Security Professionals - ipfw add deny all from eindgebruikers to any

Sollicitatie bij security bedrijf

11-06-2019, 15:21 door citizenfour, 12 reacties
Ik zo aan de voordeur van mijn eerste sollicitatie bij een security bedrijf. In de uitnodiging wordt vermeld dat er een individuele assignment zal zijn en mijn vraag is nu of er hier iemand is die wellicht enig idee/ervaring heeft met wat er daarmee wordt bedoeld (dus wat kan er worden gevraagd, getoetst etc.) en hoe het beste voor te bereiden. Wat wordt er doorgaans op zulke wervingsdagen getoetst. Het is overigens geen individuele setting, dus er zijn meer mensen die uitgenodigd zijn.

Alvast bedankt!
Reacties (12)
11-06-2019, 16:52 door Anoniem
Ik heb zelf verschillende van dit soort technische testen gedaan bij Security bedrijven dus ik kan er wel wat licht op schijnen. Verwacht een fictief netwerk en of website waar bekende kwetsbaarheden in zullen zitten. Dus als basiskennis zou ik in ieder aanraden om ervaring te krijgen met een web proxy als Burp suite of Zap, en in staat zijn om de meest voorkomende kwetsbaarheden te vinden. De OWASP top 10 zou wel een goed startpunt zijn om meer informatie te krijgen:
https://www.owasp.org/index.php/Top_10-2017_Top_10

Daarnaast is het goed om naast web pentesting ook kennis te hebben van infra en tools als nmap. Zie https://www.vulnhub.com/ voor virtual machines waarin je je skills kan verbeteren.

Misschien zal je theoretische kennis ook getest worden. Verwacht dan basis vragen over TCP/IP, veel voorkomende software en technologien (web servers, databases, Windows, Linux etc.)
11-06-2019, 18:13 door Anoniem
Zorg dat je de bekende pentest tools goed in je vingers hebt en als je moet vragen welke dat zijn ben je niet geschikt voor die job. Vergeet vooral SQL injecties niet.
11-06-2019, 21:45 door Anoniem
Door citizenfour: Ik zo aan de voordeur van mijn eerste sollicitatie bij een security bedrijf. In de uitnodiging wordt vermeld dat er een individuele assignment zal zijn en mijn vraag is nu of er hier iemand is die wellicht enig idee/ervaring heeft met wat er daarmee wordt bedoeld (dus wat kan er worden gevraagd, getoetst etc.) en hoe het beste voor te bereiden. Wat wordt er doorgaans op zulke wervingsdagen getoetst. Het is overigens geen individuele setting, dus er zijn meer mensen die uitgenodigd zijn.

Alvast bedankt!


Niet hier op een internet forum vragen, maar de werkgever of opdrachtgever vragen om duidelijkheid. Bij pentesten op systemen die wel live zijn bijv als je meteen aan de slag kunt moet je jezelf ook verzekeren dat alles contractueel is vastgelegd i.v.m. schade en verzekeringen. Ik doe zelf niks zonder contract want met goede bedoelingen aan een pentest beginnen kan verkeerd aflopen als er niet duidelijk gecommuniceerd is. Het klinkt alsof je bedrijf nalatig is en onduidelijk over het werk. Voor mij een reden om serieus te kijken of je daar nog wel wilt werken. Stel dat je door de test komt of wat het mag zijn (zelfs dit weet je dus niet... lekker onduidelijk) dan werk je misschien bij een toko die niet eens duidelijke taakomschrijvingen geeft. Je bent verantwoordelijk voor je werk. Een taakomschrijving is iets om je aan vast te houden als je iets gevraagd wordt wat niet in je taakomschrijving of contract staat. Dan zeg je Nee en ben je niet verantwoordelijk.
12-06-2019, 00:14 door Vicktor
Als je een security expert bent zou je zo'n vraag hier niet stellen.
12-06-2019, 01:09 door Anoniem
Door Vicktor: Als je een security expert bent zou je zo'n vraag hier niet stellen.
Door Vicktor: Als je een security expert bent zou je zo'n vraag hier niet stellen.

Waarom zo onaardig? Een ieder moet toch ooit beginnen met het vak te leren? Of wist u alles al vanaf het allereerste begin en hoefde u nooit vragen te stellen?
12-06-2019, 08:43 door Anoniem
Door Vicktor: Als je een security expert bent zou je zo'n vraag hier niet stellen.

Zie niet helemaal hoe dit antwoord relevant is. Staat vermeld dat dit zijn eerste sollicitatie is bij een security bedrijf.

Door citizenfour: Ik zo aan de voordeur van mijn eerste sollicitatie bij een security bedrijf. In de uitnodiging wordt vermeld dat er een individuele assignment zal zijn en mijn vraag is nu of er hier iemand is die wellicht enig idee/ervaring heeft met wat er daarmee wordt bedoeld (dus wat kan er worden gevraagd, getoetst etc.) en hoe het beste voor te bereiden. Wat wordt er doorgaans op zulke wervingsdagen getoetst. Het is overigens geen individuele setting, dus er zijn meer mensen die uitgenodigd zijn.

Alvast bedankt!

Succes met je sollicitatie. Ik heb zelf ook bij een bedrijf gesolliciteerd waar ze een Capture the Flag opdracht hadden voor sollicitanten. Het ging ze hier niet eens of je hem kon "kraken" of niet, maar meer om de manier waarop je te werk gaat, je manier van denken etc.

Mocht je je kennis willen testen en verbreden raad ik je aan is te kijken naar https://www.hackthebox.eu/. (mocht je deze nog niet kennen).
12-06-2019, 08:46 door Anoniem
Door Vicktor: Als je een security expert bent zou je zo'n vraag hier niet stellen.
Vandaar dat hij ook zegt dat het zijn eerste sollicitatie is. Godallemachtig wat een azijnzeikreactie zeg. Ga je schamen. Types als jij geven het security-wereldje een zure smaak in de bek.
12-06-2019, 09:24 door Anoniem
Ik zou beginnen met je de terminologie rond dit soort dingen eigen te maken.
12-06-2019, 09:30 door Anoniem
Door Vicktor: Als je een security expert bent zou je zo'n vraag hier niet stellen.

Het is z'n eerste sollicitatie. Natuurlijk is hij dan geen expert! En tips vragen voor sollicitaties is nooit verkeerd.
12-06-2019, 10:14 door Anoniem
Laat even weten wat je assignment was, ben wel benieuwd!
12-06-2019, 12:05 door MathFox
Ik verwacht dat ze jou een security scan laten doen van een systeem dat door hen met een aantal gaten geconfigureerd is. Er kan een stukje netwerkverkenning bij zitten, ik weet het ook niet en ieder bedrijf heeft zo zijn eigen tests. Ik verwacht dat er gekeken wordt hoe je je taken uitvoert en er kan gevraagd worden of je een verslag maakt van wat je gevonden hebt. Als je de vacaturebeschrijving leest weet je welke vaardigheden het bedrijf zoekt en daar zal naar gekeken worden.

Je kunt het bedrijf bellen en vragen wat je kunt verwachten en of je je eigen tools mag/moet meenemen.
12-06-2019, 15:27 door Anoniem
Ik denk dat het afhankelijk is van de functie. Zoals al is genoemd, is een (fictieve) pentest mogelijk. Maar ik ken ook assessments waarbij wordt gekeken in welke mate je in staat bent om een baseline of beleid te schrijven. Of er wordt gemeten hoe je gesprekken voert. Ben je in staat om een klantgesprek te voeren en de klant uit te vragen om zo te komen tot de security casus? En wat is je antwoord op de probleemstelling in de vorm van een offerte?

Security is meer dan alleen pentesten. In consultancy functies ben je soms veel tijd kwijt aan het schrijven van rapporten. Niet voor iedereen weggelegd.

Mijn tip is om door te vragen naar de verdeling van werkzaamheden tussen het onderzoeken en het rapporteren. Ik zie veel mensen afhaken op het schrijven van de rapportages. Succes!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.