Cursus is alleen maar lezen en is gewoon saai... Ik raad ten eerste aan om een andere pc aan te schaffen en daarop vanalles te doen wat jouw pc onveilig kan maken.

Neem een windows versie zonder antivirus, firewall en surf wat rond, installeer wat gevaarlijke software en kijk wat er allemaal kan gebeuren zonder de benodigde security software. Als je pc goed geinfecteerd is, probeer dan eens uit te zoeken hoe je de pc weer volledig clean kunt maken en laat je eventueel helpen door een specialist door een hijackthislog te posten in een forum. Je leert namelijk veel meer met een praktijk oefeningen dan alleen maar cursussen lezen.

Tja wat is nou een incident (ongelukje) en wat is een ramp. Waar ligt de scheiding?
Een uur geen internet op een zeer ongelegen moment kan voor een gebruiker een ramp betekenen,
voor de internetprovider is het echter maar een incident.

M.i. kun je dat pas leren als je een redelijke basiskennis hebt van hoe systemen normaal werken en ingericht worden.
Dan kun je gaan snappen wat voor fouten er gemaakt kunnen worden en hoe het kapot kan gaan - of waar je kunt zoeken naar zwakke plekken.

Als je wat weet van websites, PHP, python/perl en SQL kun je ook snappen hoe SQL injection kan werken.
Als je niets weet van CPU's, (C) compilers, OSen en assembler, ga je ook niks snappen van buffer overruns en shellcode .

Je hoeft als pentester niet de allerbeste programmeur/expert ooit te zijn op het gebied waarin je pentest, maar je moet daar wel 'redelijk' mee bekend zijn om zelf iets te kunnen uitvinden.


Als je inderdaad vrijwel niets weet van de systemen klopt je beeld wel - en denk ik dat je als pentester weinig verder zult komen dan een lijstje standaard testen draaien . (waar nog steeds een berg werk voor is - ook het plukken van laaghangend fruit verdient een aardige boterham - zeker als je factuur het logo van een van de big four heeft)


Mijn advies : leer een goede basis van algemene IT/programmeer kennis (wordt bv RHCE , en/of MCSE, CCNA minimaal qua netwerk niveau) en met die basis kun je dan makkelijk en bruikbaar gaan pentesten .
Verder voordeel : heb je zo'n basis kun je ook daarmee gaan werken, als pentester je als werk tegenvalt en niet zo spannend is als je nu denkt.

Ik vermoed dat weinig tot geen goede pentesters en ethical hackers hun tijd verspillen aan het maken en geven van cursussen. Het meeste cursusmateriaal is dus niet uit de eerste hand en er zijn veel mensen die, niet gehinderd door enige kennis van zaken, materiaal bij elkaar Googlen en dat een cursus noemen.

Ook zijn er curussen die zoveel aspecten van "het vak" proberen te behandelen dat je door de bomen het bos niet meer ziet. Als je net begint kun je je, denk ik, het beste steeds op een deelgebied concentreren. Bijv. WebAppSec is al een breed vakgebied. Lees je in op begrippen als XSS en CSRF (bijv. op owasp.org). Andere vakgebieden zijn o.a. crypto en PKI, App (smartphone etc) security, database security, voip security, network security, virtualization security etc. Je kunt niet overal specialist in zijn, maar het is natuurlijk wel fijn als je uiteindelijk overal iets van weet maar ook dat je leert wie de experts zijn op bepaalde gebieden - van hen kun je vaak het meeste leren.

Ten slotte ontkom je er niet aan om zelf te experimenteren; tijdens "in house" cursussen heb je daar vaak veel te weinig tijd voor.

Er is genoeg werk aan de winkel, alleen al op het vlak van bewustmaking.

Doe hier maar eens een paar scans mee : https://nl.internet.nl en zie wat ik bedoel.

We hebben nog zo'n grote inhaalslag te maken gehad.

Kijk eens hier, redelijk drukbezochte site, maar veiligheidpeil net boven "prut". Slechte F-staus resultaten wat betreft het handhaven van de' same origin regel: https://sritest.io/#report/660ba84e-55ad-4594-a350-44a4de0d26c5
waardoor deze 4 kwetsbare af te voeren 'jQuery bibliotheken nog meer bedreigd zijn: http://retire.insecurity.today/#!/scan/51216a36cd7d3d424b5cd7a68b4c25cab45e4e1b82718c309a08c594b7d65840

Nog meer veiligheidsmanco's om rekening mee te houden: http://www.domxssscanner.com/scan?url=http%3A%2F%2Fwww.cracked.com en proliferatie mogelijk..sniffen en spoofen?!?

Verder nog een lage F-graad score: https://observatory.mozilla.org/analyze.html?host=www.cracked.com

Kijken we naar de veiligheid van de gebruikte technologie, komen we niet verder als 43% -> https://en.internet.nl/domain/www.cracked.com/91231/ -> http://toolbar.netcraft.com/site_report?url=http://www.cracked.com

Nog een 0 iFrame scriptje - iFrame <iframe src="//wXw.googletagmanager.com/ns.html?id=GTM-KMP4LN" height="0" width="0" style="display:none;visibility:hidden"></iframe> social media iets, dus meestal wel OK.
MX issues met duplicate MX records aangetroffen.
74.125.69.26
173.194.219.26

Je vindt eigenlijk altijd wel iets bij website beveiliging testen, dat verbetering behoeft, erg enerverend en een leuke toch nog vrij brede specialisatie. Succes, hoor!

luntrus

Je bedoelt het vast goed, maar je hebt de vraag van TS toch echt niet begrepen en totaal niet beantwoord.

TS wil _leren_ wat hij doet, want hij heeft het gevoel dat hij 'trucjes' aan het doen zonder die begrijpen.
TS is nog _bezig_ met Comptia A+ (vertaling : niveau absoluute n00b )

En wat adviseer jij : klik op een stel websites voor een 'scan' -
TS zit totaal niet op het niveau om de gevonden 'gaten' of 'waarschuwingen' te snappen of misschien verder te exploiten.
En dat gaat hij ook echt niet leren van het inklikken op een scan site.

Beste Vuurmuur,

Je vertelt ons niets van je leeftijd en achtergrond; als je nog kunt kiezen voor een beroepsopleiding, zou ik zeggen: kies een informaticaopleiding op jouw niveau en besteed een stuk van je vrije tijd aan het uitbreiden van je hack-vaardigheden.

Probeer basiskennis op te doen van hoe computers, besturingssystemen, webservers, etc. werken. Neem bijvoorbeeld een boek over TCP/IP en ga met wireshark kijken naar het netwerkverkeer tussen twee computers. Koop een tweede computer (kan een tweedehandsje zijn) en probeer een aantal aanvallen (synflood, man-in-the-middle, spoof data of reset pakketten).
Lees wat over verschillende aanvallen op webapplicaties, installeer een webserver + applicatie op je testsysteem (schrijf zelf een paar PHP of Python scripts), kijk of je SQL-injectie, XSS, enz. voor elkaar krijgt. Als je meer uitdaging zoekt, kijk naar het exploiteren van race-condities.

Een ding raad ik je af: spelen met virussen. Als er een uit zijn sandbox ontsnapt heb je een heel groot probleem.

ik heb heel wat avondonderwijs gelopen. Maar hier kan je ook wat van opsteken https://www.udemy.com

Een jaartje of 10 werkervaring als systeem- of netwerkbeheerder. Of als programmeur. Dan jezelf verder specialiseren in security, waarbij je kan kijken naar cursussen zoals CCISP, CEH, CHFI, CCPS en ga zo maar door. Zonder relevante werkervaring in de IT en grondige kennis van systemen zal het lastig worden om een goede security expert te worden.

Lees eens wat in op security forums, zoals wilder security, security.nl, antivirus forums, etc.
Download een live disc van een linux distro, en ga zelf bouwen, neem geen kali gelijk die alles makkelijk maakt.
Download virtualbox en bouw een virtual van die linux, of draai een live disc, al geef ik persoonlijk de voorkeur aan een VM, omdat deze meer robuust is.
Zet nog een virtual op, als een soort van een proxy, heb je het volgende interessante onderwerp ook gelijk beschikbaar.
Dan kan je zelf een simpele test omgeving bouwen, download wat exploit frameworks, malware frameworks zoals veil en ga eens kijken hoe ver je komt.
Iedere vakterm die je niet kent: Googlen, doen we allemaal, ook al zijn sommige te trots dat toe te geven.
Ga daarna verder met je zoektocht op google naar informatie over dat onderwerp en word er meester in.

Als je meer gerichte informatie zoekt in hapklare brokken, dan raad ik je een gratis educatie site aan zoals coursera.

De beste leerweg is naar mijn mening ervaring, en dat komt met de tijd.
Dus geduld en succes alvast!

O en al die security certificaten: leuk, als je je brood ermee wilt verdienen, als je al in het vak zit of je wilt het puur als hobby of interesse oppakken dan is het absoluut niet nodig.

Ik ken aardig wat mensen die tijdens hun IT studie al bezig waren met security (en voor zichzelf een naam opbouwden in "het wereldje".) Belangrijk is een oog te hebben voor afwijkingen van de normale gang van zaken en te kijken hoe je dat zou kunnen uitbuiten. Ervaring helpt maar is niet essentieel.

Mw, het sleutelbegrip is 'bekend met de normale gang van zaken' om een oog te krijgen voor afwijkingen en mogelijkheden die uit te buiten.

Die bekendheid met de normale gang van zaken bouw je gewoonlijk op als (werk)ervaring - misschien in de vorm van uitgebreid hobbyisme, maar in elk geval ruim bekend met de materie. Het lijkt me haast onvoorstelbaar dat degenen die je kende uit de studie niet (ook) daarvoor al lang aan het spelen waren met de dingen waarin ze tijdens hun studie naar de security keken .
(persoonlijke websites, thuishoster, game cracker of op welk terrein ze dan ook naar security keken ).

Allereerst hartstikke bedankt dat jullie de tijd en moeite hebben genomen om te reageren.

Wat jullie zeggen is eigenlijk enorm logisch. Het is inderdaad handig om eerst te begrijpen hoe dingen normaal gesproken (zouden moeten) werken voordat je op zoek gaat naar waar het mogelijk fout kan gaan. Ik ga dus eerst een stapje terug doen voordat ik in het diepe duik.

Gelukkig hebben andere gebieden binnen de IT ook mijn interesse. Zo ben ik o.a. bezig met een website maken en daar komt beveiliging op een hele praktische manier ook om de hoek kijken. Toevallig ben ik laatst wat bezig geweest met Mozilla's observatory en security headers.

Bovendien heb ik laatst een energiezuinig, tweedehands computertje gekocht die ik, als experiment, als thuisserver wil gebruiken.

Eerst de basis onder de knie krijgen dus.

Nogmaals bedankt voor jullie reacties!

"Ik wil brandweerman worden. Wat moet ik doen?". "Neem een doos lucifers en ga er eens flink mee experimenteren, kijk hoe groot branden kunnen worden en kijk daarna of je de branden kunt blussen".

Thuisservertje? Als je hem maar niet koppelt aan het internet. Dat is vragen om problemen.

Zoals al velen geschreven hebben, Leer jezelf de basis. TCP/IP, windows, linux, http, https, encryptie (rsa/aes) etc.
Installeer virtualbox, en zorg dat je een paar onbeveiligde os vms maakt. (win xp, win 7, linux oudere kernels en packages.)

Zorg ook voor een kali of backbox vm. Zelf vind ik kali het fijnst werken. En ga is onderzoeken welke vurnabilities je kan vinden. Een goed start punt hiervoor is het boek https://www.nostarch.com/pentesting van georgia weidman.

Ohja.. staat ook in het boek maar een basis, bash/python/c en of powershell isook erg handig.

Veel succes!

a) neem een fatsoenlijke laptop (reden; er zit een wifi adapter in; daarom een laptop)
b) download vmware-player
c) installeer kali / windows xp / windows 10 / window 20xx (zijn als oefen operating systems gratis te krijgen bij MS) en metasploitable
d) kijk eens bij https://null-byte.wonderhowto.com/

Naast al de tips eerder gegeven, is het voor een hacking essentieel dat hij fatsoenljk onderlegd is in Linux om zijn eigen omgeving te kennen en ook Windows omdat gewoon veel doelsystemen daar op draaien.

systemen om je eigen te maken:
- nmap/zenmap
- metasploit / armitage
- burpsuite (MITM)
- aircrack (wireless)

Natuurlijk zijn er echt heel veel andere systemen maar hiermee kom je een aardig eindje. Verdiep je ook eens in de OWASP richtlijnen en vulnerablity scanners als bijv. Nesuss/OpenVas etc.Leuke manier is om een testversie te downloaden van bijvoorbeeld Rapid7 Nexpose.

Mijn beste tip: ga eens op Youtube zoeken naar de channels van HAK5 over pentesting.

groet en heel veel succes.
Eminus

Of Linux installeren in een virtualmachine (VMware of zo)

CVO
http://www.leerstad.be
1) jaar wat is coderen en hoe werkt het ..en veeel meer
2)Ethical Hacking(alleen te volgen na het 2°jaar)

Foutje:om Ethical Hacking te volgen moet je in het eerste jaar geslaagd zijn