Kibertəhlükəsizlik, Etik Hacking, Tətbiq Təhlükəsizliyi, Penetrasiya Testi, Baq Mükafatları və s., bu karyera seçimləri çiçəklənir və bütün dünyadakı gəncləri, alimləri, təcrübəli mütəxəssisləri və s. cəlb edir, arasında populyarlaşır. Bu populyarlığın səbəbi, şübhəsiz ki, artan icma, artan hücumlar və ixtisaslı mütəxəssislərə ehtiyacdır.
Bununla belə, bu sahə birdən-birə yeni başlayanlar üçün çaşqınlıq yaradır və mən haradan başlamalıyam? Əvvəlcə nə öyrənməliyəm? Lənət olsun, öyrənməli çox şey var və oyuna girməyim illər çəkəcək, bunun qısa yolu varmı, yoxsa meydanı tərk etməliyəm!! Bunlar sadəcə olaraq bu bloq üçün tərtib etdiyim suallardan bəziləri deyil, Twitter, Instagram, LinkedIn, E-poçtlar və s.-də verdiyim suallardan bəziləridir. ən çox verilən suallar.
Bəzən mənə yaxınlaşıb " Mən Kiber Təhlükəsizliyə yeni başlamışam və həqiqətən davam etmək istəyirəm" deyə soruşduqda, maraqlı bir zehnə qəti cavab vermək həqiqətən çətindir.Bunu nəzərə alaraq, bütün bu suallara cavab vermək üçün bu bloqu yazıram və qısaca Kiber Təhlükəsizliyə Necə Başlamaq olar?
Kibertəhlükəsizlik böyük bir sahədir və siz kibertəhlükəsizlik haqqında danışdığınız zaman hansı sahəni soruşmağa çalışdığınızı dəqiq bilmirsiniz! Kiber Təhlükəsizlik dediyiniz zaman ola bilər - bir səhv ovçusu və ya mavi komanda və ya kiber məhkəmə tibb işçisi olmaq istəyirsiniz və ya bəlkə də əmin deyilsiniz. Beləliklə, əvvəlcə hara getmək istədiyinizi bilməyə kömək edəcək bəzi ümumi karyera seçimlərini nəzərdən keçirək.
Yuxarıdakı ağıl xəritəsi üç əsas sahədə Kiber Təhlükəsizlik karyera seçimlərini əhatə edir: Hücum, Müdafiə və Tədqiqat. (Qeyd edək ki, Hücumedici Kibertəhlükəsizlik qeyri-qanuni termin deyil). Bununla belə izah ediləcək çox şey olduğundan, mən Hücumedici Kibertəhlükəsizlik üzərində işləyirəm və son məqsədiniz Hücumlu Kibertəhlükəsizlik tərəfinə keçməkdir, növbəti bir neçə abzasda olduğu kimi, oxuyun, sizə daha çox məlumat verəcəyəm. Bu sahənin yaxından görünüşü, bəzi tələblər və bu sahədə öyrənməyə və yaxşı karyera qurmağa necə başlamaq lazımdır.
Hücumedici Kibertəhlükəsizlik Karyera Yolu
Hücumedici Kiber Təhlükəsizliyə başlamaq haqqında danışarkən, Tətbiq Təhlükəsizliyi, Qırmızı Komandalaşma, Penetrasiya Testi, Kod Baxışları, Bulud Auditləri və s. kimi bir çox sahələr var Bununla belə, həmişə bəzi ilkin tələblər var və günün sonunda hər şey bir şəkildə bağlıdır.
İlkin şərt:
Kompüter sisteminin necə işlədiyini başa düşmək
İnternetin necə işlədiyini və ondan necə istifadə edəcəyini yaxşı başa düşmək
Mentalitet və Ritm — Etdiyiniz işdən həzz almalısınız!!!
Başlayarkən
Mən Hücum Təhlükəsizliyi və Tətbiq Təhlükəsizliyi ilə maraqlandığım üçün bu sahədə necə işə başlamağınız barədə sizə daha yaxşı bələdçilik edə bilərəm və aşağıda qabaqcıl anlayışların əsaslarını yaxşı dərk etmək üçün edilməli olan müxtəlif əsas quraşdırmaların icmalı verilmişdir. Beləliklə, gəlin nəzər salaq:
Əməliyyat sistemlərinin öyrənilməsi
Bazarda bir çox əməliyyat sistemi mövcuddur, lakin ən çox yayılmışları Windows, Mac və Linux əsaslı Əməliyyat Sistemləridir. Digər tərəfdən, Android və iOS mobil əməliyyat sistemlərində çoxluq təşkil edir.
Müəyyən bir əməliyyat sisteminin necə işlədiyini və onlar tərəfindən təmin edilən müxtəlif təhlükəsizlik xüsusiyyətlərinin nə olduğunu, hər birinin hansı məhdudiyyətlərə malik olduğunu və təcavüzkarın onlardan necə sui-istifadə edə biləcəyini bilməli olduğunuz bir çox ssenari var.
Məsələn: Pentester olaraq siz məhdud istifadəçi kimi Linux Maşınına giriş əldə etdiniz. İndi siz mövcud funksiyalardan necə sui-istifadə edə biləcəyinizi və məhdudiyyəti aradan qaldırmaq üçün imtiyazlı giriş əldə edə biləcəyinizi bilməlisiniz. Müxtəlif xüsusiyyətlərin nə olduğunu bildikdən sonra bu, həqiqətən sadələşir və nədən həzz alacağınız və imtiyazlı giriş haqqında yaxşı bir fikrə sahib olacaqsınız.
Əməliyyat sistemləri haqqında öyrənmək üçün mənbələr:
Linux Əsasları: https://linuxjourney.com/
Android Əsasları: https://www.educba.com/android-operating-system/
Windows Əsasları: https://www.educba.com/introduction-to-windows/
Əməliyyat sisteminin əsasları: https://www.tutorialspoint.com/operating_system/index.htm
Bu əməliyyat sistemlərinə daha dərindən baxmaq istəyirsinizsə, bu əməliyyat sistemlərinin daha əhatəli tədqiqi olan Windows Daxili və ya Linux Daxililərinə nəzər sala bilərsiniz. Bununla belə, ən azı əsas bilik əldə etməyi məsləhət görürəm.
Kompüter Şəbəkələrinin Öyrənilməsi
Kompüter Şəbəkələri təkcə İT təhlükəsizlik mütəxəssisləri üçün deyil, hər bir İT mütəxəssisi üçün həqiqətən vacib elementdir. Çox vaxt siz hücumçu təhlükəsizlik işçisi kimi istənilən növ məşğulluqla qarşılaşacaqsınız, ya Veb Tətbiq, Mobil Tətbiq, Bulud İnfrastruktur, Daxili Şəbəkə, Routerlər, Firewalllar, IoT Cihazları və s. Bu arxitekturaların əksəriyyəti internetdən istifadə edərək birbaşa və ya dolayısı ilə ünsiyyət qurur.
Routing, Firewall, SSL, TLS, Portlar, Protokollar, IP, TCP, UDP, MAC və digər mühüm şəbəkə təhlükəsizliyi xüsusiyyətlərinin necə işlədiyini bilmək daxil olmaqla, əsas şəbəkə anlayışları ilə tanış olmalısınız. Niyə bu məlumatın öz-özünə lazım olması heç bir izahata ehtiyac duymur, vacibdir, hamısı budur.
Kompüter şəbəkələrini öyrənmək üçün resurslar
https://www.tutorialspoint.com/data_communication_computer_network/index.htm
https://www.tutorialspoint.com/network_security/index.htm
Şifrələmə və Şəbəkə Təhlükəsizliyi (McGraw-Hill Forouzan Networking)
Veb Tətbiqləri Öyrənmək
Veb tətbiqi proqram təhlükəsizliyi mühəndisi və kiber təhlükəsizlik işçisi kimi səyahətim zamanı rastlaşdığım ümumi şeylərdən biridir. İstənilən təşkilatın xarici resurslarının əksəriyyəti veb proqramlardır.
Veb Tətbiq Təhlükəsizliyinin necə sınaqdan keçiriləcəyinə daha dərindən girməzdən əvvəl Veb Tətbiqi, onların əlaqəsi və komponentləri haqqında müxtəlif anlayışları bilmək vacibdir. Buraya HTTP Sorğunun necə yaradıldığı, HTTP Cavabının necə işlədiyi, müxtəlif təhlükəsizlik başlıqları, brauzerin təhlükəsizlik xüsusiyyətləri, CSP və CORS nədir və s. daxildir. anlama daxildir. Bu, əsas konsepsiyadır və nəticədə Tətbiq Təhlükəsizliyi kimi səyahətinizdə sizə kömək edəcəkdir. 
Əsas anlayışları öyrənmək üçün resurslar
HTTP haqqında: https://developer.mozilla.org/en-US/docs/Web/HTTP
HTTP başlıqları: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers
HTTP Təhlükəsizliyi: https://developer.mozilla.org/en-US/docs/Web/Security
Məzmun-Təhlükəsizlik Siyasəti: https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP
HTTP kukiləri: https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies#Secure_and_HttpOnly_cookies
Veb Təhlükəsizlik  Vərəqi: https://infosec.mozilla.org/guidelines/web_security
Mənbələrarası Resurs Paylaşımı: https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS
Ümumi Təhlükəsizlik Çərçivələrini Anlamaq
Veb Tətbiqi, Əməliyyat Sistemləri və Kompüter Şəbəkələrinin əsas anlayışları haqqında kifayət qədər məlumat əldə etdikdən sonra, təhlükəsizlik perspektivini araşdırmazdan əvvəl növbəti hissə sənaye standartının izlədiyi bəzi ümumi təhlükəsizlik çərçivələrini başa düşməkdir. Bu, düzgün istinad etməyə və zəifliyin hansı kateqoriyaya aid olduğunu anlamağa kömək edəcək. Müəyyən edilmiş təhlükəsizlik probleminin ciddiliyini necə qiymətləndirmək və onu həll etmək üçün ona necə yanaşmaq olar.
OWASP: Açıq Veb Tətbiqinin Təhlükəsizliyi Layihəsi veb tətbiqi təhlükəsizliyi sahəsində sərbəst əldə edilə bilən məqalələr, metodologiyalar, sənədlər, alətlər və texnologiyalar istehsal edən onlayn icmadır.
OWASP Web Top 10: https://owasp.org/www-project-top-ten/
OWASP API Top 10: https://owasp.org/www-project-api-security/
OWASP Mobile Top 10: https://owasp.org/www-project-mobile-top-10/
OWASP ASVS: https://owasp.org/www-project-application-security-verification-standard/
OWASP Zəifliyin İdarə Edilməsi Bələdçisi: https://owasp.org/www-project-vulnerability-management-guide/OWASP-Vuln-Mgm-Guide-Jul23-2020.pdf
OWASP Risk Qiymətləndirmə Metodologiyası: https://owasp.org/www-community/OWASP_Risk_Rating_Methodology
STRIDE: STRIDE modeli təhlükəsizlik mühəndislərinə serverdəki bütün mümkün təhlükələri anlamağa və təsnif etməyə kömək etmək üçün Microsoft tərəfindən hazırlanmışdır . Bu modelin adı altı əsas təhlükə növünün abbreviaturasıdır.
Daha çox oxu: https://docs.microsoft.com/en-us/previous-versions/commerce-server/ee823878(v=cs.20)?redirectedfrom=MSDN
CVSS: Ümumi Zəifliyin Qiymətləndirilməsi Sistemi (CVSS) zəifliyin əsas xüsusiyyətlərini tutmaq və onun şiddətini əks etdirən ədədi xal yaratmaq üçün bir yol təqdim edir. Rəqəmsal reytinq daha sonra təşkilatlara zəifliyin idarə edilməsi proseslərini lazımi şəkildə qiymətləndirməyə və prioritetləşdirməyə kömək etmək üçün keyfiyyət təmsilçiliyinə (aşağı, orta, yüksək və kritik kimi) çevrilə bilər.
Daha çox oxuyun: https://www.first.org/cvss/
Veb Tətbiq Təhlükəsizliyi ilə İşə Başlamaq
Bu nöqtədə, Web Tətbiq Təhlükəsizliyi ilə necə başlamaq barədə danışacağıq. Orada tonlarla resurs var və onların hamısını öyrənmək/oxumaq mümkün deyil, lakin ən yaxşılarını seçmək də bir problemdir. Yaxşı bir tutuş əldə etmək üçün izləmək üçün bəzi yaxşı resursları paylaşıram:
OWASP Test Bələdçisi geniş çeşidli təhlükəsizlik məsələlərini və onların sınaqdan keçirilməsi yollarını təsvir edir. Bu, müxtəlif təhlükəsizlik zəifliklərini bilmək və aşkar etmək üçün ilk istinad bələdçisi olmalıdır.
PortSwigger Veb Təhlükəsizlik Akademiyası Bu, Veb Tətbiq Hakerinin Təlimatının praktiki versiyasıdır. Öyrəndiklərinizə yiyələnmək üçün yaxşı öyrənmə resursları (qısa və aydın), ardınca Laboratoriyalar əldə edəcəksiniz.
Bugcrowd Zəifliyin Qiymətləndirilməsi Taksonomiyası çoxsaylı təhlükəsizlik problemlərindən və onlarla əlaqəli ciddilikdən bəhs edir. Bu həm də bir çox təhlükəsizlik məsələləri haqqında bilmək üçün faydalı mənbədir.
OWASP Juice Shop real həyat tətbiqidir və sizə Injection, Access Control-dən XXE-yə qədər müxtəlif zəiflikləri sınamaq zövqünü verir.
Cobalt.io Zəiflik Wiki , OWASP ASVS-ə əsaslanan müxtəlif təhlükəsizlik məsələləri üçün qısa izahat, konsepsiya sübutu və risk reytinqlərini özündə əks etdirən başqa bir əla resursdur .
PayloadAllTheThings Bu, bütün təhlükəsizlik məsələləri üçün böyük yük siyahısına malik açıq mənbəli GitHub Repositorydir və o, həmçinin bəzi son təhlükəsizlik problemləri haqqında bilmək üçün yaxşı mənbədir.
Öyrənmək 365  problemimdə izlədiyim bütün öyrənmə resurslarını ehtiva edən öz GitHub Repozitorum, bunlar Veb, Mobil, Şəbəkə, Bulud və s. O, daxil olmaqla müxtəlif hücum vektorlarını ehtiva edir
HackTricks GitBook Bu, müxtəlif Şəbəkə, Mobil və Veb Hücum vektorları üzrə böyük resurslar toplusudur.
InfoSec Məqalələri , PentesterLand və HackerOne Şərhləri Onlar Bug Bounty Writes-ə baxmaq və müxtəlif hakerlərin müxtəlif səhvlərə və fərqli tətbiqlərə necə yanaşdığını öyrənmək üçün əla resurslardır.
Abunəliklər ala bilsəniz , bu iki ödənişli linki tövsiyə edirəm və onların gözəl məzmunu var:
PentesterLab: https://pentesterlab.com/
PentesterAcademy — AttackDefense Labs: https://attackdefense.com/
Nəzərə alın ki, mənim heç bir ödənişli promosyonda bu satıcılarla əlaqəm yoxdur.
Qeyd: Linklərdə çox vaxt sərf etməyin və səhv mükafatı və məsuliyyətli açıqlama proqramları vasitəsilə real həyatda olanları araşdırmağa başlayın. Linklərdə daha çox vaxt keçirmək real dünya tətbiqlərini sınaqdan keçirərkən diqqətinizi yayındıra bilər. Hər hansı bir sındırma, məsələn , saytlararası skript, mövcud laboratoriyalar haqqında google-a daxil olub onları həll etməyiniz lazım olduğunu düşündüyünüz zaman , faktiki həyata keçirməyə başlayın və prosesi yenidən izləyin.
Güclü əsas biliyə sahibsinizsə və müvafiq yanaşmaya sahibsinizsə, Veb Tətbiqinin təhlükəsizliyinə başlamaq həqiqətən sadədir, mən sizə yalnız vaxtınızı resursların axtarışına sərf etməyi deyil, real həyat tətbiqləri və müxtəlif ssenarilərlə üzləşməyinizi tövsiyə edirəm.
Şəbəkə Təhlükəsizliyi ilə Başlayın
Şəbəkə Təhlükəsizliyi üçün heç bir resurs məhdudiyyəti yoxdur, lakin təhlükəsizlik baxımından kompüter şəbəkələrini yaxşı başa düşmək vacibdir. Şəbəkə təhlükəsizliyi üçün təcrübə etməyin bir çox yolu var, lakin ən yaxşı yol HackTheBox-dan istifadə edərək laboratoriyaları həll etmək və yeni konsepsiyaları anlamaq üçün vaxt ayırmaqdır. Yaxşı resurslardan bəziləri bunlardır:
HackTheBox : Penetrasiya testi və kibertəhlükəsizlik sahəsində bacarıqlarınızı sınamaq və təkmilləşdirmək üçün onlayn platformadır.
VulnHub : Hər kəsə rəqəmsal təhlükəsizlik, kompüter proqram təminatı və şəbəkə idarəçiliyində praktiki "təcrübəli" təcrübə qazanmağa imkan verən materialların təmin edilməsi.
OffensiveSecurity ProvingGrounds : Offensive Security-nin Proving Grounds təlim laboratoriyalarına PG Play və PG Practice əlavələri ilə müstəqil, özəl laboratoriya mühitində Pentesting bacarıqlarınızı məşq edin.
TryHackMe : TryHackMe qısa, oyunlaşdırılmış real dünya laboratoriyaları vasitəsilə Kibertəhlükəsizliyi öyrədən onlayn platformadır. Bizdə həm yeni başlayanlar, həm də təcrübəli hakerlər üçün müxtəlif öyrənmə üslublarına cavab verən bələdçi və çətinliklərlə dolu məzmun var.
HackTricks GitBook Bu, müxtəlif Şəbəkə, Mobil və Veb Hücum vektorları üzrə böyük resurslar toplusudur.
Mobil Tətbiq Təhlükəsizliyi ilə Başlayın
Tətbiq Təhlükəsizliyi mühəndisi olaraq tez-tez rastlaşdığımız növbəti böyük şey Mobil Tətbiqlərdir. Bununla belə, bu, həqiqətən maraqlı bir sahədir, çünki mənbə koduna daxil olmaq və həm Statik, həm də Dinamik Analizləri yerinə yetirmək üçün tətbiqi tərsinə çevirə bilərsiniz.
Mən həm də Mobil Tətbiq Təhlükəsizliyi üzrə tələbəyəm və hazırda Mobil Tətbiq Təhlükəsizliyi ilə ayaqlaşmaq üçün hansını izləyə biləcəyinizi təklif etmək üçün məhdud resurslarım var (yaxın günlərdə bu bloqa daha çox əlavə edəcəyəm):
OWASP Mobile Security Top 10: https://owasp.org/www-project-mobile-top-10/
Mobil Tətbiq Hakerinin Təlimatı:
HackTricks GitBook Bu, müxtəlif Şəbəkə, Mobil və Veb Hücum vektorları üzrə böyük resurslar toplusudur.
OWASP iGoat: https://github.com/OWASP/igoat
Təhlükəsiz Bank: https://github.com/dineshshetty/Android-InsecureBankv2
Yekun nəticə
Bu bloqu yazmaq üçün bütün hissələri bir araya gətirmək çox vaxt apardı, lakin bu bloqu yazmaqda məqsəd mənim üçün çox vaxt “Necə başlamaq lazımdır”, “Doğru yol nədir?” kimi mövzularda verilən bütün sualları cavablandırmaq üçün idi. Çox vaxt hər kəsə cavab vermək mümkün deyil, lakin ümid edirəm ki, bu bloq bu mövzuya cavab axtaran və bu mövzuda yeni olan hər kəsə kömək edir. Mən bu bloqu mütəmadi olaraq yeniləməyə çalışacağam. Bulud Təhlükəsizliyi, kiber təhlükəsizlik və bu bloqdakı digər sahələrə başlamaq üçün resursları oxumaqdan zövq alacaqsınız.
Məsləhətlər və Əlavə Qeydlər
Əsasları öyrənməyə heç vaxt laqeyd yanaşmayın. İşlərin necə işlədiyini başa düşmək üçün mümkün qədər çox vaxt ayırın. Bu sizə çox kömək edəcək.
Bu, real həyat proqramlarda heç nə tapmasanız, imtina etməyinizə səbəb ola bilər.
Oxumalar və laboratoriyalar vasitəsilə bir neçə zəiflik haqqında məlumat əldə etdikdən sonra onları məsuliyyətli açıqlama və səhv təcrübə proqramları vasitəsilə tətbiq edin və bu, sizə bəzi səhv təcrübələr də verə bilər, lakin günün sonunda bunu öyrənəcəksiniz.
Twitter-də və bazarda baş verənlərdən xəbərdar ola biləcəyiniz başqa sosial platformada düzgün insan qrupunu izləyin.
Asanlıqla təslim olmayın və problemlərinizi həll etmək üçün kömək axtarmağa başlayın. Daha dərin axtarış edin və bütün mümkün resursları tükətin və hələ də ilişib qalsanız, başqalarına müraciət edin.
Kimsə ilə əlaqə saxladığınız zaman tam ssenarini izah etdiyinizə əmin olun və zəiflikdən şübhələndiyiniz hər hansı URL/Təsirə məruz qalan son nöqtələri təqdim etməyə hazır olun. Əgər təfərrüatları təmin etməkdə məhdudiyyət varsa, insanlar sizə kömək edə bilməyəcəklər.
Bəzi mükafatlar və ya iş tapa bilmirsinizsə, daha çox cəhd etməyə davam edin və işlər mütləq yerinə düşəcək. Kiminsə  bəxti olduğunu söyləmək asandır, lakin həmişə özünüzü və öyrənmə prosesinizi necə təkmilləşdirə biləcəyinizə diqqət yetirin.
Sertifikatlara sahib olmaq yaxşıdır və sponsorluq əldə edirsinizsə və ya onları ödəyə bilirsinizsə, mütləq davam edin və özünüz üçün qeydiyyatdan keçin.