• Codeby web-security - Курс "Тестирование Веб-Приложений на проникновение с нуля" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фаззинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь

Проблема Я не знаю с чего начать

03.04.2018
22
17
#1
Всем привет, я занимаюсь web разработкой, знаю хорошо
PHP+SQL+PCRE "html|css|bootstrap"
Я нигде не учился, я хочу начать находить уявpимости для благой цели.
Не могли бы Вы мне дать совет, как мне быть дальше что стоит учить, чтобы быть опытным в этом плане.


У меня нет цели стать программистом, я просто хочу быть опытным пользователем в сфере программирования, а именно WEB.
Я хорошо понимаю теорию XSS,SQL, а также есть хорошая практика защиты.


Для защиты я использую шаблоны регулярных выражений, а также средствами PHP.
Защиту ставляю с обеих сторон, как на стороне JS, так на стороне сервера.
У меня есть хорошая практика, со стороны защиты, но не со стороны нападения в блогих целях.

Прошу Вас помогите мне, что мне надо учить чтобы находить уявзимости.
 
Симпатии: Понравилось Vertigo

Vertigo

Lex mea est Vulgate Linux
Red Team
15.02.2017
789
2 079
#2
У Вас прекрасные знания.Чтобы находить уязвимости,надо их знать просто,какими они бывают,виды и способы эксплуатации.
Я в своё время,не постеснялся законспектировать такие вещи.Потому что ,ну найдёт ,к примеру ,сканер уязвимостей и скажет Вам,что вот тут есть pastejacking,
а там shell shock и Path Traversal с heartblead. Вам же ничего это не скажет навскидку.Поэтому ,важно изучить классификацию,Owasp.

Методику проведения атаки и защиты,фазинг почитать-очень классная вещь.
Когда Вы сможете свободно ориентироваться в видах (0day мы не будем сюда включать,на то они и 0day),т.е, уязвимости в железе,web-приложениях , то Вы сможете легко разобраться в инструментах,которые их находят при тестировании , сможете легко читать сайт на чём написан,какие версии приложений и легко находить на сайте vulners,к примеру,уязвимость для конкретной версии приложения.

И Вы уже не пройдёте мимо,даже когда Вам просто сканер nmap пригонит информацию,скажете,стоп,тут старая версия того же php, для которой имеются уже готовые эксплойты.
Хотя путь такой у каждого индивидуальный , и Вам могут посоветовать с лёгкостью что-то другое,но это всё равно будет работать.
 
03.04.2018
22
17
#3
У Вас прекрасные знания.Чтобы находить уязвимости.
Спасибо Вам, как я понял надо начинать с малого).
Буду тогда работать изучать методы атаки XSS,SQL для начало,
Я думаю что мне также надо учить JS.
 

Vertigo

Lex mea est Vulgate Linux
Red Team
15.02.2017
789
2 079
#4
Спасибо Вам, как я понял надо начинать с малого).
Буду тогда работать изучать методы атаки XSS,SQL для начало,
Я думаю что мне также надо учить JS.
Последнее - это Ваше право. Изучать всегда здорово,Вы будете лучше ориентированы,тем более,что это полноценный язык.Он актуален как никогда.
Я пока до него так и не дотянулся.Ещё хорошо помогают различные курсы видео по пентесту .
И ни в одном из них,я не замечал,чтобы арбитр говорил о том,чтобы надо знать языки программирования (хотя тут вопрос спорный).
Есть инструменты ,которые находят уязвимости,но они могут пропустить такое дело ,и поэтому важно уметь вручную раскручивать скули те же.
Программист ,конечно же лучше видит такие вещи,какие-то недостатки в своём поле знаний ,но всё же не всегда сможет из-за узкой специфики сориентироваться во всём.
Это нормально,он может сказать допустим,что вот так в такой ситуации легче получить результат,но то ,что его способ подвержен опасности ,может и не знать.
И те программисты,которые заточены ещё на безопасность-им нет цены действительно.
 
03.04.2018
22
17
#5
И те программисты,которые заточены ещё на безопасность-им нет цены действительно.
Безопасность приходит с практикой как я понял, я честно не любитель смотреть уроки, в книгах хранится львиная сила.
Я любитель практиковать по книгам, но знания нужно брать отовсюду.

А насчет программистов, я бы сказал так, САМОУЧКИ сильнее мыслят по безопасности чем программисты, они всегда ищут знания.
Самоучки они как зеленые человечки в темном мире, они везде суют свой нос и ищут знания и становятся намного сильнее.
А программисты которые учаться они ждут пока им что либо скажут.

Если дело пошло про безопасность, В ЭТОМ ДЕЛЕ ДЛЯ САМОУЧЕК НЕТ РАВНЫХ.
 

Vertigo

Lex mea est Vulgate Linux
Red Team
15.02.2017
789
2 079
#6
В ЭТОМ ДЕЛЕ ДЛЯ САМОУЧЕК НЕТ РАВНЫХ.
Верно. Непреодолимое желание к знаниям-это всегда та сила,которая отличает самоучек .Он сам пришёл к этому и выучит,всё правильно.
Если Вы посмотрите на Ребят,которые на этом форуме-они многие самоучки с большой буквы.
Мы всегда будем учиться.Всё знать невозможно,но благодаря тому,что здесь делятся своими знаниями,заполняются пробелы.
 
03.04.2018
22
17
#7
Мы всегда будем учиться.Всё знать невозможно,но благодаря тому,что здесь делятся своими знаниями,заполняются пробелы.
Майкл, а ты тоже самоучка? Тогда у нас есть что то общее)
 
Симпатии: Понравилось Vertigo

Night Hunter

Премиум
13.01.2018
211
191
#8
Майкл, а ты тоже самоучка? Тогда у нас есть что то общее)
А тут много самоучек) Да и вообще, в сфере ИТ, намного больше самоучек, чем тех, кто специально учился. Но ладно, людей с дипломами программиста, щас как фотографов - как говна, но где-то от 70% до 90%, не работают программистами. Даже личный пример, я учился на программиста, есть диплом, но я ещё после первого курса понял, что это всё фигня, чему они нас учат, всё старое и никому не нужное уже. Поэтому, я забил на учебу, и занимался самообразованием, да, у меня не было норм инета на то время, но я просил знакомых, они мне скачивали курсы и я учился, на 2-3 курсе, я уже делал свой первый магазин на заказ, и получил за него, норм деньги, за то время, которые были равны оплате годовому обучению в колледже. Сейчас, я ни за какие деньги, не пойду куда-то учиться, т.к. образование у нас - говно, я лучше сам сяду и выучу то, что мне нужно и то, что мне интересно, а не буду забивать голову, всякой ненужной фигней, которую они нам дают. Саморазвитие - это ключ к успеху!
P.S. Забыл дописать...У меня в группе, было 23 человека, из 23-х, только 2 работает по специальности, ну и 3-й почти, каким-то там сисадмином работает. Все остальные, шли тупо чтобы иметь бумажку и им пофиг было, на кого учиться. Никогда такого не понимал.
 
Последнее редактирование:
03.04.2018
22
17
#9
Сейчас, я ни за какие деньги, не пойду куда-то учиться, т.к. образование у нас - говно, я лучше сам сяду и выучу то, что мне нужно и то, что мне интересно, а не буду забивать голову, всякой ненужной фигней, которую они нам дают. Саморазвитие - это ключ к успеху!
Знаешь , а ты прав.
Честно я не учился и не буду учиться на программиста.
Программистом можно стать самому, и когда им сам становишься, это более мощная сфера.

Мы самоучки как регулярные выражения, мы неполноценные программисты, но мы встроены везде со своими силами.
А регулярные выражения как мы знаем. это неполноценный язык, это мини язык который есть во всех языках но со своим синтаксисом.
 

Глюк

Red Team
03.01.2018
658
1 171
#10
я ни за какие деньги, не пойду куда-то учиться,
Аналогично. Сейчас в любых учебных заведениях дают лишь знания. Набивают "чердак" нужным и ненужным хламом. А образование - это создание. Образовать человека - это значит создать полноценную и гармоничную личность, как в профессиональном, так и в гуманитарном плане.
Я, со своими 10-ю классами церковно-приходской школы, поступал в несколько вузов, и уходил с первого курса. Мне было жалко тратить время на ненужное повторение того, что я знал с 7-го класса. Кроме того я никогда не понимал почему меня не допускают к занятиям на отделении информатики и информационных технологий, лишь потому что я не сдал зачёт по философии...
 

Гор

New member
19.03.2018
1
0
#11
А ты отлично продвинулся, я вот тоже начал изучения WEBа. Сам начала с разметки и когда я изучил её, я перешёл на яп js, и так начались мои прыжки с одного языка на другой и в итоге я ничего не достиг на сегодняшний день потерял время, неопределённость самое худшее! Но мне тоже есть что сказать продолжай просто, с таким багажом ты уже можешь запросто перейти на такие языки как С, C#, Java, js, C++, Python, и тому подобное!!)
Не думаю что эти языки теперь для будет помехой, у каждого из них есть свои преимущества.
 
03.04.2018
22
17
#13
А ты отлично продвинулся, я вот тоже начал изучения WEBа. Сам начала с разметки и когда я изучил её, я перешёл на яп js, и так начались мои прыжки с одного языка на другой и в итоге я ничего не достиг на сегодняшний день потерял время, неопределённость самое худшее! Но мне тоже есть что сказать продолжай просто, с таким багажом ты уже можешь запросто перейти на такие языки как С, C#, Java, js, C++, Python, и тому подобное!!)
Не думаю что эти языки теперь для будет помехой, у каждого из них есть свои преимущества.
Спасибо, моя главная цель на данный момент это JS, а именно технология AJAX, он не сложный, но он нужный).
Практически, я могу находить ошибки, использовать различные атаки, просто знаешь, мне очень интересно защищаться , чем атаковать, и я работаю над защитой)
 

Iskus

Премиум
13.11.2017
265
323
#14
Читаю и ржу))) Чем программист в твоем понимании отличаеся от самоучки? Т.е. программист не может быть самоучкой, а самоучка программистом чтоли?))) Я например самоучка, по образованию вообще преподаватель экономики, однако это не мешает мне быть высококвалифицированным программистом и одновременно иметь обширные познания и огромный практический опыт в сфере кибер-безопасности. screen.png
[automerge]1522892702[/automerge]
и я одно могу сказать, прежде чем делать что-то самому, я всегда сначала ищу готовые решения, если олько вдруг Google не найдет мне таковых, только тогда я начинаю писать код сам!
 
Последнее редактирование:
Вверх Снизу