• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Проблема Я не знаю с чего начать

M

maxoun

Всем привет, я занимаюсь web разработкой, знаю хорошо
PHP+SQL+PCRE "html|css|bootstrap"
Я нигде не учился, я хочу начать находить уявpимости для благой цели.
Не могли бы Вы мне дать совет, как мне быть дальше что стоит учить, чтобы быть опытным в этом плане.


У меня нет цели стать программистом, я просто хочу быть опытным пользователем в сфере программирования, а именно WEB.
Я хорошо понимаю теорию XSS,SQL, а также есть хорошая практика защиты.


Для защиты я использую шаблоны регулярных выражений, а также средствами PHP.
Защиту ставляю с обеих сторон, как на стороне JS, так на стороне сервера.
У меня есть хорошая практика, со стороны защиты, но не со стороны нападения в блогих целях.

Прошу Вас помогите мне, что мне надо учить чтобы находить уявзимости.
 
  • Нравится
Реакции: Vertigo

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 318
3 997
BIT
1
У Вас прекрасные знания.Чтобы находить уязвимости,надо их знать просто,какими они бывают,виды и способы эксплуатации.
Я в своё время,не постеснялся законспектировать такие вещи.Потому что ,ну найдёт ,к примеру ,сканер уязвимостей и скажет Вам,что вот тут есть pastejacking,
а там shell shock и Path Traversal с heartblead. Вам же ничего это не скажет навскидку.Поэтому ,важно изучить классификацию,Owasp.

Методику проведения атаки и защиты,фазинг почитать-очень классная вещь.
Когда Вы сможете свободно ориентироваться в видах (0day мы не будем сюда включать,на то они и 0day),т.е, уязвимости в железе,web-приложениях , то Вы сможете легко разобраться в инструментах,которые их находят при тестировании , сможете легко читать сайт на чём написан,какие версии приложений и легко находить на сайте vulners,к примеру,уязвимость для конкретной версии приложения.

И Вы уже не пройдёте мимо,даже когда Вам просто сканер nmap пригонит информацию,скажете,стоп,тут старая версия того же php, для которой имеются уже готовые эксплойты.
Хотя путь такой у каждого индивидуальный , и Вам могут посоветовать с лёгкостью что-то другое,но это всё равно будет работать.
 

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 318
3 997
BIT
1
Спасибо Вам, как я понял надо начинать с малого).
Буду тогда работать изучать методы атаки XSS,SQL для начало,
Я думаю что мне также надо учить JS.
Последнее - это Ваше право. Изучать всегда здорово,Вы будете лучше ориентированы,тем более,что это полноценный язык.Он актуален как никогда.
Я пока до него так и не дотянулся.Ещё хорошо помогают различные курсы видео по пентесту .
И ни в одном из них,я не замечал,чтобы арбитр говорил о том,чтобы надо знать языки программирования (хотя тут вопрос спорный).
Есть инструменты ,которые находят уязвимости,но они могут пропустить такое дело ,и поэтому важно уметь вручную раскручивать скули те же.
Программист ,конечно же лучше видит такие вещи,какие-то недостатки в своём поле знаний ,но всё же не всегда сможет из-за узкой специфики сориентироваться во всём.
Это нормально,он может сказать допустим,что вот так в такой ситуации легче получить результат,но то ,что его способ подвержен опасности ,может и не знать.
И те программисты,которые заточены ещё на безопасность-им нет цены действительно.
 
M

maxoun

И те программисты,которые заточены ещё на безопасность-им нет цены действительно.
Безопасность приходит с практикой как я понял, я честно не любитель смотреть уроки, в книгах хранится львиная сила.
Я любитель практиковать по книгам, но знания нужно брать отовсюду.

А насчет программистов, я бы сказал так, САМОУЧКИ сильнее мыслят по безопасности чем программисты, они всегда ищут знания.
Самоучки они как зеленые человечки в темном мире, они везде суют свой нос и ищут знания и становятся намного сильнее.
А программисты которые учаться они ждут пока им что либо скажут.

Если дело пошло про безопасность, В ЭТОМ ДЕЛЕ ДЛЯ САМОУЧЕК НЕТ РАВНЫХ.
 

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 318
3 997
BIT
1
В ЭТОМ ДЕЛЕ ДЛЯ САМОУЧЕК НЕТ РАВНЫХ.
Верно. Непреодолимое желание к знаниям-это всегда та сила,которая отличает самоучек .Он сам пришёл к этому и выучит,всё правильно.
Если Вы посмотрите на Ребят,которые на этом форуме-они многие самоучки с большой буквы.
Мы всегда будем учиться.Всё знать невозможно,но благодаря тому,что здесь делятся своими знаниями,заполняются пробелы.
 

Night Hunter

Green Team
13.01.2018
284
284
BIT
0
Майкл, а ты тоже самоучка? Тогда у нас есть что то общее)
А тут много самоучек) Да и вообще, в сфере ИТ, намного больше самоучек, чем тех, кто специально учился. Но ладно, людей с дипломами программиста, щас как фотографов - как говна, но где-то от 70% до 90%, не работают программистами. Даже личный пример, я учился на программиста, есть диплом, но я ещё после первого курса понял, что это всё фигня, чему они нас учат, всё старое и никому не нужное уже. Поэтому, я забил на учебу, и занимался самообразованием, да, у меня не было норм инета на то время, но я просил знакомых, они мне скачивали курсы и я учился, на 2-3 курсе, я уже делал свой первый магазин на заказ, и получил за него, норм деньги, за то время, которые были равны оплате годовому обучению в колледже. Сейчас, я ни за какие деньги, не пойду куда-то учиться, т.к. образование у нас - говно, я лучше сам сяду и выучу то, что мне нужно и то, что мне интересно, а не буду забивать голову, всякой ненужной фигней, которую они нам дают. Саморазвитие - это ключ к успеху!
P.S. Забыл дописать...У меня в группе, было 23 человека, из 23-х, только 2 работает по специальности, ну и 3-й почти, каким-то там сисадмином работает. Все остальные, шли тупо чтобы иметь бумажку и им пофиг было, на кого учиться. Никогда такого не понимал.
 
Последнее редактирование:
  • Нравится
Реакции: Гор, maxoun и Vertigo
M

maxoun

Сейчас, я ни за какие деньги, не пойду куда-то учиться, т.к. образование у нас - говно, я лучше сам сяду и выучу то, что мне нужно и то, что мне интересно, а не буду забивать голову, всякой ненужной фигней, которую они нам дают. Саморазвитие - это ключ к успеху!
Знаешь , а ты прав.
Честно я не учился и не буду учиться на программиста.
Программистом можно стать самому, и когда им сам становишься, это более мощная сфера.

Мы самоучки как регулярные выражения, мы неполноценные программисты, но мы встроены везде со своими силами.
А регулярные выражения как мы знаем. это неполноценный язык, это мини язык который есть во всех языках но со своим синтаксисом.
 
  • Нравится
Реакции: Night Hunter

Глюк

Red Team
03.01.2018
1 184
1 877
BIT
94
я ни за какие деньги, не пойду куда-то учиться,
Аналогично. Сейчас в любых учебных заведениях дают лишь знания. Набивают "чердак" нужным и ненужным хламом. А образование - это создание. Образовать человека - это значит создать полноценную и гармоничную личность, как в профессиональном, так и в гуманитарном плане.
Я, со своими 10-ю классами церковно-приходской школы, поступал в несколько вузов, и уходил с первого курса. Мне было жалко тратить время на ненужное повторение того, что я знал с 7-го класса. Кроме того я никогда не понимал почему меня не допускают к занятиям на отделении информатики и информационных технологий, лишь потому что я не сдал зачёт по философии...
 
Г

Гор

А ты отлично продвинулся, я вот тоже начал изучения WEBа. Сам начала с разметки и когда я изучил её, я перешёл на яп js, и так начались мои прыжки с одного языка на другой и в итоге я ничего не достиг на сегодняшний день потерял время, неопределённость самое худшее! Но мне тоже есть что сказать продолжай просто, с таким багажом ты уже можешь запросто перейти на такие языки как С, C#, Java, js, C++, Python, и тому подобное!!)
Не думаю что эти языки теперь для будет помехой, у каждого из них есть свои преимущества.
 
M

maxoun

А ты отлично продвинулся, я вот тоже начал изучения WEBа. Сам начала с разметки и когда я изучил её, я перешёл на яп js, и так начались мои прыжки с одного языка на другой и в итоге я ничего не достиг на сегодняшний день потерял время, неопределённость самое худшее! Но мне тоже есть что сказать продолжай просто, с таким багажом ты уже можешь запросто перейти на такие языки как С, C#, Java, js, C++, Python, и тому подобное!!)
Не думаю что эти языки теперь для будет помехой, у каждого из них есть свои преимущества.

Спасибо, моя главная цель на данный момент это JS, а именно технология AJAX, он не сложный, но он нужный).
Практически, я могу находить ошибки, использовать различные атаки, просто знаешь, мне очень интересно защищаться , чем атаковать, и я работаю над защитой)
 

Iskus

Green Team
13.11.2017
287
468
BIT
0
Читаю и ржу))) Чем программист в твоем понимании отличаеся от самоучки? Т.е. программист не может быть самоучкой, а самоучка программистом чтоли?))) Я например самоучка, по образованию вообще преподаватель экономики, однако это не мешает мне быть высококвалифицированным программистом и одновременно иметь обширные познания и огромный практический опыт в сфере кибер-безопасности.
screen.png

[automerge]1522892702[/automerge]
и я одно могу сказать, прежде чем делать что-то самому, я всегда сначала ищу готовые решения, если олько вдруг Google не найдет мне таковых, только тогда я начинаю писать код сам!
 
Последнее редактирование:
  • Нравится
Реакции: Глюк
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!