Como primer paso, recomendaría leer un libro básico, uno muy bueno que puedo recomendar es este libro electrónico.
Como siguiente paso, puede leer los escritos CTF (es decir, CTFtime.org / Writeups) que a menudo muestran pequeños ejemplos de exploits. Dependiendo de la forma en que desee avanzar (¿exploits web? ¿Exploits de hardware? ¿Analizar y explotar a nivel de ensamblaje?) Existen diferentes recursos. Exploit-DB tiene algunos documentos muy buenos sobre seguridad de TI (análisis de vulnerabilidad, documentos de seguridad, tutoriales de explotación). Otra buena página que puedo recomendar es HackerOne (Vulnerability Coordination and Bug Bounty Platform). Allí encontrará muchas publicaciones públicas sobre otros piratas informáticos que encontraron XSS, inyecciones SQL y otros problemas de seguridad en grandes empresas como Facebook o Uber.
Si se siente lo suficientemente seguro, continúe y busque a través de los programas de recompensas de errores en plataformas como HackerOne y elija una página web para comenzar. Busque en toda la página, pruebe todos los puntos finales y busque problemas de seguridad. En ese punto, deberías haber obtenido suficiente conocimiento para ser un investigador de seguridad junior 🙂
- ¿Hay corredores de prueba de Python + Django que sean rápidos?
- ¿Dónde puedo codificar sitios web gratis?
- ¿Cuál es la diferencia entre Twitter Bootstrap y Zurb Foundation?
- ¿Vale la pena crear un sitio como indiabix.com?
- Como desarrollador web, ¿qué herramientas consideró una pérdida de tiempo y cuáles son esenciales?