[G0d's-servant]

قبل از همه بگم میدونم کار یکی دو روز نیست .

میدونم باید باید روی سه زمینه :

۱- برنامه نویسی (چندین زبان که جاش اینجا نیست)
۲- سیستمهای عامل (حداقل یونیکس و ویندوز ... مخصوصا اولی )
۳-شبکه های کامپیوتری (از اصول کلی گرفته تا سیستم عامل روترها و ...)

تا سطوح بالایی مسلط بود !!

اما سوال من از اینجا شروع میشه ....

۱- من برنامه نویسی رو بلدم (بیشتر C و پرل) . پس نیازی به یادگرفتن حداقل این دو تا ندارم . اما مثلا تو مباحث پیشرفته پوینترها کم میارم . نمیتونم با GDB خوب کدهای بزرگ رو دیباگ کنم و تقربا همیشه در بحث پوینترها (ارسال به تابع و همچنین پوینتر به پوینتر به مشکل میخورم) . از دیدگاه امنیتی چکار کنم رو این زمینه قوی شم ؟؟

۲- در زمینه سیستم عامل و شبکه پیشنهاد میکنید کدوم رو اول شروع کنم و با چه کتابهایی ؟ اصول کلی شبکه رو میدونم ولی از ساختار داخلی سیستمهای عامل (مدیریت حافظه - تخصیص پروسه از طرف CPU و... هیچ نمیدونم) .


لطفا اگه امکان داره کتاب (فارسی یا انگلیسی) معرفی کنید . و اگه حالت قدم به قدم داشته باشه خیلی عالی میشه . مثلا اول کتاب سیستم عامل فلان - بعد کتاب X در ساختار کرنل لینوکس - بعد کتاب Y در مورد ساختار IP و به همین صورت ...


چون میدونم افرادی با قابلیتهای بالا در این فروم هستند این سوال رو اینجا پرسیدم ....
بینهایت از لطف همگی ممنونم ...

سلام، اگه هنوز به اینجا سر می زنید، می تونید بگید نتیجه ی فعلی به کجا رسیده. منظور اینکه شاخه علمی مورد نظر رو پیدا کردید؟ ریدینگ لیست و بقیه؟ خوشحال میشم بدونم به کجا رسیدید.

[مهمان]

سلام، اگه هنوز به اینجا سر می زنید، می تونید بگید نتیجه ی فعلی به کجا رسیده. منظور اینکه شاخه علمی مورد نظر رو پیدا کردید؟ ریدینگ لیست و بقیه؟ خوشحال میشم بدونم به کجا رسیدید.

ایشان عملا به آب کیر پنگوئن لینوکس دست پیدا کردند. نوش جونشان...

[مهمان]

سلام، اگه هنوز به اینجا سر می زنید، می تونید بگید نتیجه ی فعلی به کجا رسیده. منظور اینکه شاخه علمی مورد نظر رو پیدا کردید؟ ریدینگ لیست و بقیه؟ خوشحال میشم بدونم به کجا رسیدید.

سلام .. من هميشه مرتب سر ميزنم به اينجا . گرچه فقط پستها رو ميخونم .

راستش مدتيه كه به عنوان Internship در يه شركت مشاور دارم كار ميكن. توي اين سه چهار ماه بسيار بسيار ديد من نسبت اونچه كه قبلا بوده عوض شده. در واقع من رو راهنمايي كردن كه روي اون بخش امنيت كه علاقه ذاتي من بوده كار كنم . جالبه بدونيد همين شركت مشاور چيزي حدود 50 تا نيرو داره كه نزديك 12 تيم تخصصي هستن (تقريبا هر تيم سه نفر) كه هر تيم روي يه بخش از امنيت تخصص كامل داره.

اونا بعد از آزمون و مصاحبه و اينا تشخيص دادن كه بهتره با توجه به علاقه من، بهتره من به بخش pen-testing نرم افزارها (به خصوص web application ها) برم. كاري كه ماميكنيم اينه كه انواع حملات مختلف روي نرم افزارها رو (با توجه به زبان اونا) انجام ميديم. حالا اين از stack over flow روي زباناي ++C/C هست تا حملات رايج وب كه تو تمام كتابا هستن.
نكته جالبي كه شايد به درد شما هم بخوره اينه كه مثلا مدير تيم ما نزديك 20 سال سابقه داره فقط رو همين كار. از زبان كوبول خدا بيامرز گرفته تا scala و erlang و اينا . نه فقط برنامه نويسي اونا رو بلكه حمله به قلب اون زبان. پس اگه ميخوايد در اين زمينه خاص از امنيت كار كنيد بايد آماده باشيد زبانهاي زيادي رو كار كنيد و خوب هم كار كنيد. در واقع تسلط خوب. بذاريد يه مثال بزنم : مثلا شركتي ميخواد كه فلان application كه با Java Tomcat نوشته شده رو مورد بررسي قرار بده و از لحلظ ايمني چكش كنه . در اين مورد دو حالت پيش مياد . يا اون شركت يه شركت بسيار بزرگه كه متخصصان مانيت خودشو داره و ميده بخش امنيت تستهاي نهايي رو انجام ميدن يا اينكه اينكار رو به شركتهاي تخصصي امنيت ميده كه اين كار رو انجام بدن. شما به عنوان يه متخصص امنيت بايد به پروسه نوشتن كدهاي Tomcat حداقل آشنا باشيد يا ديد و اصول كلي كار رو داشته باشيد...
به هر حال اينو بدونيد كه درسته كه كار سختيه اما درآمد خيلي خوبي داره (متوسط درآمد 90 هزار تا 100 هزار دلار در سال ). جالبه بدونيد كه شركتها حتي تا ساعتي 200-300 دلار هم ميگيرن واسه اين كار ....

به هر حال اين خلاصه اي بود از اونچه كه گذشته. اميدوارم توي كشور خودمون هم روزي به اين سطح از كار برسيم

[G0d's-servant]

در مورد ریدینگ لیستهایی که در این تاپیک داده شدن، نظرتون عوض نشده؟ کدوم بهتر بودن؟ یا بهتره بگم، ریدینگ لیست جدیدی با توجه به شاخه خودتون تونستید بسازید؟ ممنون.

[مهمان]

در مورد ریدینگ لیستهایی که در این تاپیک داده شدن، نظرتون عوض نشده؟ کدوم بهتر بودن؟ یا بهتره بگم، ریدینگ لیست جدیدی با توجه به شاخه خودتون تونستید بسازید؟ ممنون.

والا ریدینگ لیست هم همونه . فقط چیزی که به من یاد دادن اینه که بهترین رفرنس ساخته شده سری مجلات Phrack هستش. (<!-- m --><a class="postlink" href="http://www.phrack.com/">http://www.phrack.com/</a><!-- m -->). مثلا من هر وقت سوالی دارم منو به فلان شماره این سری ارجاع میدن تا ببینم اوضاع از چه قرار بوده. به قول خودشون :
A Netcat for tutorials

[m44miri]

من مدتیه که دارم روی مباحث امنیت کار میکنم. البته نه تستینگ امنیتی نرم افزار بلکه دیواره آتش و ids و امنیت شبکه .با اینکه رشته اصلی برنامه نویسه .من فکر میکنم همونطور که دوستمون گفتند تحصیلات دانشگاهی تاثیر کمی روی دانش یک فرد می تونه داشته باشه.این قابلیتها در دانشگاه بدست نمیاد.
الان دارم روی یک distro لینوکس کارمیکنم که کلا یک دیواره آتشه . مشکلات زیاد دارم اما شیرینه.
اما از مطالبی هم که تا حالا در این تاپیک گفته شده خیلی استفاده بردم.
میخوام بگم ادامش بدید لطفا