Как правильно провести пентест сайта?

[r0hack]

Здравствуйте. Почти год в сфере ИБ, есть опыт в нахождении уязвимостей в веб. Но чувствуется, что только мизер, от того что можно сделать. Хотел бы услышать советы, от более опытных в сфере пентеста веб сайта. Для примера взять любой интернет магазин, и каким должен быть процесс от начала до конца. Спасибо

З.Ы. Серию "Пентест руками ламера" читал, но это чуть другое, именно по веб сайтам

 

[sudo]

Могу посоветовать книгу

Ссылка скрыта от гостей

Ну и классика:

Ссылка скрыта от гостей

 

[whph]

По опыту могу сказать, что подобные гайды и инструкции дают далеко не полный охват.
Чаще всего это все-таки индивидуальные методы под каждый случай.

 

[mCstl]

Почитай OWASP Top10, посмотри что это такое и как это ищут, их wiki посмотри.
Есть видио с этого форума:

Можно ещё почитать "XSS Attacks - Exploits and Defense", что ни будь по Fuzzing.
Ну и всякие статьи и мануалы к сканерам вроде w3af, IronWasp, Nikto и т.д. Посмотри что они делают. Ну и изучать Frame Work 'и на которых делают сайты.
Узнать http ошибки. Насчет работы soap не знаю что посоветовать и стоил ли вообще копать в эту сторону.
Посмотри что пишут на hackerone и exploit-db.
Как то так поправьте если я не прав и дополните.

 

[vag4b0nd]

На такое только один ответ. Пентест - дело не простое) Его даже сложно сравнить со школьными олимпиадами по высш. мату. Ты и без меня знаешь, что опыт приходит с годами практики. А описать пентест сайта мне нет смысла

1. По тому что это выйдет в много много статей.
2. Все уже давно описано.

Попробуй прочитать какую-либо литературу на эту тематику, посмотреть вэбинары. Но при этом каждое действие что там описывается практикуй и пытайся в это вникнуть. Также тебе пригодится знание яп. Как пример, различные курсы по этой тематике есть на stepic.org , udemy , cybrary. Плюсом, там и сертификаты выдают)

 

[<~DarkNode~>]

различные курсы по этой тематике есть на stepic.org , udemy , cybrary. Плюсом, там и сертификаты выдают)

Основные курсы которыми я пользуюсь.

 

[Citizen0]

Методологии пентеста

 

[SearcherSlava]

Ссылки по теме

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

 

[Мамонт]

Подниму может страую тему такая же проблема в пентесте конечно не год но больше полгода. И такая же ситуация. Как в голове уложить все от и до по полочкам)

Могу посоветовать книгу

Ссылка скрыта от гостей

Ну и классика:

Ссылка скрыта от гостей

А вот за первую книгу отдельное спасибо давно такой материал ищу )