Những kiến thức và kỹ năng cần có để trở thành một Web pentester giỏi Theo đuổi nghề săn lỗ hổng kiếm tiền thưởng như thế nào?

  1. Công nghệ thông tin

  2. Nguyễn Mạnh Hùng

Từ khóa: 

công nghệ thông tin

,

chuyên gia bảo mật - an toàn thông tin

Chào bạn,

Để trở thành một Web pentester - Bug bounty hunter giỏi có rất nhiều kiến thức và kỹ năng cần học tập, rèn luyện. Ở đây tôi chia sẻ với bạn 4 định hướng cơ bản tôi đã trải qua:

1. Tìm hiểu kiến thức cơ bản về Web app và cách "hack" ứng dụng web. Tôi đề xuất bạn đọc cuốn "web application hacker's handbook" để nắm được kiến thức cơ bản.

2. Thực hành thật nhiều trên các ứng dụng, nền tảng giả lập lỗi giống môi trường thật. Tôi đề xuất bạn thử thực hành trên nền tảng free của

Portswigger
. Bạn có thể rèn luyện và tham gia các cuộc thi CTF để mở rộng cộng đồng và kiến thức.

3. Tham gia các nền tảng Bug bounty, tìm hiểu các lỗi đã được công bố trước đó và thực hành lại để hiểu và có thể khai thác các lỗi tương tự. Bạn có thể tham khảo các lỗi công bố của hackerone tại

link
, hoặc đọc sách
Real-world bug hunting
.

4. Không ngừng mở rộng kết nối và học tập từ các nguồn sẵn có trên mạng. Ví dụ: follow các hacker nổi tiếng trên twitter, youtube... có 2 nguồn video rất hay bạn có thể tham khảo là: video youtube của

Bugcrowd
NahamSec
. Khi theo dõi twitter, youtube bạn sẽ mở rộng hiểu biết và nguồn học tập không còn giới hạn trong những gì tôi đã hiểu. Hãy chủ động học và tiếp thu những gì bạn thấy hay, phù hợp với bạn.

Và cuối cùng không liên quan đến kiến thức nhưng lại là yếu tố quan trọng nhất để thành công: đó là đam mê. Hãy cùng xem

video phỏng vấn 1 hacker tuổi teen đã kiếm được 1 triệu USD
hoàn toàn hợp pháp để bắt đầu mồi lửa đam mê nhé.

Chúc bạn thành công và có thể tiến xa trong lĩnh vực ATTT.

Regards.

Trả lời

Chào bạn,

Để trở thành một Web pentester - Bug bounty hunter giỏi có rất nhiều kiến thức và kỹ năng cần học tập, rèn luyện. Ở đây tôi chia sẻ với bạn 4 định hướng cơ bản tôi đã trải qua:

1. Tìm hiểu kiến thức cơ bản về Web app và cách "hack" ứng dụng web. Tôi đề xuất bạn đọc cuốn "web application hacker's handbook" để nắm được kiến thức cơ bản.

2. Thực hành thật nhiều trên các ứng dụng, nền tảng giả lập lỗi giống môi trường thật. Tôi đề xuất bạn thử thực hành trên nền tảng free của

Portswigger
. Bạn có thể rèn luyện và tham gia các cuộc thi CTF để mở rộng cộng đồng và kiến thức.

3. Tham gia các nền tảng Bug bounty, tìm hiểu các lỗi đã được công bố trước đó và thực hành lại để hiểu và có thể khai thác các lỗi tương tự. Bạn có thể tham khảo các lỗi công bố của hackerone tại

link
, hoặc đọc sách
Real-world bug hunting
.

4. Không ngừng mở rộng kết nối và học tập từ các nguồn sẵn có trên mạng. Ví dụ: follow các hacker nổi tiếng trên twitter, youtube... có 2 nguồn video rất hay bạn có thể tham khảo là: video youtube của

Bugcrowd
NahamSec
. Khi theo dõi twitter, youtube bạn sẽ mở rộng hiểu biết và nguồn học tập không còn giới hạn trong những gì tôi đã hiểu. Hãy chủ động học và tiếp thu những gì bạn thấy hay, phù hợp với bạn.

Và cuối cùng không liên quan đến kiến thức nhưng lại là yếu tố quan trọng nhất để thành công: đó là đam mê. Hãy cùng xem

video phỏng vấn 1 hacker tuổi teen đã kiếm được 1 triệu USD
hoàn toàn hợp pháp để bắt đầu mồi lửa đam mê nhé.

Chúc bạn thành công và có thể tiến xa trong lĩnh vực ATTT.

Regards.