Комментарии 10
А как вы относитесь к мнению о том, что пентесту, профессии которая сводится к самостоятельному и детальному анализу информации и поиску решения, надо учиться не менее самостоятельно? Или курс исключительно для тех, кто в крупные компании потом пойдет работать?
Кстати, вы говорите что юридические аспекты крайне важны, а в программе про них нет ни слова. Так они всё же не важны, или просто программа не полная?
Кстати, вы говорите что юридические аспекты крайне важны, а в программе про них нет ни слова. Так они всё же не важны, или просто программа не полная?
Спасибо за вопросы. В любом образовании, будь то офлайн, или онлайн, самостоятельная работа вне программы, с большим количеством источников — это необходимый фактор успеха. На курсе есть возможность сформировать базу знаний и практик, переняв ее из рук опытных и практикующих специалистов, базу не только практическую, но и в плане философии, методологии профессии. И дальше, чтобы развиваться, нужно будет практиковать, сдавать на сертификации. Но уже будет задан определенный вектор. Девиз пентестера “try harder”. На курсе авторы объясняют и подсвечивают акценты в реализации атак, но есть и много самостоятельной работы. Но в курсе собрана необходимая информация, чтобы сделать процесс входа в эту область ИБ более последовательным.
Юридические аспекты есть в программе, в первых модулях введения в профессию. И дальше уже непосредственно при разборе уязвимостей делаем акцент на юридических вопросах, но стороны законодательства РФ. Так как эксперты сейчас работают в российском сегменте.
Юридические аспекты есть в программе, в первых модулях введения в профессию. И дальше уже непосредственно при разборе уязвимостей делаем акцент на юридических вопросах, но стороны законодательства РФ. Так как эксперты сейчас работают в российском сегменте.
НЛО прилетело и опубликовало эту надпись здесь
Кроме того, сертификации в сфере кибербезопасности (CEH, OWASP) и практический боевой опыт повышает ценность специалиста.
CEH вряд ли ценность повышает, а OWASP это вообще не сертификация.
Что мы имеем с гуся?
— Пентестерских вакансий мало
— Зряплаты не лучше пограммистских
— Адская забюрократизированность
— Написание отчётов как норма, а не как прихоть неадекватного начальства
— Реальный шанс сесть, если на стороне заказчика окажется альтернативно одарённый безопасник
Неэтично такие курсы рекламировать!
— Пентестерских вакансий мало
— Зряплаты не лучше пограммистских
— Адская забюрократизированность
— Написание отчётов как норма, а не как прихоть неадекватного начальства
— Реальный шанс сесть, если на стороне заказчика окажется альтернативно одарённый безопасник
Неэтично такие курсы рекламировать!
В РФ (и предположительно, во всех странах снг) баг баунти мертво.
Да, на сайтах в последнее время стали появляться страницы безопасности с предложением получить от 1000 до 1000000 рублей за найденную уязвимость. Но, в отличии от компаний с Запада, эти руководствуются правилом «не на**ешь — не проживешь». То есть, очень велик шанс того, что тебя кинут компании на этапе отправки уязвимости или выплаты, хотя уязвимость в итоге будет пофикшена. И ничего с этим ты сделать не сможешь, засудить такие компании не за что.
Да, на сайтах в последнее время стали появляться страницы безопасности с предложением получить от 1000 до 1000000 рублей за найденную уязвимость. Но, в отличии от компаний с Запада, эти руководствуются правилом «не на**ешь — не проживешь». То есть, очень велик шанс того, что тебя кинут компании на этапе отправки уязвимости или выплаты, хотя уязвимость в итоге будет пофикшена. И ничего с этим ты сделать не сможешь, засудить такие компании не за что.
К сожалению, все не совсем так просто, и случаи подобного кидалова на h1/bugcrowd от далеко не СНГшных компаний тоже нередки. В целом, по моим впечатлениям все скорее наоборот, у нас развивается эта культура потихоньку, все больше адекватных компаний открывают нормальные бб программы.
На Н1 и прочих платформах все более-менее честно. А вот если просто на каком-то сайте найдёте секьюрити пейдж с описанием баг баунти, то вот там и начинается кидалово:
- Отправляем отчёты на почту компании с приватным poc video из ютуба. Видим в аналитике ютуба просмотры этого видео и его прогулки от телеги до слэка. Но ответа от компании вы никогда не дождётесь, а вот фикс проблемы вполне.
- В правилах программы указывается сколько команда заплатит за разной серьёзности баги. Вы отправляете отчёт с угоном любого аккаунта на сайте, что уже критикал. А компания вместо 1000$ за это платит 50$ например, либо толстовку почтой отправляет.
- Тупые отмазки, чтобы не платить. Например, в одной известной РФ площадке для покупок безделушек отчет приняли, но платить отказались, так как "архитектура не позволяет исправить проблему".
Немного статистики: с января по март специально гулял по частным баг баунти с разных сайтов. Из 30 компаний, 2 в итоге заплатили, остальные молча фиксили проблемы
Видимо вам везло с программами на х1) Из приведенных пунктов 2 и 3 было, и не по одному разу, разве что то, что вообще отвечать не будут действительно маловероятно. На самом деле вроде бы в РФ столько селф-хостед программ и нет, видел максимум десяток. В целом, можно найти нормальную частную программу с адекватной командой безопасности. Я бы меньше рассматривал СНГ только по причине того, что у СНГ компаний обычно денег сильно меньше.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
50 000 $ в месяц — не проблема, или Сколько на самом деле зарабатывают пентестеры