Bueno, primero sugeriría centrarse en obtener una estructura de datos sólida y un fondo de algoritmo. Eso es crucial para cualquier campo al que decidas ir. Y este es el momento adecuado para obtener estos conceptos básicos. También necesitarás bastante matemática. Estoy seguro de que habrá al menos un curso de matemáticas en el segundo año. Necesitará matemática básica como probabilidad, números primos, registros discretos, etc. Si está realmente interesado, también puede comenzar conceptos básicos de matemática avanzados como campo de galois, anillos, grupos y curvas elípticas, etc. La matemática es muy crucial si desea convertirse en un persona de seguridad de hardcode. Hace que la comprensión y la ruptura de la criptografía sean más fáciles. Si básicamente te da una perspectiva diferente. Casi todos los expertos en seguridad que se encuentran en las principales empresas o que contribuyen a los nuevos estándares son estudiantes de matemática o son increíblemente buenos en matemáticas.
Esa es la base. Puede optar por omitir las matemáticas y aprender “criptografía aplicada”. “Comprender la criptografía por Christoph Paar” es el mejor libro para esto. Los conceptos se explican de la manera más simple posible, y también tiene conferencias en video que son increíbles. Este libro enseñará conceptos básicos de matemática y criptografía mencionados anteriormente. NO PUEDES SALTAR ESTO. Bruce Scheiner es otra leyenda de seguridad y su libro sobre criptografía aplicada es realmente bueno para el diseño de protocolos seguros. Sin embargo, nunca lo he leído, el libro Paar tiene suficiente material de base para construir y aprenderlo usted mismo.
Esa fue el área de cifrado que creo que es la base de todo. A continuación, puede elegir la seguridad del sistema o la seguridad web. Estoy muy predispuesto a la seguridad de los sistemas. La web es más interesante para la privacidad que para la seguridad. Para la seguridad de los sistemas, comience a explorar C / C ++ y cosas como el desbordamiento del búfer / montón. Desbordamientos de enteros y otros ataques de corrupción de memoria. Hay mucha literatura por ahí para esto. “Hackear: el arte de la explotación” y “el manual de los hackers” son un buen comienzo. Intente comprender los conceptos básicos de la memoria y cómo se ejecuta un programa. La mayoría de los ataques a nivel del sistema explotan esto. Eso es básico de la seguridad del sistema. Las cosas avanzadas son “programación orientada al retorno (ROP)” y optimizaciones del compilador que causan problemas de seguridad. Obtendrá un montón de documentos sobre googlear estos términos. Por supuesto, también tendrá que leer sobre las defensas modernas como “ASLR”, “canarios de pila”, etc. y cómo ROP, etc., los derrota. Nuevamente, todo esto es material avanzado de trabajos de investigación. Pero deberías saberlo.
La seguridad web no es mi punto fuerte. Pero lo básico que debe saber son las inyecciones XSS, CSRF y SQL. Cómo almacenar contraseñas y autenticar usuarios de forma segura es otro tema básico. Las cosas avanzadas entran en la explotación de JavaScript y JIT en tiempo de ejecución. Luego hay clickjacking, phishing, marcos de inyección CORS, etc. TLS es otro “must know”. Cae en ambos sistemas, así como en la web. Mozilla ha comenzado una discusión abierta sobre “https en todas partes”, por lo que se espera de usted TLS.
- Si tiño un color oscuro sobre un color vibrante, ¿mi cabello tomará menos color oscuro?
- Obtuve 94.4% para tableros CBSE. ¿Cuánto tendría que pagar en PSG College of Technology por CSE / EEE / ECE bajo la cuota de NRI / Management?
- Heredé la colección de cintas grabadas de vhs de mi difunta abuela, ¿cómo puedo sacar provecho de ellas?
- Tengo 10 años de datos en formato XML y me gustaría iniciar esfuerzos de análisis para ello. ¿Cuáles son algunos de los enfoques que debo considerar?
- Si tuviera un objeto en 4D como en nuestra vida cotidiana, y quisiera convertirlo en un objeto 5D, ¿cuáles son algunas opciones? ¿Oscilo? Explotarlo? ¿Integrarlo por otra propiedad física?
Después de investigar, descubrirá que estas son cosas realmente básicas, pero la seguridad es realmente fácil de arruinar y todas las grandes empresas la cagan regularmente. Por lo tanto, no existe un fin en la investigación de los temas mencionados hasta ahora. Necesitas desarrollar una mentalidad de romper cosas. Todavía puede usar XSS / CSRF para romper sitios, aunque se ha investigado desde hace décadas.
Recursos utiles:
1. Página en reddit.com (netsec) y Página en reddit.com (crypto)
2. El intercambio de pilas de seguridad de la información es una locura. Algunas personas aquí son tipos de seguridad y navegar por el sitio responderá a muchas dudas que eventualmente tendrá.
3. Siga los blogs de seguridad de las principales organizaciones (blog de seguridad de Mozilla), (blog de cloudflare) y (blog de Adam Langley). El blog del profesor Matthew Green también es famoso.
Espero que ayude y buena suerte…