¿Por dónde empiezo si quiero dedicarme a seguridad ofensiva?
Es una pregunta que me han hecho bastantes veces, y os quiero compartir mi opinión.
Partiendo de que es necesario tener conocimientos básicos en:
Redes
Sistemas operativos
Algo de programación (scripting) 🖥
¿Qué es lo siguiente? ¿Para qué quieres aprender ciberseguridad? A lo que muchos responden “porque hay mucho trabajo y buscan profesionales”.
Considero que, lo primero si te quieres dedicar a ciberseguridad debe ser porque te guste, tengas curiosidad y luego plantearte qué debes conocer👩🎓🧑🎓.
De cara a encontrar trabajo, en mi opinión, una de las primeras cosas que debes aprender, es a realizar auditorías web 🌐.
¿Por qué auditorías web?
Si entras a un equipo de pentest es probable que el mayor porcentaje de tiempo, sobretodo al principio, lo dediques a estas tecnologías. ¿Por qué?
Se considera un básico que debemos conocer y dominar.
Todas las empresas tienen presencia en Internet y eso implica tener al menos una página web expuesta al exterior que es necesario mantener segura.
Estas aplicaciones en muchas ocasiones tratan datos sensibles de los clientes.
Fallos de seguridad en aplicaciones web pueden tener graves consecuencias para los clientes y para la organización.
¿Qué tipo de revisiones incluyen estas auditorías?
Revisiones de configuración, dejar las cosas por defecto puede exponer más de lo que nos gustaría. Pequeños ajustes nos ahorrarán dolores de cabeza a medio y largo plazo.
Datos de entrada del cliente, controlar que la aplicación haga SÓLO aquello para lo que está diseñada.
Comunicaciones, ¿viajan los datos de forma segura? ¿se almacenan de forma correcta?
Autenticación, si la aplicación permite inicio de sesión, controlar que está bien implementado.
Autorización, controlar que los usuarios SÓLO tienen acceso a lo que deben, nada más.
Lógica de negocio, las vulnerabilidades que requieren que un profesional busque “las cosquillas” a la aplicación y que no aparecerán en escaneos realizados por herramientas automáticas.
Hay muchos más controles pero no quiero extenderme mucho más.
Esto además no sólo aplica a pentesters, lo deberían conocer otros profesionales como programadores o cualquier equipo relacionado con el desarrollo y puesta en producción de una aplicación web.
Si estás de acuerdo, compártelo con otros profesionales a los que le pueda interesar:
Bonus track: No te lo puedes perder
Llevamos un tiempo trabajando en un repositorio donde ir incorporando poco a poco lo que vemos en los directos. La moderadora (@mikiminoru) se lo ha currado de lo lindo, y aunque está en permanente actualización, aquí está el resultado:
WIKI de securiters: La iremos completando poco a poco 😜