Certified Secure Challenges - Over challenges en dergelijke

snap er niks van!!!!

08-03-2022, 16:40 door Anoniem, 9 reacties
Hoe moet ik IDB oplossen, geen idee waar ik moet beginnen (ben geen hacker of website bouwer). Alle filmpjes bekeken maar schiet mij maar lek!

\HELP!
Reacties (9)
08-03-2022, 19:16 door Anoniem
Wow! Dit is het meest incomplete start post dat ik ooit gezien heb. IDB heeft zoveel betekenissen als ik zoek op wikipedia, maar als ik dan zoek in de richting "website bouwen", zou het iets te maken hebben met een wordpress add-on? Een soort ticket systeem voor wordpress ofzo?
08-03-2022, 20:53 door Anoniem
Door Anoniem: Wow! Dit is het meest incomplete start post dat ik ooit gezien heb. IDB heeft zoveel betekenissen als ik zoek op wikipedia, maar als ik dan zoek in de richting "website bouwen", zou het iets te maken hebben met een wordpress add-on? Een soort ticket systeem voor wordpress ofzo?

IDB Challenge Inspiring Images?
08-03-2022, 20:56 door Anoniem
Door Anoniem: Wow! Dit is het meest incomplete start post dat ik ooit gezien heb. IDB heeft zoveel betekenissen als ik zoek op wikipedia, maar als ik dan zoek in de richting "website bouwen", zou het iets te maken hebben met een wordpress add-on? Een soort ticket systeem voor wordpress ofzo?
Of je koppelt de forum categorie aan de vraag dan kom je uit bij
http://idb.idebe.certifiedsecure.org/

Dat gezegd als je (de ts) er wat van wilt leren dan zul je echt betere vragen moeten formuleren. Niemand kan je helpen zonder dat ze weten wat je al geprobeerd hebt. Anders is het antwoorden voor zeggen en dan kun je net zo goed nu kappen met enige cursus en ze gewoon via google zoeken.

Ga verder dan filmpjes kijken het zijn hands on trainingen trial en error hoort erbij. Om iets gecontroleerd te breken moet je weten hoe je het moet bouwen. Leer een simpele site bouwen dan leer basis database opzetten combineer die kennis zet vervolgens lokaal een verouderde cms op eentje waar zeker weten kwetsbaarheden inzitten en leer die te beinvloeden daarna zal de idb challenge waarschijnlijk een koud kunstje zijn.

Hacken is in basis niets meer dan de logica achter code doorzien en ombuigen waar de logica slecht in elkaar zit naar een gewenst resultaat. Dat wil niet zeggen dat het makkelijk echter is.
09-03-2022, 10:36 door Anoniem
Een betere plek om hulp te vragen mbt de challenges is de Certified Secure IRC (chat):
https://www.certifiedsecure.com/chat
15-03-2022, 15:10 door Anoniem
Inderdaad de IDB chalenge van CertifiedSecure.. Sorry dat had ik erbji kunnen zetten.
Maar na dik 4uur zoeken de filmpje tig keer bekeken en samen met een collega zoeken, gooi ik de handdoek in de ring! Zal nooit een hacker worden (was ook niet mijn bedoeling, daarin is de cursus dan geslaagd).
15-03-2022, 16:18 door Anoniem
Door Anoniem: Inderdaad de IDB chalenge van CertifiedSecure.. Sorry dat had ik erbji kunnen zetten.
Maar na dik 4uur zoeken de filmpje tig keer bekeken en samen met een collega zoeken, gooi ik de handdoek in de ring! Zal nooit een hacker worden (was ook niet mijn bedoeling, daarin is de cursus dan geslaagd).
Iedergeval netjes dat je nog terug komt op het topic om de status aan te geven.
Je zou nog gebruik kunnen maken van de hands-on training die Certified Secure geeft. https://www.certifiedsecure.com/live/handson

Of eens opzoek kunnen naar een lokale computerclub met de focus op netwerkbeveiliging maar met meeste uitdagingen ben je wel langer bezig dan 4 uur dus het is maar de vraag of het je wel ligt.

Hacker wordt je hoe dan ook niet met dit cursus materiaal dat is ook niet echt het doel ervan. De vectors, aanvals methodieken die geleert worden hier blokkeren we (corporate) op serverniveau met standaard tools zonder echt moeite in te hoeven steken. Het is het combineren van de verschillende technieken in combinatie met blindspots en zerodays dat een realistische dreiging maakt. Standaard Path Traversal Attacks kun je bijvoorbeeld afwenden met rule ID 930110 van ModSecurity V3 OWASP Core rule set terwijl je de applicatie, site patched.

#
# [ Decoded /../ Payloads ]
#
SecRule REQUEST_URI|ARGS|REQUEST_HEADERS|!REQUEST_HEADERS:Referer|XML:/* "@rx (?:^|[\\/])\.\.(?:[\\/]|$)" \
"id:930110,\
phase:2,\
block,\
capture,\
t:none,t:utf8toUnicode,t:urlDecodeUni,t:removeNulls,t:cmdLine,\
msg:'Path Traversal Attack (/../)',\
logdata:'Matched Data: %{TX.0} found within %{MATCHED_VAR_NAME}: %{MATCHED_VAR}',\
tag:'application-multi',\
tag:'language-multi',\
tag:'platform-multi',\
tag:'attack-lfi',\
tag:'paranoia-level/1',\
tag:'OWASP_CRS',\
tag:'capec/1000/255/153/126',\
ver:'OWASP_CRS/3.3.2',\
severity:'CRITICAL',\
multiMatch,\
setvar:'tx.anomaly_score_pl1=+%{tx.critical_anomaly_score}',\
setvar:'tx.lfi_score=+%{tx.critical_anomaly_score}'"


Wil je echt leren hacken dan is OSCP de heilige graal om naar toe te werken en kun je het beste beginnen als stagiaire bij een IT consultatie bureau met vulnerability management als service. Voordeel daarvan is dat je meteen beschikt dan over de juiste software, services die in de industrie worden gebruikt en leer je ook de procedures en projectmatige planning naast mogelijk klant contact uiteindelijk.

De kans bestaat wel dat je eerst certificeerd middels Certified Ethical Hacker (CEH) en paar jaar werk ervaring opdoet mogelijk uitbreiding naar EC-Council’s Certified Security Analyst (ECSA) voor je je opwerkt naar offensive pentesting Offensive Security Certified Professional (OSCP) of als je meer verdedigings management kant op wilt Certified Information Systems Security Professional (CISSP) Gemiddeld genomen zou ik zeggen 3 tot 5 jaar aan studie en praktijk ervaring is er voor benodigd.

Onthou ook dat je 1000 euro gratis cursus budget hebt per jaar nu vanuit de overheid om iedergeval wat te proberen zolang je je inzet dat is. https://www.stapuwv.nl/stap/p/voorportaal

Wat je ook doet veel succes in de toekomst.
16-03-2022, 13:21 door Anoniem
Door Anoniem: Inderdaad de IDB chalenge van CertifiedSecure.. Sorry dat had ik erbji kunnen zetten.
Maar na dik 4uur zoeken de filmpje tig keer bekeken en samen met een collega zoeken, gooi ik de handdoek in de ring! Zal nooit een hacker worden (was ook niet mijn bedoeling, daarin is de cursus dan geslaagd).

Zoek ook eens op dit forum, er staan genoeg topics over de ibd-challenge met nuttige tips.
20-04-2022, 12:49 door Anoniem
Hacker wordt je niet zomaar hoor, daar moet je echt ontzettend veel tijd in steken en je moet het als hobby zien. Pas dan kan zoiets slagen. Maar dat is met veel beroepen zo, je wordt goed als je er veel tijd in steekt en van je hobby je werk maakt.
20-04-2022, 14:30 door Anoniem
Door Anoniem: Hacker wordt je niet zomaar hoor, daar moet je echt ontzettend veel tijd in steken en je moet het als hobby zien. Pas dan kan zoiets slagen. Maar dat is met veel beroepen zo, je wordt goed als je er veel tijd in steekt en van je hobby je werk maakt.

En andersom - als je met een vakgebied niks hebt - je gaat er gewoon niet goed in worden, en ook niet de energie kunnen opbrengen _om_ de benodigde tijd erin te stoppen.

Doe dan jezelf - en je toekomstige collega's - een groot plezier en zoek een ander beroep. Weinig dingen zo vervelend als je werktijd vullen met iets waar je helemaal NIKS mee hebt . En dat geldt ook voor een de omgeving - een collega die niks heeft met het werk en er z'n tijd uitzit (en gegarandeerd het absolute minimum doet om net niet ontslagen te worden) zuigt de energie uit een heel team.

Er is heel veel soorten ICT werk - en zelfs heel veel soorten ICT security werk - "hacker" (cq "pentester") is maar één mogelijkheid - en niet noodzakerlijkerwijs het summum/elite/beste wat je kunt worden .
En er is nog veel meer niet-ICT werk.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.