Cómo aprender seguridad web.

También puede consultar estas publicaciones de blog: 10 pasos para comenzar su carrera en seguridad de aplicaciones web: http://bit.ly/2oft6NC

10 pasos para poner en marcha su carrera en seguridad de aplicaciones web:

Hola, soy Amol Bhure, un investigador de seguridad en Attify, donde trabajo para entrar en las aplicaciones web y móviles más seguras. Desde que ingresé a Infosec hace un par de años, ha habido algunos puntos clave de aprendizaje que me habrían resultado muy valiosos, los he tenido al momento de comenzar. Para todos los que se están iniciando en la seguridad de las aplicaciones web, creo que estos puntos de aprendizaje que he compartido a continuación serían extremadamente útiles para que pueda comenzar su carrera y convertirse en un profesional de seguridad de aplicaciones web en ningún momento. Obviamente, requeriría suficiente tiempo y esfuerzo, pero confíe en mí, si tiene un plan frente a usted sobre lo que va a aprender y cómo va a aprender, ya está un paso adelante en comparación con el http://rest.Como dice la famosa cita, no se trata solo del trabajo duro que usted pone, sino que es el trabajo inteligente e inteligente lo que importa. Con eso, aquí están los 10 pasos para poner en marcha su carrera en seguridad de aplicaciones web:

CONSIGUE FAMILIAR Y CÓMODO CON LINUX:
No puedo enfatizar esto lo suficiente. Si está comenzando en la seguridad de la aplicación web, es muy recomendable que se sienta cómodo con Linux. Esto podría significar deshacerse de su instancia de Windows (si lo desea) y moverse completamente a Linux.
Esto se debe a que, con frecuencia, durante las pruebas de penetración, encontrará entornos creados sobre Linux. Sí, hay una serie de servidores Windows, pero la popularidad de Linux no puede ser ignorada. Hice el cambio 2 años atrás de Windows a Linux como mi entorno de tiempo completo, y me ha ayudado tanto al usar varias herramientas y scripts, como cuando he comprometido una aplicación web y necesitaría una explotación adicional para obtener más Control del objetivo. Podría usar Kali Linux, pero también podría considerar comenzar con Ubuntu como su sistema operativo de tiempo completo y aprender los diversos aspectos de las cosas que vienen con Linux y familiarizarse con las tareas básicas como instalar nuevos paquetes, configurar herramientas. , escritura de scripts automatizados y tareas cron y más.

ENCUENTRE MENTORES, HAGA PREGUNTAS Y UTILICE LOS RECURSOS EN LÍNEA:
Puedo entender absolutamente el entusiasmo y la prisa que se produce cuando te metes en la seguridad: quieres aprender todo y luego hay cientos y miles de publicaciones de blogs que mencionan cómo un “investigador de seguridad” en particular comprometió un objetivo determinado.
Sí, tendrá que aprender todo eso, pero debe estar en un plan y no todos a la vez, especialmente al comenzar. Trate de comenzar con los aspectos básicos de la seguridad de las aplicaciones web centrándose en buscar problemas de seguridad comunes, aplicando ese conocimiento en objetivos vulnerables y luego pase a tener las aplicaciones web del mundo real como su objetivo. También se recomienda buscar un mentor que haya realizado el viaje completo por sí mismo y que pueda guiarlo en el tipo de cosas en las que necesita concentrarse.
Habiendo dicho eso, tenga en cuenta que los mentores, teniendo en cuenta el papel que desempeñan, no podrán pasar mucho tiempo guiándole, sino que solo le darán fragmentos de cuál es el camino recomendado. Debe convertirse en un experto en tomar esas partes y usar recursos en línea para profundizar en ese tema de interés.
Hay una serie de canales de YouTube, publicaciones en el blog y artículos y recursos educativos en línea para ayudarlo con esto. También debe participar en discusiones en línea y en varios foros para sentirse cómodo con la comunidad y compartir lo que ha aprendido y aprender de las experiencias de otras personas de primera mano.
Recuerde: si solicita la ayuda de una persona en cada uno de los momentos, le ralentizará. Tome las cosas con sus propias manos y salga en línea para aprender.

OWASP TOP 10 Y TEES:
Como estudiante interesado en la seguridad de aplicaciones web, es posible que haya encontrado el término Top 10 de OWASP varias veces. En función de mi experiencia al comenzar, le recomendaría encarecidamente que pase por OWASp top 10 y Penetration Testing Execution Standard (PTES) para obtener una imagen clara y detallada de qué y cómo de la seguridad de las aplicaciones web. También te recomendaré para unirte a un grupo de Meetup local de OWASP o cualquier comunidad de seguridad similar y relevante y SHOW UP para las reuniones. Una vez que sienta que tiene un tema interesante y una experiencia para compartir, pídale a los organizadores de la reunión que le den un espacio para hablar para el próximo evento. Recibirá toneladas de retroalimentación honesta, críticas y puntos de aprendizaje, lo que lo llevará a ser un mejor investigador de seguridad de aplicaciones web.
Recuerde: Tomar acción es el primer, segundo y tercer paso para tener éxito.

APRENDER IDIOMAS DE PROGRAMACIÓN:
Para ser un buen investigador de seguridad de aplicaciones web, debe tener un buen dominio de los lenguajes de programación. Incluso si no escribe aplicaciones completas (para las que podría aprender más), necesita tener suficiente conocimiento y comprensión para, al menos, averiguar para qué está destinado un bloque de código en particular.
En pentests, es posible que encuentre situaciones en las que tenga el código fuente de la aplicación (pentests de caja blanca) o desee omitir la aplicación de listas blancas o las expresiones regulares, todo esto necesita experiencia práctica con los lenguajes de programación y una familiaridad decente con eso. La razón es que la mayoría de las veces, no encontrará una respuesta directa en línea a lo que está tratando de resolver, y necesita crear sus propias soluciones para romper la seguridad de la aplicación. La experiencia de programación también puede ser útil. Más adelante, una vez que quieras escribir tus propias herramientas o scripts.

APRENDE LAS HERRAMIENTAS DE SEGURIDAD, PERO NO SEA UN KIDDIE DE ESCRITURA
Como recordará, en el primer punto mencioné que podría comenzar su viaje en Seguridad de aplicaciones web utilizando Ubuntu, y no necesariamente Kali Linux. La razón de ello fue que una vez que esté en Ubuntu, tendrá una mejor idea de cómo funcionan las distintas herramientas y cómo podría solucionar los errores por sí mismo en caso de que algo no funcione a la primera. Más tarde, puede cambiar a Kali Linux una vez que sienta que tiene la suficiente confianza, pero siempre tenga en cuenta que no se trata de las herramientas, sino de cómo las utiliza. En los numerosos pentest que he conducido en los últimos años, nunca confío únicamente en las herramientas. Utilizo un enfoque donde las herramientas son solo una ayuda de lo que estoy trabajando.

OBJETIVOS VULNERABLES
Como alguien que acaba de comenzar en la seguridad de aplicaciones web, pruebe su uso práctico con varias técnicas de explotación y seguridad de aplicaciones web en objetivos vulnerables. En estos días hay una serie de aplicaciones web vulnerables que puede explotar para familiarizarse con los conceptos de seguridad de la aplicación web. DVWA y bWAPP son un buen ejemplo de lo que le recomendaría para sus primeros días como investigador de seguridad de aplicaciones web. Pasa de un objetivo vulnerable a otro con ejercicios más duros.
Leer, practicar y repetir.

1 máquina virtual por día:
Con el fin de desarrollar una carrera exitosa y experiencia en seguridad de aplicaciones web, el establecimiento de objetivos es vital. Esto es lo que hice: preparé una lista de todos los objetivos posibles que estaban disponibles como una máquina virtual. Consulte la página web de Vulnhub o PentesterLab para Pentester para obtener una buena lista de objetivos disponibles. Me puse la meta de explotar una máquina virtual todos los días durante los primeros 30 días para obtener una buena exposición de varias técnicas que podría usar para explotar aplicaciones web. Si se queda atascado en cualquier momento, también puede consultar los tutoriales y continuar desde allí. También puede consultar varios tutoriales una vez que haya completado el ejercicio para aprender sobre las diferentes formas en que podría haber utilizado para lograr el objetivo. Si lo haces por un período de 30 días, confía en mí, te darás cuenta de la confianza y las habilidades que has adquirido en la seguridad de las aplicaciones web.

BUG BOUNTY:
Pasando de las máquinas virtuales, es hora de ir al mundo real. Cree una cuenta en HackerOne, BugCrowd y comience a buscar en los sitios web cualquier error que pueda encontrar. Uno de los métodos que me han parecido útiles es buscar sitios web menos famosos para aumentar las posibilidades de encontrar errores. También ayuda si te lanzas a encontrar errores para un sitio web en particular tan pronto como lanzan una recompensa de errores, en lugar de hacer un programa de recompensas de errores que es, digamos, un par de años.

LEER LEER LEER:
Asegúrese de leer una nueva pieza de contenido cada día.
Suscríbase a los diversos boletines informativos de los sitios web de seguridad, siga todos los blogs relevantes, siga las cuentas de Twitter que publican información sobre la seguridad de las aplicaciones web, consulte los errores recientemente revelados y, lo que es más importante, intente comprender el proceso de pensamiento que se habría utilizado para encontrarlos.
Algunos de los enlaces útiles que puedes seguir:
Blog de Attify
Recursos de GitHub
GitHub Bounty
FB Bounty
Blog de Roy Castillo
Labs Detectify
Nirgoldshlager
Blog de Seanmelia
Blog Geekboy Ninja
Consejos de Bugcrowd
Breaksec
Blog de Homakov
Bitquark Blog
Nealpoole
Nahamsec
Stephensclafani
Articulos insertco
Blog de Josipfranjkovic
Websecuritylog
Laboratorio de Vulnerabilidad
Secgeek
H1.sintheticlabs
Guardia de seguridad
H1.nobbd

CONSTRUIR ALGO DE SU PROPIO:
A estas alturas, tendría una exposición decente de realizar evaluaciones de seguridad de aplicaciones web y pruebas de penetración. Aquí viene la siguiente parte, basada en su experiencia, construir algo que crea que sería útil para usted. Solo concéntrese en lo que puede construir en los próximos 10 o 20 días, lo que podría ayudarlo en el proceso de descubrimiento o explotación de errores. Una vez hecho esto, puede lanzar la herramienta como código abierto o usarla internamente dentro de su organización, es su decisión. La clave es construir algo aplicando tus conocimientos y habilidades de lo que has aprendido.

OBSERVACIONES FINALES
Enumere todos los aprendizajes posibles de mi viaje inicial de cuando ingresé a la seguridad de la aplicación web. Ahora debes tomar estos 10 puntos y trabajar en ellos, y ser un mejor investigador de seguridad. Si esta publicación te ayudó, dame una nota en (@amolbhure) o compártela con alguien que creas que podría usar esto para construir una carrera en seguridad de aplicaciones web.
Cerrar sesión
Amol Bhure.
Attify – Simplificando la seguridad.

Cómo hacer dinero en línea y aprender algo útil simultáneamente.

¿Cuáles son las cosas básicas que debería aprender antes de ingresar a una empresa de TI?

¿Dónde se puede aprender bien la implementación de ML?

¿Cuáles son algunos consejos para comenzar a aprender marketing?

¿Cuánto del miedo al cambio climático es la ciencia y cuánta es la culpa del colonialismo europeo?

¿Cuál es la definición de nada?

Servicios de auditoría de seguridad para aplicaciones web | Pruebas de seguridad de aplicaciones web

Servicios de seguridad de aplicaciones web

Estamos especializados en realizar pruebas integrales de seguridad de aplicaciones web . Nuestros servicios de seguridad de aplicaciones web están diseñados para ser más eficientes y completos para satisfacer las necesidades personalizadas de su organización. Nuestro equipo de consultores de seguridad de clase mundial ha desarrollado metodologías y herramientas altamente efectivas que nos permiten evaluar e identificar rápidamente los problemas y problemas de seguridad en las aplicaciones web. nuestra ‘metodología de evaluación de la seguridad de la aplicación web se ha preparado en referencia a los estándares y pautas de la industria (ciclo de vida del desarrollo de la seguridad de Microsoft, OWASP, OSSTMM y otros) para brindar el valor inmediato para los clientes.

Servicios de auditoría de seguridad para aplicaciones web.

Nuestros servicios de pruebas de seguridad de aplicaciones web descubren fallas de diseño y lógica dentro de las aplicaciones web que podrían resultar en el compromiso o acceso no autorizado de sus redes, sistemas, aplicaciones web o información. Realizamos pruebas de seguridad de aplicaciones web para identificar e investigar el alcance y la gravedad de las vulnerabilidades encontradas en las aplicaciones web, incluidos los sistemas front-end y back-end.

Nuestro enfoque de pruebas de seguridad de aplicaciones web

Nuestros servicios de seguridad de aplicaciones web brindan una visión completa del riesgo que representa para la empresa debido a las vulnerabilidades de las aplicaciones web. La auditoría de seguridad de la aplicación web se lleva a cabo con la ayuda de escáneres automatizados, scripts personalizados seguidos de pruebas de seguridad manuales exhaustivas contra la aplicación web. Seguimos la regla 80/20 mientras realizamos pruebas de seguridad de aplicaciones web y realizamos casi el 80% de las pruebas de seguridad manualmente y usamos herramientas automatizadas solo para pruebas preliminares. Las pruebas manuales de seguridad de la aplicación web nos ayudan a descubrir todo tipo de vulnerabilidades técnicas y lógicas complejas de la aplicación web que, de otro modo, generalmente no son detectadas por los escáneres automatizados de seguridad de la aplicación web .

Nuestro enfoque hacia la auditoría de seguridad de aplicaciones web es el siguiente:

Recopilación de información

Aplicación web de huellas dactilares
Identificación de vulnerabilidades en la aplicación web.
Validación de vulnerabilidad y casos de prueba de construcción.
Explotando las vulnerabilidades
Recomendaciones y Reportes

Rahul Kadavil

Neil K. Jones, gerente del segmento de mercado de IBM:

“Hasta ahora, las respuestas a esta pregunta se han centrado en cómo puede aprender sobre la seguridad de las aplicaciones web antes de embarcarse en una carrera en la industria. Me gustaría abordar la pregunta desde un ángulo diferente, proporcionándole recursos que puede consultar una vez que esté trabajando como profesional de seguridad de aplicaciones.

Los temas críticos que debe dominar incluyen los siguientes:

Impacto creciente de la tecnología cognitiva:

En su informe publicado recientemente, “Tendencias de mercado: automatización e integración críticas para la adopción de herramientas de seguridad de aplicaciones”, Gartner Research describe los pros y los contras de las herramientas automatizadas que pueden utilizarse para mejorar la productividad de su programa de pruebas de seguridad de aplicaciones. También puede revisar nuestro excelente video de YouTube que describe las capacidades cognitivas Intelligent Finding Analytics (IFA) y Intelligent Code Analytics (ICA) de IBM Application Security on Cloud.

Importancia crítica de la protección de seguridad de la aplicación en el proceso de DevOps:

Nuestro reciente webinar titulado, “3 tendencias clave en la seguridad de las aplicaciones”, presentó a Analista Principal de Forrester – Seguridad de las aplicaciones, Amy DeMartine. En la sesión, Amy destacó la importancia de integrar las pruebas de seguridad de las aplicaciones en todo el Proceso de desarrollo de software (SDLC). También habló sobre el impacto creciente del código de aplicación de código abierto en la preparación de seguridad de la aplicación de su organización.

Valor de los procesos efectivos de gestión de riesgos de seguridad de aplicaciones:

Es poco probable que su programa de seguridad de la aplicación sea efectivo, a menos que su organización adopte un enfoque efectivo para administrar el riesgo de seguridad de la aplicación. Teniendo esto en cuenta, le recomendamos que revise nuestra guía electrónica de gestión de riesgos gratuita, que ofrece cinco pasos prácticos que puede seguir para mejorar la seguridad de su aplicación.

¡Pruebe la tecnología usted mismo!

¿Cuál es la mejor manera de aprender una nueva habilidad? Por intentarlo, por supuesto! Puede registrarse para una prueba complementaria de nuestra oferta Application Security on Cloud, que le permite realizar pruebas estáticas de seguridad de aplicaciones (SAST), pruebas dinámicas de seguridad de aplicaciones (DAST), pruebas de seguridad de aplicaciones móviles para dispositivos iOS y Android y código abierto. Pruebas, todo convenientemente en la nube.

Como siempre, nos complace responder a cualquier pregunta adicional que pueda tener: ¡Gracias! ”

Cualquier información que proporcione IBM no es un consejo legal.

Rahul Kadavil

Echa un vistazo a las 10 principales vulnerabilidades web de OWASP. Luego, comprenda la idea básica de cada vulnerabilidad. Entonces puedes ponerte en práctica para obtener un conocimiento práctico en profundidad.

PRACTICAR EN SITIOS WEB REALES ES ILEGAL. ¡Afortunadamente hay herramientas de práctica para esto! Puede descargar “Damn Vulnerable Web Application”, una aplicación web intencionalmente débil creada para poner a prueba sus habilidades. También puede descargar Metasploitable, un servidor intencionalmente débil que incluye DVWA, así como otro sitio de prueba. También puede atacar al servidor Metasploitable en lugar de a las aplicaciones web.

NO EXPONGA ESTAS HERRAMIENTAS DE PRÁCTICA A UNA RED PÚBLICA. Siempre asegúrese de que las herramientas se ejecuten en una red local o en una red de máquinas virtuales.

Leonardo Cooper

El área de seguridad web es bastante grande, y abarca desde el software del servidor web hasta las vulnerabilidades a nivel de aplicación y las vulnerabilidades del sistema operativo del servidor.

Para las aplicaciones web, el mejor lugar para comenzar es el Top 10 de owasp, y señala que las contraseñas deficientes y la inyección de SQL aún están en la parte superior de la lista.

Categoría: Proyecto Top Ten OWASP

Leonardo Cooper

La práctica es lo mejor para aprender seguridad en la web, primero que todo, necesitas hacer tu propio sitio web para comenzar a combatir el malware y los bots, tratar de prevenir los spammers, ver tutoriales de youtube, etc.

Amol Bhure

Lea este libro: The Tangled Web: Guía para proteger aplicaciones web modernas: Michal Zalewski: 8601200651461: Amazon.com: Libros

Amol Bhure

Investigación y práctica. Estudia, encuentra tutoriales y similares en línea y haz uso de ellos. Si tiene tiempo, quizás pueda inscribirse en un curso universitario y tener una idea del espacio, definitivamente está creciendo, pero no todos tienen el tiempo o los medios para obtener un título completo.

Recientemente nos asociamos con Troy Hunt y desarrollamos un curso de video – échale un vistazo. Repasa los aspectos básicos de la seguridad web y es gratuito. Podría darte una idea del espacio sin un gran compromiso de tiempo o dinero. Creo que todo el curso dura solo una hora o dos.

¡Buena suerte!

Leonardo Cooper

Visite OWASP para encontrar recursos para aprender sobre seguridad web. Espero eso ayude

Mani Garg

En primer lugar, consulte el top 10 de owasp. Estos son los 10 estándares que debe mantener un sitio web para protegerse de los ataques. Puede consultar cualquier tutorial de YouTube en este

Amol Bhure

De la misma manera que aprendes cualquier parte de la industria de TI. Primero te enseñas los conceptos básicos de TI, luego pasas a cosas más avanzadas y finalmente encuentras un campo como la seguridad web para sumergirte.

No hay atajo aquí. No puedes saltar a la parte superior de la caja de seguridad web así y esperar tener éxito; Necesitas ir por el camino largo.

Afortunadamente, hay enormes reservas de recursos en línea disponibles para usted, pero recuerde comenzar por la parte inferior.

Buena suerte.

Amol Bhure

More Interesting

Si tuvieras 3 meses para aprender JavaScript, ¿cómo lo harías?

¿Cuáles son las similitudes y diferencias entre el aprendizaje por transferencia y el aprendizaje fuera de la política en el aprendizaje por refuerzo?

Cómo aprender más sobre las artes visuales.

¿Qué hábitos aprendiste en el Reino Unido que se han atascado?

¿Puedo aprender a cantar solo desde internet?

¿Qué es lo mejor que aprendes de la vida de la ingeniería?

¿Está bien aprender todo tipo de cosas en este mundo? ¿Eso me hará exitoso?