گزیده‌ای از بهترین دوره‌ها و گواهی‌نامه‌های تست نفوذ- نقشه راه یک تست نفوذگر موفق

گزیده‌ای از بهترین دوره‌ها و گواهی‌نامه‌های تست نفوذ- نقشه راه یک تست نفوذگر موفق

دراین مقاله یادمی‌گیریم که به عنوان یک باگ بانتی هانتر یا تست نفوذگرچگونه با تواضع و فکر باز به یادگرفتن و کار بپردازیم. هیچ وقت فکر نکنیم که همه چیز را میدانیم و متوجه باشیم که همیشه چیز جدید برای یادگیری وجود دارد. با تمام کردن دوره‌هایی که در این مقاله معرفی می‌کنیم زیربنای دانش تست نفوذ محکمی برای خودتان می‌سازید. ذاتا این فیلد به نوعی است که در نگاه نخست چیز خاصی برای ارائه ندارد، ولی به محض اینکه چند قدم پیش رفتید با یک منظره زیبا مواجه خواهید شد و با چیزهایی که آن بیرون هستند بیشتر آشنا خواهید شد، متوجه می‌شوید که رشته امنیت سایبری بزرگتر و گسترده تر از چیزی است که فکر می‌کردید. هرچه جلوتر می‌روید متوجه می‌شوید که مطالب برای یادگیری هنوز تمام نشده و دراین زمینه هنوز چیزهای بیشتری برای یادگیری آن بیرون وجود دارد.

با رعنا خلیل بیشتر آشنا شویم

من رعنا خلیل هستم، مدرک کارشناسی ریاضی و علوم کامپیوتر و مدرک کارشناسی ارشد علوم کامپیوتر دارم که موضوع پایان نامه‌ام ارزیابی اسکنرهای آسیب‌پذیری‌های وب اپلیکیشن‌ها بود. در گذشته در زمینه توسعه نرم افزار کار کردم که سپس به امنیت اپلیکیشن تغییر مسیر دادم. ابتدا گواهینامه OSCP و سپس گواهینامه گواهی امنیتی حرفه‌ای دریافت کردم که بعد از گرفتن این گواهی نامه ها کاملا در مسیر تست نفوذ قرار گرفتم و تصمیم گرفتم تا در زمینه امنیت اپلیکیشن کار کنم.

بیشتر افراد بامن از طریق آکادمی و کانال یوتوبم آشنا شده‌اند، به همین خاطر در وقت‌های آزادم ویدیوهای آموزشی ضبط می‌کنم یا برای قسمت بلاگ وب سایتم مقاله و پست آماده می‌کنم. داخل محتوای ویدیوها و مقالاتم به افراد آموزش می‌دهم که چگونه تست نفوذ انجام دهند، که فرقی نمی‌کند تست نفوذ شبکه باشد یا تست نفوذ یک وب اپلیکیشن.

مطالعه برای مدرک OSCP

زمانیکه من درحال مطالعه برای OSCP بودم، یک فرد مبتدی و تازه کار بودم، در حدی که باید Nmap هم یاد می‌گرفتم، چون در دانشگاه کسی قبلا به من توضیح نداده بود که به نحوی باید این کار را شروع کنم. متوجه شدم که مطالب و موضوعاتی که در دوره OSCP هستند برای شروع و یادگرفتن چیزهایی که لازم بود یادبگیرم کافی نیستند، چراکه زمانیکه من در حال گذراندن این دوره بودم هنوز آپدیت نشده بود و هنوز برای این فقدان ها سرفصلی تعیین نکرده بودند.

در آن زمان من برای جبران این کمبود در یک پلتفرم به اسم HacktheBox ثبت نام کردم. لیست OSCP TJ Nell را دنبال کردم. داخل این پلتفرم باکس‌ (جعبه‌) هایی مشابه باکس‌هایی که در آزمایشگاه‌ (Lab) های OSCP می‌بینید وجود دارند. یکی از مزایای این پلتفرم این است که داخل آن باکس‌های مجزایی وجود دارند که افراد زیادی تجربه های خودشان را در قالب ویدیوها و پست های مجزا می‌نویسند و به این باکس ها پاسخ می‌دهند. مثل ویدیوهای آموزشی IPPSec که یک فرد کاربلد دراین زمینه است، من خودم شخصا میزان بیشتر دانش پن تست خودم رو مدیون آموزش‌های او هستم، تا به حال از نزدیک ایشون رو ملاقات نکردم ولی اگر این اتفاق بیفته حتما به یک فنجان قهوه مهمان خواهم کرد.

درکل دراین مسیر بیشتر از افرادی یادگرفتم که خودشان پن تستر بودند، قبلا مسیر دریافت مدرک OSCP را طی کرده بودند و پاسخی برای باکس‌های HackTheBox پیدا کرده بودند. هرچه جلوتر می‌رفتم بیشتر یاد می‌گرفتم، به گونه‌ای که متدلوژی خودم را دررابطه نحوه انجام تست نفوذ توسعه دادم. پس از این توانستم داخل آزمایشگاه‌های OSCP بهتر عمل کنم و تمرین کردن را شروع کردم و اینگونه بود که توانستم مدرک OSCP خودم را دریافت کنم.

درمقایسه با زمانی که من اینکار را انجام دادم، امروزه دوره‌های آموزشی متنوع زیادی تولید شده اند، بنابراین مسیری که امروز من پیشنهاد می‌کنم کمی متفاوت‌تر از مسیری است که خودم طی کردم.

لینک مقاله 

نقشه راه کلی برای شروع یادگیری پن تست

اگر یک نفر از شما بپرسد که من میخواهم یک پن تستر موفق باشم و قصد دارم همه چیز را از صفر شروع کنم، پاسخ شما به این سوال چیست؟

این یکی از سوال‌های پرتکرار است. من شخصا شروع آموزش خودم را به صورت خودخوان آغاز کردم، چون هیچ منبع قابل اطمینانی برای شروع کار وجود نداشت و هم اینکه یادگیری خودخوان مزایای مخصوص به خود را داشت، چراکه دراین روش حفظ و نگهداری و جستجوی اطلاعات آموزشی راحت‌تر است. اما خب معایبی هم دارد، مثلا دوره OSCP برای من بسیار طولانی‌تر از بقیه طول کشید، چون وقتی مبحثی را متوجه نمیشدم، مجبور بودم از گوگل کمک بگیرم که خب در چنین مواقعی با حجم زیادی از منابع آموزشی مختلف روبه‌رو می‌شویم که اطلاعات قسمتی از این منابع درست و کامل هستند، اما برخی از آنها نادرست هستند که باید از لحاظ ذهنی خودتون یک فیلتر ذهنی داشته باشید که بتوانید اطلاعات کاربردی را از اطلاعات غیرکاربردی جدا کنید.

این راهی بود که من پیش گرفته بودم و بالطبع مزایا و معایب مخصوص به خودش را داشت. پس از اینکه دوره OSCP را تمام و مدرکم را دریافت کردم، دوره‌های مختلف و کاربردی زیادی توسط اشخاص تولید و ارائه شد که من پیشنهاد می‌کنم برای شروع تست نفوذ از این دوره‌ها استفاده کنید.

یکی از این دوره‌ها به اسم “Practical ethicalhacking” که توسط Cyber Mentor تولید شده، شخص پشت این دوره آموزشی Heath Adams که اسم حساب کاربری توییتر آن CyberMentor است. هزینه این دوره بسیار مناسب هست و به نوعی یک منبع جمع و جور متشکل از اطلاعات و دانش پایه‌ای که دریک دوره به آن نیاز دارد است، از اینرو این اولین دوره‌ای برای شروع است که پیشنهاد می‌کنم.

دو دوره دیگری که پیشنهاد می‌کنم یکی دوره “Windows privilege escalation” و دیگری دوره “Linux Privilege escalation” است. دوباره این دو دوره را می توانید از CyberMentor یا یک تولیدکننده محتوای دیگر به نام Tiberius تهیه کنید. معرفی هیچ یک از این دوره‌ها هیچ منفعت مالی برای من ندارد. اینها دوره‌هایی هستند که من خودم آن‌ها را گذرانده‌ام، که خیل دوست داشتم این دوره‌ها وقتی من تازه کار بودم هم وجود داشتند.

به محض اینکه این 3 دوره را تمام کردید، برای خودتان یک پایه محکم برای تست‌نفوذ ساخته‌اید. تنها کاری که باید انجام دهید این است که هی تمرین و تکرار کنید، از این دوره‌های آموزشی عملی استفاده کنید، که البته به نظر من اینها به تنهایی کافی نیستند. مورد دیگری که پیشنهاد می‌کنم این است که داخل یک پلتفرم مثل Tryhackme یا HackTheBox ثبت نام کنید و تمرین‌های موجود در آنها را حل کنید، تا زمانی این کار را انجام دهید که دیگر حل کردن این تمرین ها برایتان راحت شود. منظور از راحت شدن مساله این است که مثلا قادر به بدست آوردن IP آدرس برای یک باکس با علم براینکه بدانید واقعا چه می‌خواهید، تا بتوانید نقاط ورود را به درستی تشخیص دهید. هرچقدر بهتر عمل کنید، در باکس حساب کاربری شما ارتقا پیدا می‌کند و اینگونه می‌توانید تا Root مجوزدسترسی تان را گسترش دهید. ازنظر من به محض اینکه به این نقطه دست پیدا کردید، می‌توانید به سراغ OSCP بروید و در آزمایشگاه‌های OSCP تمرینات عملی خودتان را ادامه دهید، که از نظر من تمرینات بسیار باارزشی هستند.

بسته به اینکه از چه فردی مشاوره گرفته‌اید، ممکن است با گذراندن دوره OSCP موافق یا مخالف باشید، ولیکن من شخصا طرفدار بزرگ دوره OSCP هستم، بزرگترین مزیت این دوره نسبت به سایر دوره‌ها و پلتفرم ها، محیط واقع گرایانه ای است که دراختیار شما قرار می‌دهد. دراین محیط 3 مجموعه شبکه دراختیار شما قرار می‌دهد، که شما در ابتدا با شبکه DMZ آشنا می‌شوید یا مثلا شبکه IT، شبکه دیگری که دراختیار شما قرار می‌گیرد تا آنجاییکه در خاطرم هست شبکه ادمین هست که دراختیار شما قرار می‌گیرد. تجربه این حس که شما می‌توانید از یک شبکه به یک شبکه دیگر بروید، جاییکه تمام باکس‌ها باهم درارتباط هستند. مثلا ابزارهای خاصی که در یکی از باکس‌ها قرار گرفته می تواند به شما این امکان را بدهد که به یک باکس دیگر دسترسی پیدا کنید، که ایندقیقا چیزی است در دنیای واقعی هم میتواند اتفاق بیفتد.

این تجربیات چیزهایی هستند که باعث میشود تا من به شما پیشنهاد کنم که درصورت امکان حتما این دوره را بگذرانید.

دانش پیش‌نیاز برای تبدیل شدن به یک پن‌تستر موفق

برای شروع تست نفوذ داشتن دانش حداقلی درباره مباحثی مثل شبکه، لینوکس یا … تا چه حد ضروری هست؟

به نظر من این به این بستگی دارد که اطلاعات و دانش اولیه شما درچه حدی است. مثلا من در ابتدا هیچ مهارتی در زمینه شبکه نداشتم، پس باید شروع به یادگیری می‌کردم. دانش من دراین زمینه به حدی بود که بتوانم گلیم خودم را از آب بیرون بکشم و بتوانم به صورت خودخوان شروع به یادگرفتن شبکه کنم. بنابراین من زمان زیادی برای یادگرفتن شبکه صرف نکردم.

پس این کلا به خودتان بستگی دارد، اگر در زمینه IT یک فرد تازه کار به‌شمار می‌آیید، و هیچ چیز درباره مفاهیم پایه دستورات لینوکس و ویندوز نمی دانید، بله حتما باید زمان بگذارید و اینها را یاد بگیرید.

میتوانم بگویم که 3 مهارتی که به آنها نیاز دارید و این 3 مهارت در مسیر برای شما بسیار کاربردی و مفید هستند:

1. شبکه: همانطورکه گفتید دانش شبکه است. باید بدانید IP آدرس، پورت چیست. چه سرویس‌هایی روی پورت ها اجرا می‌شوند. دانستن چنین چیزهایی بسیار برایتان مفید خواهد بود. برای بهبود بخشیدن به مهارت های شبکه می توانید از دوره نتورک پلاس CompTIA که یک منبع بسیار عالی برای یادگرفتن این موضوع است استفاده کنید. شما نیاز نیست که در آزمون نهایی این دوره شرکت کنید و مدرک بگیرید، فقط کتاب آن را بخرید یا در یک دوره آنلاین شرکت کنید. به مدرک فکر نکنید و فقط موارد موردنیازتان را ازاین دوره یادبگیرید. فقط کافیست بتوانید گلیم خودتان را در مسیری که برایتان ترسیم کردم از آب بیرون بکشید.

2. دستورات (Commands) پایه لینوکسی و ویندوزی: برای یاد گرفتن دستورات لینوکس آسان ترین راه جستجو در گوگل و دوره‌های آنلاین است که روی پلتفرم‌های زیادی می‌توانید آن‌ها را به صورت رایگان پیدا کنید، برای مثال یکی از این پلتفرم ها OvertheWire است. این پلتفرم در قالب یک پلتفرم بازی اجرای دستورات و عملیات را در لینوکس به شما یاد می‌دهد.

اما این مساله برای ویندوز کمی سخت است، چون وقتی به سراغ ویندوز می‌آییم، حرف لایسنس سیستم عامل ویندوز پیش می‌آید. بنابراین من دراین مورد به شما پیشنهاد میکنم که نسخه آزمایشی windows VM را دانلود کنید و دستورات لینوکسی یادگرفتید را بااستفاده از دستورات ویندوز اجرا کنید.

دراین مرحله نیازی به یادگرفتن تمام دستورات نیستید. فقط کافیست دستورات پایه را یادبگیرید. مثلا یک VM دانلود کنید و چیزهایی که یادگرفتید را روی آن تمرین کنید.

واما مورد سوم که کمی بحث برانگیز است:

3. Scripting: مورد سوم که قسمت اسکریپتینگ یا برنامه‌نویسی هست، از این لحاظ بحث برانگیز هست که عده‌ای باور دارند که یادگرفتن برنامه نویسی و اسکریپتینگ برای پن تسترها ضروری نیست. اما من جز آن عده‌ای هستم که باور دارم شما برای اینکه بتوانید به یک پن تستر خوب تبدیل شوید، کاملا به داشتن دانش حداقلی درباره اسکریپتینگ و برنامه‌نویسی نیاز دارید.

اما آیا ضروری هست که در همان ابتدا شروع به یادگیری آن کنید، خیر، نیاز نیست، ولیکن در طول مسیر جاهایی خواهد بود که برای پیشرفت خودتان هم که شده به دانش اسکریپتینک و کدنویسی نیاز پیدا خواهید کرد.

CyberMentor یک دوره برای این منظور تولید کرده که دراین دوره در یک بخش به آموزش مفاهیم پایه‌ای شبکه پرداخته، دریک بخش دیگر به توصیف مفاهیم پایه برنامه نویسی به زبان پایتون پرداخته که به نظر من یادگرفتن این بخش برای شروع کافیست.
وقتی با یک مورد خاص مواجه شدید که باید آن تسک را اتومیشن سازی کنید و راه آسان تری برای تست بسازید، دراینصورت میتوانید کاری که می‌خواهید انجام دهید را گوگل کنید و اینجاست که می توانید از مزایای مهارت های اسکریپنیگ و برنامه نویسی خودتان استفاده کنید.

آیا برای شروع کدنویسی یادگرفتن مفاهیم پایه اسکریپتینگ کافیست؟

برای شروع، یادگرفتن اسکریپتنگ پایه کافیست. به نظر من با جلوتر رفتن مثلا در مسیر تست نفوذ وب اپلیکیشن، فرق بین یک پن تستر خوب و یک پن تستر کاربلد، بلد بودن توسعه وب اپلیکیشن مهم و ضروری است، اینکه بلد باشید کدها را بازبینی کنید و خیلی کارهای دیگر که می‌توانید بااستفاده از مهارت کدنویسی‌تان انجام دهید.

من توسعه دهندگان نرم‌افزار بسیاری را می‌شناسم که بعدا مسیر شغلی خودشان را به تست نفوذ تغییر دادند، که معمولا در پیدا کردن آسیب‌پذیری‌های وب‌اپلیکیشن‌ها کارشان خیلی بهتر از افرادیست که کارشان را با تست نفوذ وب اپلیکیش‌ها شروع کرده‌اند.

پس افرادیکه پس زمینه توسعه نرم‌افزار دارند، در پیدا کردن آسیب‌پذیری‌ها بهتر از بقیه افراد عمل می‌کنند. از اینرو بدون درنظرگرفتن اینکه درچه زمینه‌ای تست نفوذ انجام می‌دهید، بهتر است درزمینه اسکریپتینگ و برنامه نویسی هم مهارت خودتان را بالا ببرید.

برای دیدن اطلاعات تکمیلی درباره اسکریپتینگ می‌توانید به این پست اینستاگرامی SecWithMoh مراجعه کنید.

آیا به مدرک و گواهینامه‌ دوره‌ها واقعا نیاز داریم؟

این مساله بیشتر به کشوری که در آن زندگی می‌کنید یا شرکتی که می‌خواهید درآن مشغول شوید بستگی دارد. اکنون شرکت‌های زیادی هستند که شرط مدرک و گواهینامه را از شروط استخدامی خودشان حذف کرده‌اند. درواقع این مساله به محل زندگی شما بستگی دارد.

دربرخی از کشورها حداقل داشتن مدرک لیسانس مرتبط با IT برای استخدام ضروری است. برای فردی که رزومه شما را بررسی می‌کند تا به شما اجازه دهد از در آن شرکت عبور کنید و پشت میز شغل مدنظرتان بنشینید. حتی برای برخی از شرکت‌ها گرایش امنیت سایبری مهم نیست، فقط کافیست مدرک شما مربوط به IT باشد.

برای همین پیشنهاد می‌کنم که این موارد را باتوجه به قوانین کشور و شرکت مدنظرتان در گوگل جستجو کنید.

اما اگر به دنبال داشتن یک دیدکلی دراین زمینه هستید، باید بگویم که به نظر من مدرک به خودی خود ارزشمند است، برای توضیح بیشتر می‌توانم بگویم که شخصا در زمینه ریاضی و علوم کامپیوتر مدرک گرفته‌ام که هردوی آنها ربطی به امنیت سایبری ندارند. از اینرو از حیث مدارک دانشگاهیم از مزیت توسعه‌گر نرم‌افزار بودن برخوردار بودم. اما دانش امنیت سایبری را من تماما خودخوان بدست آوردم. نظر شخصی من این است که دانشی که در دوره‌های لیسانس و فوق لیسانس بدست آوردم ارزش بیشتری نسبت به دانشی که از طریق دوره‌هایی که گذراندم داشتند. به همین خاطر می‌گویم که این به نظر شخصی شما بستگی دارد که دوست دارید از چه طریقی آموزش ببینید.

من به این دلیل به گواهینامه ها علاقمند هستم که این دوره ها نوعی ابزار یادگیری ساخت یافته هستند که داخل هردوره همه مطالب ضروی را یکجا برای یادگیری شما جمع کرده‌‎اند، اما ازطرف دیگر افرادی را می‌شناسم که دوست دارند برای ساعت‌های متمادی پشت سیستم بنشینند و از گوگل برای یادگرفتن چیزهای مختلف استفاده کنند، معمولا این افراد وقتی مبحثی را یادمی‌گیرند دیگر فراموش نمی‌کنند، چراکه درواقع برای پیدا کردن هرقسمت از دانشی که دارند ساعت‌ها وقت گذاشته‌اند.

بنابراین همه این‌ها به خود شخص بستگی دارد. اینکه از چه روشی بهتر می‌توانید یادبگیرید و چگونه مطالب می‌توانند مانایی بیشتری در حافظه تان داشته باشند.

به تعداد افراد راه برای رسیدن به موفقیت وجود دارد. پس اگر یک راه و روش برای یک نفر خوب بود این به‌این معنی نیست که همان راه می‌تواند برای شخص شما هم خوب و کاربردی باشد.

آیا گذراندن دوره OSCP از ضروریات پن‌تستر شدن است؟

آیا ضروریه برای پن تستر شدن؟! نه خیر

آیا گذراندن دوره OSCP در زمان استخدام یک مزیت برای شخص پن‌تستر به حساب می‌آید؟! بله

وقتی من گواهی دوره OSCP خودم را دریافت کردم، تعداد افرادیکه از لینکدن برای کار با من تماس می‌گرفتند بیشتر شد و اینگونه بود که مثل اینکه بخاطر داشتن گواهی دوره به دانش من در رابطه با تست نفوذ اعتماد بیشتری پیدا کردند، مثل اینکه دانش من خیلی بیشتر از قبل شده بود.

از این رو من یکی طرفدارهای گواهی OSCP هستم، اگر شما هم ازجایی بورسیه دارید یا شرکتی که برایشان کار می‌کنید برای داشتن گواهی پول خوبی می‌دهد، بهتر است گواهی این دوره را دریافت کنید.

اما اگر فکر می‌کنید که اگر این گواهی را نداشته باشید پن‌تستر خوبی نیستید، اصلا اینطور نیست. من پن‌تسترهای کاربلدی را می‌شناسم که از بهترین های این رشته هستند ولیکن گواهی OSCP ندارند، چون نیازی به این گواهی ندارند.

داستان جالبی پشت دوره OSCP وجود دارد. OSCP مخفف عبارت Offensive Security Certified Professional است. من به عنوان شخصی که از صفر همه چیز را شروع کردم، چون رشته تحصیلی من ربطی به امنیت سایبری نداشت. من همیشه فکر می‌کردم که به محض اینکه مدرک دوره OSCP را بگیرم، یک پن تستر تایید شده هستم و به قول معروف این دیگه آخرشه و بهتر از این نمی‌تونه باشه. احساس می‌کردم اعتمادبنفسم بالا رفته و و قتی تست نفوذ انجام می‌دادم دیگر حس کمبود و اینکه من چیزی بلد نیستم به سراغ من نخواهد آمد. اما بعد ازاینکه مدرک این دوره را گرفتم، متوجه شدم که برای اینکه بتوانم به یک فرد متخصص و حرفه ای دراین زمینه تبدیل شوم، یک راه بسیار طولانی درپیش دارم.

این رشته به این صورت است که قبل ازاینکه حرکت کنید متوجه گستردگی آن نیستید، اما به محض اینکه چند قدم به جلو می‌روید، ناگهان با یک منظره گسترده مواجه می‌شوید و اینجاست که متوجه می‌شوید خارج از وسعت دید قدیمی شما چه منظره و دنیای بزرگ و بی انتهایی منظتر شماست. هرچقدر در امر آموزش و یادگیری جلوتر می‌روید متوجه می‌شوید که بازهم چیزهای جدید بیشتری برای یادگیری وجود دارند و دوره OSCP در مقابل چیزهایی که وجود دارند یک دوره کاملا ابتدایی است. یک دوره که می‌توان از آن به عنوان سکوی پرتاب استفاده کرد، اما دوره‌های مدرک دار یا مهارت ها و اطلاعات بسیار زیادی وجود دارد که بعد از دوره OSCP می‌توانید از آنها استفاده کنید.

بهتر است بگوییم اگر وارد رشته امنیت سایبری شدید هیچ وقت نباید از یادگیری دست بکشید، و این به سن و سال شما هم بستگی ندارد که جوان هستید یا نه، نباید یادگرفتن را متوقف کنید، چون تغییرات هیچ‌گاه متوقف نمی‌شوند. منظور شما این است که اگر هدف من پن تستر شدن باشد، و مدرک OSCP بگیرم، با فرض اینکه قدرت مالی کافی برای تامین هزینه این دوره و مدرک یا دوره‌ای مانند آن را دارم، که این یک راه عالی برای به جلو رفتن در این رشته است که درهای بسیاری را به روی شما باز می‌کند، یعنی قبل از اینکه مسیر معینی را برای ادامه انتخاب کنید، این دوره به شما در انتخاب مسیر دلخواه کمک خواهد کرد.

من با این حرف‌های شما موافقم. من مسیر خودم را با انتخاب امنیت اپلیکیشن به عنوان فیلدی که میخواستم در آن کار کنم، شروع کردم. وقتی شما هیچ ایده‌ای درباره مفهوم کلی پن تستینگ ندارید، وقتی با افراد حرفه‌ای صحبت می‌کنید، احساس می‌کنید بین اطلاعات شما و این افراد که دارید شکاف‌های بزرگی وجود دارد. و این دلیل رفتن من به سمت مدرک دوره OSCP بود. به اینصورت نبود که من به عنوان پن تستر کار کرده باشم و احساس نیاز کنم، بلکه من این شکاف را به این خاطر احساس کردم من فقط از سمت وب اپلیکیشن درحال تماشای این مساله بودم و ازنظر من بهترین پیشنهاد برای بدست آوردن یک دانش کلی از مفهوم کلی تست نفوذ چیزی بود که دوره OSCP قبل از اینکه به صورت تخصصی وارد یک فیلد شوید به شما می‌داد. به محض اینکه دوره OSCP را تمام می‌کنید، که دیدکلی از مفهوم امنیت سایبری به ما دست می‌دهد. این دوره به شما تست نفوذ شبکه و تست نفوذ وب اپلیکیشن را یاد می‌دهد، اما حوزه های خاصی مثل تست نفوذ وایرلس را دربرنمی‌گیرد. ولیکن همین دانش کلی‌ای که دراین دوره بدست می‌آورید یک سکوی پرتاب برای انتخاب یک حوزه تخصصی در آینده است. مثلا من تست نفوذ یا امنیت وب اپلیکیشن را به عنوان حوزه تخصصی خودم انتخاب کردم.

درصورتیکه بخواهید یک شغل پردآمد داشته باشید و دیدگاه وسعی داشته باشد گرفتن مدرک دوره OSCP حداقل کاری است که می‌توانید انجام دهید.

چگونه می توان در زمینه تست نفوذ تجربه کسب کرد و یک شغل بدست آورد؟

شرط استخدام شرکت‌ها داشتن تجربه و سابقه کار مرتبط ‌است. برای داشتن سابقه کارهم باید کار کنیم!یک فرد تازه کار این تجربه و سابقه کار مرتبط را چگونه می‌تواند بدست بیاورد؟

فیلدی که ما با آن سروکار داریم یک فیلد کاری منحصربفرداست که در این شغل ما میتوانیم کار را از خانه و درشرایط بسیار راحت انجام دهیم، یعنی برای کسب تجربه و سابقه کار مرتبط نیازی نیست که خانه را ترک کنیم و کوه‌ها را جابه جا کنیم. دراین کار ما این فرصت را داریم که این تجربه و سابقه کاری مرتبط را به صورت رایگان یا با یک هزینه بسیار کم و ناچیز بدست آوریم.

اگر هدف شما تست نفوذ است من به شما پیشنهاد می‌کنم که، زمانیکه درحال گذراندن دوره OSCP هستید، این دوره خودش به تنهایی یک تجربه و سابقه کار مرتبط برای شما به حساب می‌آید. چراکه دراین دوره تمرینات عملی زیادی را انجام می‌دهید که دراین تمرین ها به تست نفوذ مجموعه‎ ای از شبکه ها می‌پردازید.

اما اگر در دوره OSCP شرکت نکردید، یا هزینه گواهی این دوره را نمی‌توانید پرداخت کنید یا هرچیز دیگری، پلتفرم‌های زیادی آن بیرون وجود دارند که به صورت رایگان یا با یک هزینه بسیار مناسب این شرایط را برای شما فراهم می‌کنند. مثل پلتفرم HackTheBox، جاییکه من قدم‌های اولم را از آنجا شروع کردم و هرماه یک هزینه بسیار ناچیز برای استفاده از خدمات این پلتفرم پرداخت می‌کردم. از آنجاییکه هیچ ایده‌ای درباره حل مسائل تست نفوذ باکس‌های فعال اپلیکیشن نداشتم از باکس‌های مجزا (Retired boxes) کارم را شروع کردم که هیچ راه‌حلی برای آن‌ها تعریف نشده بود. فقط شروع کردم و چون هیچ سرنخی نداشتم ویدیوهای IPPSec را تماشا کردم تا ببینم که او این باکس‌ها را بااستفاده از چه روشی حل کرده است و سپس خودم سعی می‌کردم که خودم باکس‌ها را حل کنم. بعد از حل کردن یک باکس به مساله باکس بعدی می‌پرداختم. بعد از مثلا یک ماه به باکس اصلی که آن زمان نتوانسته بودم حل کنم برمی‌گشتم تا ببینم آیا این دفعه قادر به حل کردن آن هستم یا نه.

این یک پلتفرم بود، پلتفرم‌های دیگری مثل TryHackme هم هستند که بیشتر از Hackthebox می‌تواند به شما کمک کند. جاییست که می‌توانید چیزهایی زیادی یادبگیرید، میتوانید آن را از Vulnhub به صورت رایگان دانلود کنید و روی VM تان نصب کنید. یا می‌توانید خودتان درخانه شبکه خودتان را راه‌اندازی کنید و این سابقه و تجربه کاری مرتبط را برای خودتان ایجاد کنید.

به نظر من، من خودم شخصا وقتی در اولین کارم استخدام شدم هیچ شبکه و تجربه و سابقه کاری مرتبط با تست نفوذ نداشتم، ولیکن تجربه تست نفوذ وب اپلیکیشن را داشتم که این تجربه را با دانلود کردن سیستم‌عامل‌های VM آسیب‌پذیر بدست آوردم. من این‌ها را روی کامپیوترم دانلود می‌کردم و سپس روی آن ها تست نفوذ انجام می‌دادم. من مطمئنم که اولین شرکتی که من را استخدام کرد، با خواندن معرفی نامه من تمام این فعالیت‌های اضافه بر سازمان من، مثل دانلود کردن VM ها، حل کردن آنها که با امنیت سایبری در ارتباط بودند را مشاهده کرده بود، و این‌ها چیزهایی بودند که این فرد را متقاعد به استخدام من کرده بود. چون من ابتکار عمل به خرج داده بودم و خودم راهی برای کسب این تجربه و سابقه برای خودم پیدا کرده بودم. درظاهر این تجربه و سابقه رایگان بدست آمده ولیکن اینطور نیست و برای بدست آوردن این تجربه من وقت گذاشته بودم و دوره دیده بودم و از منابع دیگر برای آموزش استفاده کرده بودم. اینکه چون VM ها رایگان هستند و هیچ پولی بابت آنها پرداخت نکرده‌ام به این معنی نیست که هیچ هزینه‌ای برای من نداشت.

این راهی بود که من برای کسب تجربه استفاده کردم، تااینکه وارد محیط کار واقعی شدم و در دنیای واقعی هم شروع به کسب تجربه کردم.

منظور شما اینه که دوره OSCP یک در بسته به روی شما باز کرد، و فردی که برای اولین بار شما را در زمینه امنیت سایبری استخدام کرد، بخاطر مدرک دوره OSCP و کارهایی که برای یادگرفتن مطالبی که به صورت خودآموز مطالعه می‌کردید، انجام می‌دادید شما را برای این کار انتخاب کرد.

نه، من یکسال بعد ازاینکه به عنوان تست نفوذگر استخدام شدم مدرک OSCP خودم را دریافت کردم. اون آدمی که من را استخدام کرد بیشتر تحت تاثیر ابتکار عمل من در یادگیری خودخوان و کارهایی که برای کسب تجربه و سابقه کار دررابطه با تست نفوذ وب اپلیکیشن انجام داده بودم، قرار گرفته بود.

درسته، پس مدرک OSCP اولین در را برای شما باز نکرد، ولیکن درهای بسیار دیگری به روی شما باز کرد و گستره دید شما را افزایش داد.

پس برای اولین بار بخاطر این استخدام شدید که در کسب تجربه ابتکار عمل به خرج داده بودید. اما چگونه به این شرکت ثابت کردید که این کارها را انجام داده‌اید، یا آنها از کجا با شما آشنا شدند، یا خودتان برای این کار درخواست همکاری دادید و در معرفی‌نامه‌تان لیست کارهایی که انجام داده بودید را برای این شرکت توضیح فرستاده بودید؟

بله من لیست کارهایی که انجام داده بودم را داخل معرفی‌نامه ام نوشته بودم. همچنین دراین زمان در دانشگاه اوتاوا هم یک سخنرانی درباره اسکنرهای آسیب‌پذیری‌های وب اپلیکیشن‌ها ارائه دادم و درکنار آن در یک کار پژوهشی هم کار کردم، کارفرمای من دربین شرکت کنندگان در ارائه بود و این آشنایی اولیه نقش مهمی در اولین استخدام کاری من داشت. بعدازینکه تقریبا یکسال بعد از استخدامم دوباره با کارفرما صحبت کردم، به من گفت که افراد زیادی هستند که می‌گویند مدرک یا گواهی فلان دوره‌ها را دارند ولی چون هنوز کاری انجام نداده‌اند هیچ تجربه و سابقه کاری مرتبطی ندارند و هیچ ابتکار عملی برای کسب تجربه به خرج نمی‌دهند.

اما فیلد کاری ما یک فیلد منحصربفرد است که با بقیه کارها قابل مقایسه نیست. اینجا ما میتوانیم راحت در خانه بنشینیم و با استفاده از امکانات در دسترس فرصت کسب تجربه را برای خودمان به وجود بیاوریم.

همزمان با یادگیری از هیچ روشی برای مستند کردن این کارها استفاده نکردم و درمصاحبه هم تمام سوالات را به صورت شفاهی جواب دادم، مثلا از من پرسیدند که آسیب‌پذیری موردعلاقه من چیست؟ یا اینکه مثلا شما این وب اپلیکیشن را دارید که یک فرم برای ثبت آدرس ایمیل دارد، توضیح بدید که دراین فرم بیشتر به دنبال چه آسیب‌پذیری‌هایی می‌گردید یا برای تست این آسیب‌پذیری از چه متدولوژی‌هایی استفاده می‌کنم؟

در مصاحبه بیشتر من درحال اثبات درست کردن درست بودن کارهایی بودمکه در رزومه نوشته بودم. پس ازاینکه استخدام شدم و سپس مدرک OSCP هم گرفتم، و شروع به تولید محتوا و مقاله برای سایت و دوره OSCP کردم، سپس برای تست نفوذ وب اپلیکیشن محتوای ویدیویی تولید کردم. زمانیکه افراد با محتوای تولیدی من را دیدند و با من ارتباط برقرار کردند از مصاحبه فنی با من چشم‌پوشی می‌کردند، چرا که پست‌های وبلاگ و ویدیوهای من را دیده بودند، پس براساس مستندات آنلاین من نیازی به تست دوباره دانش من در تست نفوذ نمی‌دیدند.

به نظر من کاری که برای مستندسازی کارها و دانش خودتان انجام می‌دهید بسیار باارزش است. من همیشه به همه توصیه می‌کنم که داخل لینکداین پست منتشر کنند یا یک وب سایت بسازند، یا داخل گیت هاب بارگذاری کنند، ویدیو بسازند، حتی داخل تیک تاک، به هرنحو ممکن به مردم نشان دهید که چه کارهایی بلد هستید. اگر این کار را انجام دهید، افراد درست خودشان شما را پیدا خواهند کرد.

من هم موافق این حرف شما هستم. منتشر کردن این پست ها و مطالب نه تنها به این نحو کمک کننده هستند، بلکه علاقه واقعی‌تان به این رشته را هم نشان می‌دهید، که به نظر من اکثر کارفرماها برای استخدام دنبال آدمی هستند که به کاری که انجام می‎دهد علاقه واقعی داشته باشد. چراکه اکثر افرادیکه دراین فیلد فعالیت می‌کنند و موفق هستند، واقعا به آن علاقه دارند.

ایجاد تعادل در زندگی اجتماعی // به خودت زمان بده

من 2 تا مدرک دانشگاهی و یک گواهی دوره دارم.

شما برای کانال یوتیوب تون ویدیو میسازید، آکادمی دارید، یک شغل تمام وقت دارید، چطور بین این همه کار و زندگی شخصی و اجتماعی خودتون تعادل برقرار می‌کنید، اصلا زندگی اجتماعی دارید یا نه؟

خب من آدم درستی برای پرسیدن این سوال نیستم. چونکه من هیچ زندگی اجتماعی‌ای ندارم!

هنوز نمیدونم که این انتخاب درستی بوده یا نه، اما این انتخاب چیزی بود که من رو به جایگاهی که اکنون در آن قرار گرفته ام رسانده. خب در طرف دیگر این قضیه معایب بسیاری هم دارد.

زمانیکه من در حال گذراندن دوره OSCP بودم، در را به روی هرچیزی که آن بیرونبود بستم. این دوره را به پایان رساندم، همزمان با آن وبلاگم را راه‌اندازی کردم، هرهفته حداقل یک یا 2 پست در وبلاگم منتشر می‌کردم، خب پست هایی که منتشر می‌کردم کامل و پر از جزئیات کاربردی بودند که برای هر پست کلی زمان صرف می‌کردم. درکنار همه اینها یک کار تمام وقت هم داشتم.

تمام اینها دست به‌دست هم داده بود و من هیچ رابطه اجتماعی‌ای نداشتم، و خب یکی از معایب این انزوا این شد که من پس از اتمام دوره OSCP دچار فرسودگی شغلی شدم. متوجه شدم که بخاطر تحمل کردن تمام این استرس‌ها سلامتی ام در معرض خطر قرار گرفته. چون من از سندرم ایمپاسچر رنج می‌بردم و هرکاری انجام می‌دادم باز احساس می‌کردم که به میزان کافی تلاش نکرده‌ام و همیشه درحال تلاش برای اثبات خودم به خودم بودم. من داشتم به خودم ثابت می‌کردم که من یک پن تستر خوب هستم و فکر کردم که با دریافت گواهی دوره OSCP این اتفاق خواهد افتاد، اما همانطور که قبلا هم گفتم بعد از گذراندن این دوره تازه متوجه می‌شوید که رشته تست نفوذ یک فیلد بسیار گسترده است که هیچ انتهایی ندارد و همیشه چیزهای جدید برای یاد گرفتن هستن، علاوه براین دوره ها و فیلدهای دیگری نیز وجود دارند که می توانید در آنها شرکت کنید. این یعنی هیچ وقت شما نمی‌توانید بگویید که مثلا با گرفتن این مدرک و شرکت در فلان دوره دیگر من همه چیز تمام شدم.

اما اکنون دیگر مثل قبل زیاد به خودم سخت نمی‌گیرم، حالا هم کارم را انجام می‌دهم و درکنار آن اطرافم را با آدم‌های درست پر می‎کنم. منظور از آدم درست افرادی هستند که درزمان نیاز می‌توانم با آنها ارتباط برقرار کنم و سوالات خودم را با انها درمیان بگذارم. چراکه فیلد امنیت سایبری گسترده تر از چیزی هست که فکرش را می‌کنید و هیچ وقت نمیتوانید بگویید که من همه چیز را بلد هستم و میدانم، به همین خاطر به داشن سایر افراد هم دراین میان نیاز پیدا می‌کنید. وقتی اطرافتان را با آدم‌های متخصص و آگاه در این زمینه پر می‌کنید و در زمان نیاز وقتی به آنها مراجعه می‌کنید و جواب سوال هایتان را پیدا می‌کنید، از این بابت که دیگر نیاز نیست دوباره برای یادگرفتن چیزی چند سال زمان بگذارید خیالتان راحت می‌شود. فقط کافیست مفهوم کلی آن مبحث را یاد بگیرید و درصورت نیاز از افراد متخصص این زمینه کمک بگیرید. قبل ازاینکه دو یا سه سال خودتان را تحت فشار قرار دهید و دراخر دچار فرسودگی شغلی شوید، این رویه را پیش بگیرید و بین زندگی شغلی و اجتماعی خودتان تعادل ایجاد کنید.

دوره OSCP شما چقدر طول کشید، چقدر طول کشید تا این تصمیم را بگیرید و درکل این فرایند چقدر برای شما طول کشید؟

این فرایند برای من یکسال طول کشید، چون همزمان با گراندن این دوره درحال حل کردن معماهای HackTheBox هم بودم، که تقریبا 40 یا 50 عدد باکس بودند و من درکنار حل معما مستندات کارهایی که انجام میدادم را هم جمع می‌کردم. درکل زمان زیادی برای دوره OSCP صرف نکردم، به محض اینکه حل باکس‌های HackTheBox را تمام کردم، احساس کردم برای آزمون دوره آماده هستم، در دوره OSCP ثبت نام کردم که کل فرایند شرکت در دوره و شرکت در آزمون یک ماه طول کشید. حل کردن تمرین‌های دوره حدود دو هفته و نیم از من زمان گرفت، که با حل کردن هر تمرین 5 یا 10 امتیاز به امتیاز آزمون شما اضافه می‌شد، که خب حل کردن این تمرین‌ها و مستندسازی آنها 2 هفته و نیم از من وقت گرفت، که نزدیک 300 صفحه بودند. 1 هفته و نیم باقیمانده را هم در آزمایشگاه‌های OSCP گذراندم که دراین مدت حدود 30 الی 40 باکس را حل کردم که مستندات آن‌ها در وبلاگم منتشر کردم.

درکل احساس کردم که آماده هستم، پس در آزمون شرکت کردم و قبول شدم. برای برخی از افراد این دوره یک یا دو ماه زمان می‌برد، ولیکن برای من یک سال طول کشید، چراکه من در این مدت برای دریافت این گواهینامه درحال ارتقاء سطح دانش فنی خودم بودم، به همین خاطر بیشتر روی درک عمقی مطالب وقت گذاشتم.

مسیر OSCP // سایر پیشنهادات

زمان واقع گرایانه برای تمام کردن دوره OSCP چقدر است؟ آیا هزینه کردن برای این دوره یا سایر دوره‌ها از واجبات است؟

بازهم این زمان به خود افراد بستگی دارد. به عواملی مثل دانش قبلی شما از این فیلد بستگی دارد. اگر واقعا از صفر داریدشروع می‌کنید، حتی اگر مدرک علوم کامپیوتر هم داشته باشید، بازهم هیچ اطلاعاتی در زمینه امنیت سایبری ندارید، چون معمولا چنین مباحثی در دانشگاه ها تدریس نمی‌شوند. اگر مثل من از صفر می‌خواهید شروع کنید، من دنبال کردن مسیری که در ابتدا گفتم را به شما پیشنهاد می‌کنم، همان 3 دوره‌ای که گفتم می‌توانید از Cyber Mentor تهیه کنید، که با استفاده از این دوره‌ها در فیلد تست نفوذ پایه محکمی برای خودتان درست می‌کنید. سپس با کمک گرفتن از پلتفرم‌های کم‌هزینه یا رایگان مثل HackTheBox و Tryhackme برای خودتان تجربه و سابقه مرتبط با امنیت سایبری جمع‌آوری کنید. وقتی احساس کردید که به حد کافی اطلاعات جمع کرده اید و می‌توانید هزینه آن را بپردازید، به آزمایشگاه‌های OSCP سربزنید. برای دسترسی داشتن به این باکس‌ها باید هزینه پرداخت کنید و هیچ جایی نمی‌توانید راه‌حل این باکس‌ها را پیدا کنید، این به معنی است که دراین آزمایشگاه ها واقعا یادمی‌گیرید. شما یک اشتراک یک ساله خریداری می‌کنید و در این مدت فرصت دارید تا این معماها را حل کنید. البته بیشتر افراد قدرت خرید این طرح یکساله را ندارند و اکثرا از طرح 3 ماهه آن استفاده می‌کنند. پیشنهاد من به شما این است که قبل از اینکه در این طرح ها شرکت کنید ، دانش پایه ای خودتان را به صورت خودخوان یادبگیرید و دراین 3 ماه به یادگرفتن مطالب پیشرفته بپردازید و درکنار آن تمرینات خودتان را در آزمایشگاه‌های OSCP ادامه دهید.

باگ بانتی // آکادمی امنیت وب Portswigger

پلتفرم HackTheBox بیشتر یک پلتفرم برای تست نفوذ شبکه است و بیشتر مناسب افرادیست که در حال گذراندن دوره OSCP هستند و برای باگ بانتی هانتر ها زیاد مناسب نیست. این پلتفرم دربرگیرنده باکس‌هایی است در آنها وب اپلیکشن هایی قرار دارند که آسیب‌پذیری هایی دارند و برای دسترسی اولیه بایستی از آسیب‌پذیری این وب اپلیکیشن بهره برداری کنید. هرچند من آن را به عنوان منبع اصلی پیشنهاد نمی‌کنم. اگر شما درحال یادگیری امنیت وب اپلیکیشن هستید، که من خودم کارم را از این فیلد شروع کردم، در آن زمان سایت آکادمی Portswigger هنوز شروع به کار نکرده بود، که اکنون یکی از منابع اصلی این فیلد است. من با کتاب WebApplication Hacker’s handbook شروع کردم که به قدرت می‌توانم بگویم کتاب مقدس امنیت وب است که توسط همان شخصی نوشته شده که آکادمی امنیت وب Portswigger را پایه گذاری کرده. من بعد ازاینکه کتاب را مطالعه کردم، سرکار رفتم و سپس درطول زمانی که درحال کار کردن بودم به صورت خودخوان فرایند یادگیری را ادامه دادم و تمام چیزهایی را که یادمی‌گرفتم را روی وب اپلیکیشنی که درحال نوشتن آن بودیم پیاده می‌کردم. شاید به نظر برسد که دیگر زمان این کتاب به سرآمده ولیکن من هنوز هم مطالعه آن را به عنوان یک منبع قابل اتکا به افرادی که میشناسم توصیه می‌کنم و خودم هنوز هم آن را روی میز خودم دارم تا درمواقع نیاز بتوانم به آن مراجعه کنم.

با این تصور که مطالعه کتاب دیگر منسوخ شده و دیگر کسی رغبتی به مطالعه کتاب ندارد، خالق این کتاب تصمیم گرفت که یک آکادمی آنلاین رایگان راه اندازی کند که به صورت مداوم درحال به روزرسانی آسیب‌پذیری‌هاست. نام این آکادمی Web Security Academy است که در سایت portswigger قرار دارد.

من عاشق این آکادمی هستم، اینجا جاییست که من همیشه اطلاعات خودم را بااستفاده از مطالب این آکادمی به روزرسانی می‌کنم. لیست کامل آسیب‌پذیری های جدید را می‌توانید آنجا پیدا کنید. دلیل اینکه من در ویدیوهای خودم از این آکادمی استفاده می‌کنم هم همین مساله است. این سایت و آکادمی یک منبع باارزشی است که به هیچ وجه نمی‌توان آن را بقیه دوره‌ها و منابع مقایسه کرد.

ذهنیت درست دراین فیلد کاری چیست؟

من برای مدت زمان زیادی است که دراین فیلد مشغول هستم و با افراد زیادی مواجه شده ام که از کارشان و خودشان هیچ وقت راضی نبودند. شما هم در صحبت‌های خودتان به این مورد اشاره کردید و از سندرم ایمپاسچر حرف زدید و گفتید که مشکلات بسیاری برایتان به وجود آورد، که بعدا با افرادی آشنا شدید که اعتمادبنفس زیادی داشتند. بیایید به هردو گزینه بپردازیم هم آنهایی که اصلا اعتمادبنفس نداشتن و هم آنهاییکه بیش از اندازه اعتمادبنفس داشتند، دراین فیلد چگونه می‌توانیم بهداشت روانی خودمان را رعایت کنیم که بدون اینکه دچار سندرم ایمپاسچر شویم یا بدون اینکه دچار غرور کاذب شویم درمسیر بمانیم و پیشرفت کنیم؟

من خودم همانطور که گفتم با سندرم ایمپاسچر دست و پنجه نرم می‌کردم، که این علایم دراین فیلد بیشتر در افراد تازه کار خودش را نشان می‌دهد، اما افراد باتجربه و متخصص هم می‌توانند به آن مبتلا شوند.

به نظر من بهتر است زیاد به خودتان سخت نگیرید. بدانید که اگر دریک اپلیکیشن یا سیستم یک آسیب پذیری پیدا کردید شما یک محقق امنیتی و پن تستر هستید، ذهنیت شما باید در راستای کارهایی که انجام می‌دهید باشد، چراکه دائما درحال تغییر و تحول هستید، همیشه درحال یادگرفتن موارد جدیدی هستید. پس فروتن باشید، شما یک محقق امنیتی و یک پن تستر هستید، اما این دلیل خوبی برای مغرور شدن نیست که من همه چیز را بلد هستم، چراکه همیشه چیز جدیدی برای یادگیری وجود دارد که شمااز آن خبر ندارید.

من شخصا سعی می‌کنم این رویه را رعایت کنم، به همین دلیل من همیشه درحال یاد گرفتن یک چیز جدید هستم و وقتی کارم بااین آسیب‌پذیری در یک وب اپلیکیشن تمام شد به سراغ بعدی می‌روم. یا وقتی کارم با تامین امنیت وب اپلیکیشن تمام شد، به سمت یک حوزه دیگر در فیلد تست نفوذ حرکت می‌کنم. چون من می خواهم به صورت مداوم مهارت های خودم را بهبود ببخشم که به نحوی به من کمک می‌کند تا با سندرم ایمپاسچر کنار بیایم و به من کمک می‌کند تا ارزش خودم را بفهمم.
چیز دیگری که به نظر من مهم است این است که اطراف خودتان را با افراد درست پرکنید، افرادی که به شما حس کمبود ندهند، به شما این احساس را ندهند که مهارت کافی برای انجام دادن کارتان را ندارید، افرادی که همیشه شما را تشویق کنند.

من منتورهای شخصی داشتم که درزمان شروع مشوق من بودند و اکنون هم یک منتور در کنار من هست که من را به ادامه مسیرم تشویق می‌کند. تمام افرادی که با آنها در ارتباط هستم هم منتور های خودشان را دارند. از اینکه هنوز یک فرد تازه کار هستید و هیچ اطلاعاتی دراین زمینه ندارید احساس پوچی و خجالت نکنید. چون هرچه جلوتر بروید تجربه و دانش کافی بدست خواهید آورد. پس اطراف خودتان را با افراددرست پر کنید، افرادیکه شما را بالا بکشند، نه افرادی که از شما را پایین بکشند و به شما این حس را بدهند که این رشته فقط مختص محققان امنیتی نخبه است.

نتیجه گیری

در آخر اینکه همیشه جا برای افرادیکه علاقمند به این حوزه هستند وجود دارد.

من خودم بدون اینکه مدرک مرتبط با حوزه داشته باشم کارم را دراین زمینه آغاز کردم. اگر واقعا به این فیلد علاقمند هستید، منابع آنلاین زیادی وجود دارد، تولیدمحتوا کنندگان بسیاری هستند که زمان های آزاد خودشان را به آموزش شما اختصاص داده اند. که می توانید با ما درارتباط باشید و ما از راهنمایی کردن شا بسیار خوشحال می‌شویم.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *