будьте честны с собой и результатами которые показываете, будьте достаточно строгими к себе и требовательными, но и умейте хвалить себя за проделанную работу и награждать (это важно для того, чтобы быть успешным и закреплять в себе правильные паттерны и пути мышления) и самое главное вовремя и качественно отдыхать (это тоже навык, которому надо учиться и увы не все умеют это делать).
Я хочу чтобы вы вспомнили себя детьми или те у кого есть дети и они сейчас учатся ходить.
Если посмотреть на детей и их многочисленные попытки научиться ходить — вы не увидите ни одного ребёнка, который после пары падений на зад, сядет, закинет ногу на ногу и смачно посасывая соску аки заправскую сигару скажет «знаешь, пожалуй мне стоит записаться на курсы по ходьбе, я не справлюсь с этим никогда сам, пожалуй это не моё, я не достаточно для этого подготовлен, вон Света ходила на курсы и её там научили ходить за неделю, представляешь?»На данном изображении приведен пример того как происходит выход из зоны комфорта и постепенный переход в зону роста, через зону страха и обучения с попутными состояниями в каждой зоне.
Всё что вы увидите — это нескончаемые падения и вставания после падений. 0 оправданий, 0 поиска причин почему не удалось и самокопания в себе. Это лишь чистые, честные постоянные попытки в которые дети вкладывают все свои усилия, навыки и знания.
До тех пор пока не будет достигнут единственный верный результат — уметь ходить как все.И мне хотелось бы чтобы такой менталитет и такое отношение к своим занятиям, ошибкам и сложностям которые вас поджидают вы закрепили у себя в головах.
Не важно что вы делаете, учитесь готовить, крутить заднее сальто, приседать со штангой или пытаетесь научиться эксплуатировать SQL-инъекции — если вам это дорого, вы любите это и вам интересно — отриньте мысли о неудаче и то, что у вас что-то может не получиться. И тогда ничто не будет вам мешать, всё время и возможности которые есть у вас, откроются у вас перед глазами, останется только взять и пользоваться ими.Проблема это лишь эмоциональное состояние. Без эмоций — это просто ситуация.
Задачи не должны быть слишком простыми, иначе ты потеряешь интерес.
Задачи не должны быть слишком сложными, иначе ты просто уйдешь в отказ.Баланс доступности задачи и её сложности — сохраняет живость и интерес к ней.
Можно прибегнуть к разным подходам, таким как Закон Парето или нагуглить кучу разных видео с Ted talks, или вот такую диаграмму в виде пирамиды, или очередное мотивирующее видео — суть остается одна и та же.
Мы люди, основным интерфейсом которым мы контактируем с внешним миром всё также остается наше тело, наше тело имеет свойство реагировать на разные раздражители по разному и из этого формировать симбиоз чувств+эмоций, исходя из этого мы принимаем те или иные решения в своей жизни, которые приводят нас или уводят нас от того, чего мы действительно желаем.
Посему закон простой — пойми как устроен и функционируешь ты — поймешь как можно контролировать себя — поймешь что можно делать со своей жизнью.
В этом вся суть хакинга.
Изучить неизвестное, разобрать на компоненты, изучить детально компонент, собрать и посмотреть как работает вся система или части системы — научиться управлять этим так, как хочешь ты, а не так как есть по дефолту.
Аспект 3.
Выгорание и фрустрация.
Сфера информационной безопасности невообразимо огромна. Пентест, реверс, беспроводные сети, физический пентест, OSINT, ботнеты, форензика, 0-day уязвимости, DDOS/DOS атаки, сетевые уязвимости, уязвимости мобильных устройств, военная промышленность, банковское ПО, криптография и шифры — это лишь часть того, что я вспомнил наугад из головы, где информационная безопасность не просто важна, а играет жизненно-важную роль для функционирования той или иной отрасли.
Не хватит одной человеческой жизни, чтобы осилить каждую сферу и стать невероятно крутым спецом, знающим своё дело как никто другой в области в инфобезе.
Я потратил весь прошлый год, только на то, чтобы вспомнить университетскую базу и в целом вновь окунуться в мир инфобеза, понять что вообще сейчас происходит, какие хакеры кого терроризируют, какие тулзы используются в криминалистике, а какие в пентестах, что такое реверс и как пользоваться burpsuite. И почти всегда меня сопровождало ощущение «ё-маё, ну неужели я такой тупой, что не могу запомнить такие простые вещи как HTTP заголовки или модель OSI, или как мне и когда собирать информацию о цели, что такое SQL инъекция и как вообще мне её применять».
Но я старался не обращать внимание на подобные мысли, потому что я понимал, что я сейчас выстраиваю свой базис, основу на которую я буду сверху накидывать уже костяк своих умений и далее плясать в те сферы, которые мне будут наиболее интересны.
Посему я просто давал подобным мыслям, фрустрации и нежеланию продолжать немного повариться во мне — отвлечься на ютуб, покушать вкусной еды, покачать пресс — и возвращался вновь к тому, на чём останавливался.Постоянно напоминайте себе о том, куда вы идёте, зачем и почему. Это полезно, это подзаряжает мотивацию, напоминает вам и позволяет высунув голову из тонны документации и текста с практикой — оглядеться, осознать на каком вы этапе и что вообще вы делаете сейчас и куда движетесь.(порой когда увлечешься какой-то темой, можешь вообще забыть с чего ты начинал, я не единожды начинал читать про модель OSI, а заканчивал в итоге про настройку сертификатов HTTPS соединения и как это сделать на apache2 и nginx или начинал изучать HTTP методы, а через полчаса находил себя за просмотром видео по тому как ломать wi-fi сети).
Также нужно помнить что каждый из нас по разному толерантен к фрустрации и неудачам. Для кого-то затяжные провалы и неудачи могут не иметь серьезного эффекта на процесс обучения, работы и повседневной жизни, для кого-то даже легкая неудача равносильна гибели и провалу всей жизни, которая выбивает из распорядка дня на продолжительное время и заставляет зациклиться мыслями про неё.
Однако, спешу обрадовать всех, кому сложно справляться со своими неудачами из-за чего создается и переносится целый ворох проблем попутно с этим страхом.
Подобную толерантность вполне реально натренировать как любую другую мышцу тела (ну почти любую.Достаточно лишь взглянуть на очередную, нагло стыренную мной инфографику с ресурса о котором я сейчас ниже буду детально писать:
Как видно из картинки выше — когда у нас есть четкое видение, навыки, наши стимулы выстроены, у нас достаточно ресурсов (денег, еды, мы выспались, морально готовы браться за очередную ответственность, у нас подготовлен и разработан первичный план действий и намечены основные майлстоуны по достижению которых мы проверим свой прогресс) и у нас есть план действий, которому мы будет следовать пока пробираемся через наш любимый, в самом начале описанный дремучий лес — мы четко и уверенно придём к точке под названием — Организованный успех.
Если же у нас не хватает видения — то тогда рождается замешательство — где начать? откуда? что мне читать?, а правильно ли я делаю, начав с этой книги, не пропускаю ли я каких-нибудь важных основ?
Если у нас не хватает скиллов — мы начинаем чрезмерно волноваться и беспокоится что мы не справимся — как можно пройти дремучий лес, зайдя в него наполовину, без карты или хотя бы компаса?
Если у нас недостаточно стимулов — происходит медленная, но верная смена интереса и затухание, в итоге мы сначала говорим «всё круто я справлюсь», потом это меняется на «да всё ок, должен справиться», «я не знаю справлюсь ли» и финальное и любимое «у меня не получится».
Если не хватает ресурсов — мы впадаем в хорошо всем знакомую фрустрацию и как следствие нежелание вообще за что-либо браться или что-либо делать.
Если нет четкого плана действий — то сложно понять куда двигаться, какие этапы проходить и как достичь желаемой цели.Главное помните о том, что ваши эмоциональные переживания временны.
Чем чаще вы сталкиваетесь с чем-то и учите себя бороться с переживаниями — тем более толерантными к подобным переживаниям вы становитесь.Продолжайте двигаться к своей цели и у вас обязательно получится сделать то, что вы задумали.
Итак, подытожив очередную простыню, хочется сказать — ребята, не отчаивайтесь, это сложно, но правда очень интересно и увлекательно, стоит вам просто поверить в свои возможности и продолжать топить и оттачивать свои навыки и повышать количество знаний.
Hack is life. Или мой чемоданчик джентльмена
Ну что касатики, вот мы и добрались до самого желанного пункта данной статьи.
Ранее я не раз повторял фразу, что мир информационной безопасности невероятно велик.
Несмотря на то, что я постарался за своё прошлогоднее путешествие нагуглить и собрать максимум ресурсов и ссылок по всем возможным областям — я уверен, что список можно и нужно будет дополнять и добавлять по мере устаревания статьи.
Однако у многих людей с кем я обсуждал тему самостоятельного изучения темы хакинга красной нитью пролегает вопрос — «Каков порядок изучения?», а также «Где оттачивать скилы и что изучать?» — то я постараюсь ответить на эти два вопроса максимально ёмко.
1) Каков порядок изучения?
Отвечая просто — я считаю, что есть 3 пути.
Все они в любом случае зависят от вашего бэкграунда и начальных знаний.
Можно заниматься бесплатно и самостоятельно — тогда времени уйдет больше и придётся его потратить на то, чтобы настроиться сначала на область занятий, подготовить материал, учебный план и расписать свой путь (он же роадмап), затем перейти к самостоятельным занятиям, отслеживать свой прогресс, уметь мотивировать себя, ставить посильные задачи и т.д. и т.п…
Можно покупать курсы и получать структурированную информацию в одном месте и сразу.
Можно комбинировать.
Можно качать курсы с торрентов (я бы так ни за что не сделал, вы что).
В любом случае экспериментируйте. Нет одного верного способа научиться хакингу. У всех свои истории, у каждого свой путь.
Можно идти сверху-вниз.
Начав изучать к примеру устройство ОС (linux, windows) и спускаться вниз по мере возникновения понимания как работает программа или наоборот не понимания как именно обменивается программа данными, как она их получает и как вообще происходит вся магия за монитором.
Или идти снизу-вверх.
Вы покупаете, скачиваете Таненбаума, Олифера, книгу Код — и идёте от низкого уровня — как устроены компьютеры и железо, и что вообще можно из них выжать — до высокого уровня работы программ, эксплуатации уязвимостей, поиска этих самых уязвимостей, защиты от них и т.д.
Или идти так, как удобно тебе.
Да-да, можно создать свой порядок следования и изучения тем, инструментов, ОС, чего угодно.
Например, я пользуюсь mind-map программой XMind ZEN (не реклама если чо) — которая позволяет мне создавать удобные майнд-мепы.
Пример моих майнд-мепов.
Подобные майнд-мепы позволяют мне отслеживать свой прогресс, записывать в удобном формате и виде то, что я просмотрел и изучил, а также это весьма удобно. если хочешь в одном месте иметь древовидную структуру и отслеживать свой прогресс.
Однако, несмотря на многие «гайды» и подобные моим статьи — в интернете на зарубежных ресурсах таких как hackthebox, tryhackme, pentesterslab (не спешите бежать гуглить, все ссылки будут ниже) — есть уйма уроков структурированных в том формате, в котором стоит начинать изучение темы хакинга.
Отвечая на второй вопрос.
2) «Где оттачивать скилы и что изучать?»
Думаю здесь уже стоит ввести некоторую разбивку на категории, которые я создал исключительно сам исходя из своих субъективных суждений.
Категории следующие:
1) Ресурсы для обучения (места где можно тренироваться использовать полученные навыки по пентесту и хакингу + ctf площадки типа hackthebox).
В данной категории будут изложены те ресурсы, на которых тренируюсь и обучаюсь я и сегодня (или которые планирую использовать в обозримом будущем — их меньшинство).
https://academy.hackthebox.eu/ — онлайн академия от достаточно популярного ресурса hackthebox. Здесь вы сможете найти модули по фундаментальным знаниям (Windows, Linux fundamentals, как работать с основными тулзами в kali linux, что такое обфускация, что такое Stack-Based Buffer Overflows on Linux x86, DNS enumeration и многое-многое другое). Основа бесплатна — остальные Tier — модули обучения — платны. Но цены весьма адекватные, а материал для старта вполне адекватен по качеству и количеству + сам Hackthebox тут же под рукой, на котором можно отточить все только что полученные навыки.
https://picoctf.org/ — CTF площадка от университета Carnegie Mellon на которой можно оттачивать свои навыки пентестера
https://www.professormesser.com/ и https://www.youtube.com/user/professormesser — полноценные курсы как в бесплатном, так и в платном доступе по сертификатам
https://www.pentesteracademy.com/ — очередной достаточно знаменитый ресурс для тренировок и оттачивания своих навыков (дебаггеры, wi-fi челенджи, network pentesting, web pentesting, forensics) — к тому же до 31 января 2021 у них сейчас вроде как скидоны идут (как и в течении года) — можно урвать хороший доступ к куче лаб и обучающим курсам и виде.
https://www.hacker101.com/ — замечательный ресурс с достаточным количеством видео и упорядоченным списком что изучать и в каком порядке — более чем достаточен для старта и дальнейших самостоятельных занятий.
https://www.learnqa.ru/security — не проходил, но по отзывам для старта веб-пентеста самое то.
https://academy.tcm-sec.com/courses и https://www.youtube.com/c/thecybermentor — один из первых ресурсов, которые я нашёл, когда начал изучать и искать инфу по теме хакинга — TheCyberMenthor — на сайте представлены платные курсы, на ютубе есть огромные 5–15 часовые полноценные курсы по пентесту, веб-пентесту, основам линукса и куче всего остального. Прелесть в том, что на ютубе, в бесплатной 15 часовой версии обучающей по пентесту — есть практически всё, что нужно для того, чтобы посмотреть на рабочий день пентестера, увидеть как юзаются тулзы.
https://book.hacktricks.xyz/ — хотите освоить основы эскалации привелегий на linux и windows? работать с shell’ом и заливать paylod’ы? Тогда вам точно следует изучить блог данного парня.
https://www.hacking-lab.com/ — очередная площадка для отработки CTF -, но в этой есть также лабы на которых можно потестить sms spoofing и в целом «пощупать» уязвимости телефонии.
https://ctftime.org/ — площадка на которой можно принимать участие в upcoming CTF батлах и кубках. Можно командой, можно в соло.
https://sqlbolt.com/ — хотите научиться работать с SQL и понять вообще как он устроен, научиться писать запросы? Точно пройдите этот тренажер.
https://linkmeup.ru/sdsm/ — я думаю такая титаническая работа как «сети для самых маленьких» и иже с ним не нуждается в рекламе. А если вы не знаете кто это и что это — то тем более бегом туда.
https://github.com/bkimminich/juice-shop — очередной аналог DVWA или metasploitable2–3 — уязвимые ОС и веб сайты, для оттачивания своих навыков в эксплуатации уязвимостей.
http://www.iso27000.ru/katalog-ssylok/hakerskie-saity — ребят, ну самые настоящие хакерские сайты, что вам ещё надо?
https://xakep.ru/ — олды тут?
https://stepik.org/course/127/syllabus — думаю мне не нужно рекламировать Stepik? Помимо этого курса есть с десяток других, которые стоит обязательно просмотреть. Как по общим знаниям операционных систем, так и по сетям, устройству ЭВМ, основам программирования и куче всего интересного и полезного
https://www.hacksplaining.com/ — великолепный ресурс с инфографиками, гифками и пояснениями основных уязвимостей и того, как именно они работают. Очень рекомендую. Люблю такие простые и крайне понятные инфографичные ресурсы.
https://xss-game.appspot.com/ — хотите научиться находить XSS уязвимости за которые можно получать до 7500$ за одну найденную уязвимость? Тогда стоит посмотреть что там по ссылке.
https://www.hackers-arise.com/ — вырвиглазный форум с полезной инфой старого поколения и образца.
ine.com — великолепный ресурс, который имеет как платные, так и бесплатные модули, по которым можно набить себе базу по пентесту, реверсу и в целом по информационной безопасности.
https://pentesterlab.com/ — отличный ресурс для тренировок по CTF и пентесту с кучей лаб. Дешево стоит если покупать на год доступ.
https://jehy.github.io/mami/# — просто полезный ресурс, почитать про уязвимости.
https://overthewire.org/wargames/ — хотите научиться основным командам и работе в терминале? Тогда этот ресурс с мини играми расположенными на удаленных ssh лабах точно для вас. Самый простой порог вхождения в CTF + обучает одновременно азам работы в линуксе.
2) Форумы, каналы, блоги, библиотеки книг.
Наиважнейшая ортодоксальная часть как форумы.
Список книг для обязательно (и не очень) изучения.
Таненбаум Э. — Компьютерные сети (5-е издание)
Таненбаум — Современные операционные системы
Олифер — Компьютерные сети. Принципы, технологии, протоколы (кстати в прошлом году вышел свежак этой книги)
Яворски П. — Основы веб-хакинга. Как зарабатывать деньги этичным хакингом.
Скабцов Н. — Аудит безопасности информационных систем (2018)
Эриксон Дж. — Хакинг искусство эксплойта (старая книга, но переиздание было пару лет назад, в любом случае актуальна как для новичков, так и для среднего уровня)
Мануал по Shodan — hackerlib (гуглите, ищите сами, заодно потренируетесь в OSINT)
Макконел С. — Совершенный код. Практическое руководство по разработке программного обеспечения
Парасрам Ш. — Kali Linux. Тестирование на проникновение и безопасность (2020)
Гейер Дж. — Беспроводные сети. Первый шаг.
Херцог, О'Горман, Ахарони — Kali Linux от разработчиков (Компьютерная литература) — 2019
Милосердов А. — Тестирование на проникновение с помощью Kali Linux 2.0 — 2015
Кофлер М. — Linux. Полное руководство — 2011
Колисниченко Д.Н. — Linux. От новичка к профессионалу, 6-е изд. (В подлиннике) — 2018
https://codeby.net/ — форум с кучей полезной инфы. Также у них есть пара курсов от создателей форума, по отзывам вроде ок. Я не тестил.
https://hackaday.com/ — англоязычный форум, свежие новости, но в основном всякий варезный и diy фан.
https://hacker-basement.ru/ — подвальчик хакера — нужно другое пояснение?
http://rus-linux.net/ — хотите быть в курсе последних изменений в мире линукса — надо сидеть тут.
http://dorlov.blogspot.com/2011/05/issp-cissp-all-in-one-exam-guide.html — говорят монстры среди монстров и отцы отцов только смогли прочитать эту книгу от начала и до конца.
Ну, а в целом очень полезное чтиво для уже подготовленного ума и начинающего.https://hackware.ru/? page_id=1735 — просто куча разной литературы по хакингу и безопасности. Чекай и наведи порядок сам
3) OSINT.
Всё что связано с пробивом и поиском информации и в целом со скиллом,
