All posts
Blog

An Engineer's Tale: Mein Weg von SWE und SDET zur Anwendungssicherheit

Luis Rodriguez Castro
May 8, 2023

Hallo! Wie läuft es? Ich schreibe diese persönliche Reise nicht, um mit irgendetwas zu prahlen, sondern weil sie vielleicht andere motivieren und andere erkennen lassen kann, dass es möglich ist, verschiedene Ziele zu erreichen, um die Karriere zu finden, die dir Sinn gibt.

Ich komme ursprünglich aus der Dominikanischen Republik; ich bin am 27. August 2014 in die USA gekommen. Derzeit arbeite ich als Application Security Engineer hier bei FloQast.

Softwaretechnik

2018 arbeitete ich dank eines Programms namens YearUp als Risikoanalyst bei einer Investmentgesellschaft, und in meiner Freizeit öffnete ich VSCode und löste Probleme mit JavaScript. Als ich in der Dominikanischen Republik lebte, habe ich C# gelernt und damit gespielt, sodass ich schon etwas Programmierlogik hatte. Es hat mir wirklich Spaß gemacht, daher war es ein Ziel von mir, in naher Zukunft Softwareingenieur zu werden.

Eines Tages bei der Arbeit kontaktierte mich eine Person, die ich kannte, auf Linkedin wegen eines Software Engineering-Kurses aus einem Programm namens General Assembly. Es klang für mich wie ein Deal, also meldete ich mich für das Programm an, bestand den ersten Test, kündigte den Job, und bevor ich mich versah, nahm ich bereits an Kursen an der Generalversammlung teil; ich lernte React, Ruby on Rails, HTML und etwas CSS sowie Konzepte wie REST, CRUD und andere.

Nachdem das Programm einen Monat später endete, bekam ich meinen ersten Job als Webentwickler mit Ruby on Rails. Ich habe dort viel Erfahrung gesammelt, aber ich wollte einen Job haben, bei dem ich mit React und NodeJS programmieren konnte, also begann ich, mich auf Linkedin zu bewerben, wo React und NodeJS verwendet wurden. Eine Woche, nachdem ich angefangen hatte, mich für eine Stelle zu bewerben, erhielt ich eine Nachricht von einem Unternehmen, in dem ich gebeten wurde, zu einem Vorstellungsgespräch zu ihnen zu gehen. Ich habe jeden Test gemacht und das Interview bestanden. Am nächsten Tag, um 7 Uhr morgens, wer zu dieser Zeit war, rief mich mein Software Engineering Manager an und machte mir ein Angebot. Bei diesem neuen Job haben wir in der Mittagspause viel gechattet, und eines Tages erwähnte der Manager einen Podcast namens The Darknet Diaries, der für mich interessant klang.

Einführung in die Sicherheit

Die erste Folge, die ich von The Darknet Diaries gehört habe, war Unit 8200, was mich umgehauen hat. Ich erinnere mich, dass ich gefahren bin, und auf dem GPS meines Handys habe ich einen Stopp hinzugefügt, um zu Barnes and Noble zu fahren, um ein Hacking-Buch zu kaufen, das ich lesen konnte. Ich habe das Buch Hacking: The Art of Exploitation, 2nd Edition gekauft. Es hat mir geholfen, etwas über Assembly und die Funktionsweise der CPU zu erfahren. Ich begann, die verschiedenen Sicherheitsbereiche zu verstehen und fand heraus, dass es einen für das Internet gibt. Außerdem hatte @thecybermentor bis dahin einen großartigen Kurs Praktisches ethisches Hacken, kostenlos. Ich habe mich schnell angemeldet und den gesamten Kurs besucht, aber was für mich besonders interessant war, war der Teil des Kurses zum Penetration Testing von Webanwendungen.

Early 90s picture of a kid "hacking" on a toy computer

Nachdem ich den Kurs besucht hatte, wurde ich neugierig, wie ich mein Wissen in einem realen Szenario anwenden kann, und ich fing an, dies auf der Website des Jobs zu tun, in dem ich zu dieser Zeit tätig war. Mein damaliger Manager mochte die Ergebnisse, die ich sammeln konnte, so sehr, dass er mir einen Jobwechsel zum Testingenieur anbot. Das passte nicht zu Web Security, aber ich dachte, ich könnte die Gelegenheit nutzen, um auch auf Sicherheitsprobleme von Websites zu testen.

Softwareentwicklungsingenieur im Test bei FloQast

Nachdem ich einige Zeit als Testingenieur gearbeitet hatte, habe ich viel über verschiedene Themen gelernt. Ich könnte einen Job bekommen, der das Gleiche tut, aber besser bezahlt wird. Ich fing wieder an, mich für Jobs zu bewerben, und floQast machte mir schnell ein großartiges Angebot, als Software Developer Engineer im Test zu arbeiten, was ich nicht ablehnen konnte. Ich habe die Arbeit und das Projekt für den Leistungstest, den ich erhalten habe, geliebt. Nach der Arbeit habe ich mehr über Web Security erforscht und recherchiert. Ich habe auch geübt und gelernt, wie Portswigger Web Security Academy und träumte davon, eine Zertifizierung namens zu bekommen WEB-300: Fortgeschrittene Internetangriffe und Ausnutzung von Offensive Security (OffSec).

Ingenieur für Anwendungssicherheit bei FloQast

Eines Tages wurde im FloQast Slack Channel ein neuer Channel eingerichtet, damit sich Engineers vorstellen konnten. Das war meine Einführung:

Hola alle zusammen! Ich bin Luis Miguel (nur Luis ist akzeptabel); ich wurde vor 4 Monaten eingestellt und finde es toll, wie herausfordernd ich hier bei FloQast bin. Ich arbeite als Softwareentwickler in Test I im Pandora-Pod. Vorher war ich etwa 3 Jahre lang Softwareingenieur, bis ich in der letzten Firma, in der ich tätig war, als Testingenieur wechselte. Meine Hobbys sind Gaming, Muay Thai, Hacken (binäres Reverse Engineering, Web-Exploitation) und das Erkunden neuer koreanischer und japanischer Platten.

Danach, glaube ich, ein paar Monate später, bat Rune Kristensen, der jetzt Senior Security Manager ist, um ein Treffen mit mir, um über Sicherheitsthemen zu sprechen (ich glaube, es war alles ein Test, aber was auch immer...). Wir haben über Web Security und meine Erfahrung mit Sicherheit gesprochen. Vor Ende des Treffens erwähnte er, dass es eine offene Stelle gibt, auf die ich mich bei Interesse bewerben könnte. Ich habe nicht viel darüber nachgedacht, weil ich das Imposter-Syndrom hatte; ich halte Sicherheit für wirklich wichtig, und ich dachte nicht, dass ich die Fähigkeiten dafür habe; ich wusste nicht, dass ich die notwendigen Fähigkeiten dafür habe. Am nächsten Tag, einem Samstag, bin ich aufgewacht und habe Rune eine Nachricht geschickt, in der ich gefragt habe, was ich lernen muss, um mich zu bewerben. Er fragte nach meinem Lebenslauf, dann, nachdem ich ein Sicherheitstool-Projekt bekommen hatte, musste ich programmieren, und dann war alles Geschichte. Ich erhielt ein Transferangebot, um als Application Security Engineer zu arbeiten, und habe meinen ersten internen Web-Penetrationstest gemacht, was der Berichtsteil sehr demütigend war. Ich werde bald einen weiteren Blogbeitrag darüber schreiben.

Dank meines anderen Managers Harrison Richardson, habe ich viele neue Ausbeutungstechniken und -konzepte gelernt, der mich auch vor die anspruchsvollsten Herausforderungen gestellt und mich durch die nervenaufreibendsten Situationen gebracht hat. Kurzum, client- und serverseitige Prototype Pollution ist einer meiner Lieblings-Web-Exploits. Mir wurden großartige Bücher zum Lesen empfohlen, und mein Favorit ist JavaScript for Hackers: Learn to Think like a Hacker von Gareth Heyes.

Fazit

Meine wichtigsten Erfahrungen aus dieser Reise sind:

  • Das Imposter-Syndrom kann Sie an sich selbst zweifeln lassen: Hör es dir nicht an.
  • Diszipliniert zu sein und weiter zu lernen, ist wichtig, um voranzukommen
  • Fordere dich immer selbst heraus und/oder bitte darum, herausgefordert zu werden
  • Um voranzukommen, ist es wichtig, deine Komfortzone zu verlassen, auch wenn das bedeutet, dich in nervenaufreibende Situationen zu bringen.
  • Beeilen Sie sich im Bereich Sicherheit nie, um eine Aufgabe zu erledigen; nehmen Sie sich Zeit; es ist wichtig, genau zu sein; das ist Sicherheit.
Luis Rodriguez Castro
Luis is an Application Security Engineer at FloQast who is a web security enthusiast, enjoys eating Korean and Japanese food, and also likes practicing Muay Thai and online gaming.
Expand