Pull to refresh

Comments 10

А как вы относитесь к мнению о том, что пентесту, профессии которая сводится к самостоятельному и детальному анализу информации и поиску решения, надо учиться не менее самостоятельно? Или курс исключительно для тех, кто в крупные компании потом пойдет работать?

Кстати, вы говорите что юридические аспекты крайне важны, а в программе про них нет ни слова. Так они всё же не важны, или просто программа не полная?
Спасибо за вопросы. В любом образовании, будь то офлайн, или онлайн, самостоятельная работа вне программы, с большим количеством источников — это необходимый фактор успеха. На курсе есть возможность сформировать базу знаний и практик, переняв ее из рук опытных и практикующих специалистов, базу не только практическую, но и в плане философии, методологии профессии. И дальше, чтобы развиваться, нужно будет практиковать, сдавать на сертификации. Но уже будет задан определенный вектор. Девиз пентестера “try harder”. На курсе авторы объясняют и подсвечивают акценты в реализации атак, но есть и много самостоятельной работы. Но в курсе собрана необходимая информация, чтобы сделать процесс входа в эту область ИБ более последовательным.

Юридические аспекты есть в программе, в первых модулях введения в профессию. И дальше уже непосредственно при разборе уязвимостей делаем акцент на юридических вопросах, но стороны законодательства РФ. Так как эксперты сейчас работают в российском сегменте.
UFO landed and left these words here

Правильный вопрос. 50 тысяч за один месяц — это далеко не то же самое, что 50 тысяч каждый месяц.

Кроме того, сертификации в сфере кибербезопасности (CEH, OWASP) и практический боевой опыт повышает ценность специалиста.

CEH вряд ли ценность повышает, а OWASP это вообще не сертификация.
Что мы имеем с гуся?
— Пентестерских вакансий мало
— Зряплаты не лучше пограммистских
— Адская забюрократизированность
— Написание отчётов как норма, а не как прихоть неадекватного начальства
— Реальный шанс сесть, если на стороне заказчика окажется альтернативно одарённый безопасник

Неэтично такие курсы рекламировать!
В РФ (и предположительно, во всех странах снг) баг баунти мертво.
Да, на сайтах в последнее время стали появляться страницы безопасности с предложением получить от 1000 до 1000000 рублей за найденную уязвимость. Но, в отличии от компаний с Запада, эти руководствуются правилом «не на**ешь — не проживешь». То есть, очень велик шанс того, что тебя кинут компании на этапе отправки уязвимости или выплаты, хотя уязвимость в итоге будет пофикшена. И ничего с этим ты сделать не сможешь, засудить такие компании не за что.
К сожалению, все не совсем так просто, и случаи подобного кидалова на h1/bugcrowd от далеко не СНГшных компаний тоже нередки. В целом, по моим впечатлениям все скорее наоборот, у нас развивается эта культура потихоньку, все больше адекватных компаний открывают нормальные бб программы.

На Н1 и прочих платформах все более-менее честно. А вот если просто на каком-то сайте найдёте секьюрити пейдж с описанием баг баунти, то вот там и начинается кидалово:


  1. Отправляем отчёты на почту компании с приватным poc video из ютуба. Видим в аналитике ютуба просмотры этого видео и его прогулки от телеги до слэка. Но ответа от компании вы никогда не дождётесь, а вот фикс проблемы вполне.
  2. В правилах программы указывается сколько команда заплатит за разной серьёзности баги. Вы отправляете отчёт с угоном любого аккаунта на сайте, что уже критикал. А компания вместо 1000$ за это платит 50$ например, либо толстовку почтой отправляет.
  3. Тупые отмазки, чтобы не платить. Например, в одной известной РФ площадке для покупок безделушек отчет приняли, но платить отказались, так как "архитектура не позволяет исправить проблему".

Немного статистики: с января по март специально гулял по частным баг баунти с разных сайтов. Из 30 компаний, 2 в итоге заплатили, остальные молча фиксили проблемы

Видимо вам везло с программами на х1) Из приведенных пунктов 2 и 3 было, и не по одному разу, разве что то, что вообще отвечать не будут действительно маловероятно. На самом деле вроде бы в РФ столько селф-хостед программ и нет, видел максимум десяток. В целом, можно найти нормальную частную программу с адекватной командой безопасности. Я бы меньше рассматривал СНГ только по причине того, что у СНГ компаний обычно денег сильно меньше.
Only those users with full accounts are able to leave comments. Log in, please.