• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

Расскажите, пожалуйста, о том как происходит пентестинг вебприложения на практике

mrmourax

mrmourax

New member
12.02.2021
3
0
BIT
0
Привет. Я новенький в вашем прекрасном сообществе.
Сам я тестировщик QA Engineer с опытом 5+ лет.
Решил развиваться в сфере кибербезопасности и пентестинга.
Сейчас учу все подряд и это мне НЕ нравится.

Что я хочу?
Я хотел бы узнать, как на практике проводится петестинг веб-приложений с 0 и до конца?
То есть вот нашел я фирму, которой надо протестить сайт, допустим.
Какой первый шаг? Второй? и далее. Какие инструменты использовать на каком шаге? Чем закончить? (отчет может какой).

Я бы хотел изучать пентестинг именно так, как это делается на практике, а не как сейчас. Оооочень много материала, в голове каша.

Спасибо
 
Сортировать по дате Сортировать по голосам
Даже не знаю. Если хочется систематически изучить именно Web, то может стоит присмотреться к WAPT? Только вот написания отчета не вижу у них в программе, но думаю это не проблема, берем любой типовой и подставляем свои данные.
Если хорошая самодисциплина, можно взять программу любого курса по тестированию Web и учиться согласно ей. Плюс в помощь такие проекты как OWASP Juice Shop и WebGoat.
 
Последнее редактирование:
За 0 Против
M0r7iF3r сказал(а):
Даже не знаю. Если хочется систематически изучить именно Web, то может стоит присмотреться к WAPT? Только вот написания отчета не вижу у них в программе, но думаю это не проблема, берем любой типовой и подставляем свои данные.
Если хорошая самодисциплина, можно взять программу любого курса по тестированию Web и учиться согласно ей. Плюс в помощь такие проекты как OWASP Juice Shop и WebGoat.
Нажмите, чтобы раскрыть...
вы сами давно в пентестинге? Может поделитесь как структурировать информацию, про курс понял, но пока хотел бы своими силами
 
За 0 Против
mrmourax сказал(а):
вы сами давно в пентестинге? Может поделитесь как структурировать информацию, про курс понял, но пока хотел бы своими силами
Нажмите, чтобы раскрыть...
Не очень давно, чуть больше пары лет, так что сам активно учусь. Начинал с курса
Ссылка скрыта от гостей
и примерно придерживаюсь методологии. При желании, последняя версия книги слита, можно ее найти и почитать.
Еще хороши видео от IppSec, где он рассказывает по шагам как проводить тестирование машин на HackTheBox, но там не только Web.
Может еще вот этот гайд поможет структурировать порядок для Web'а.
 
За 0 Против
mrmourax сказал(а):
Привет. Я новенький в вашем прекрасном сообществе.
Сам я тестировщик QA Engineer с опытом 5+ лет.
Решил развиваться в сфере кибербезопасности и пентестинга.
Сейчас учу все подряд и это мне НЕ нравится.

Что я хочу?
Я хотел бы узнать, как на практике проводится петестинг веб-приложений с 0 и до конца?
То есть вот нашел я фирму, которой надо протестить сайт, допустим.
Какой первый шаг? Второй? и далее. Какие инструменты использовать на каком шаге? Чем закончить? (отчет может какой).

Я бы хотел изучать пентестинг именно так, как это делается на практике, а не как сейчас. Оооочень много материала, в голове каша.

Спасибо
Нажмите, чтобы раскрыть...
Ну во-первых, для таких как вы я и делал roadmap по пентесту(сам Roadmap).К слову, мне надо будет его немного переделать
Во-вторых, что вы имейте в виду под словами "всё подряд" ?
Что именно вы учите ?
В-третьих, пентест - это тот же ИБ, а он, как нам всем известно, не стоит на месте. Поэтому говорить, что "до конца" не совсем корректно. Потому что знать всё в ИБ, а в частности в том же пентест - невозможно. Банально потому что знать надо очень и очень много, а технологии не стоят на месте, а лишь улучшаются с каждым днём.
В-четвёртых, я бы советовал вам научиться пользоваться гуглом, потому что инфы по обучению много. Но вам нужно знать то, что универсального метода обучения нет и вряд ли когда-либо будет. Просто потому что все мы разные и учимся по разному.
В-пятых, могу ответить лишь по первому шагу, просто потому что это не так просто объяснить. Первый шаг такой: вы ищите максимальное количество информации по той или иной фирме, чтобы уже оттуда и отталкиваться.
В-шестых, про инструменты. Инструментов много, очень много. Хоть бери пример с тех же сканеров портов, как тот же nmap. Есть невероятное количество похожего софта, как это. Тут суть - понять, как работает эта технология, и почему она работает именно так, а не иначе. Просто нажимать на "педали" может научиться каждый, но я надеюсь на то, что вы не хотите стать очередным скрипткиддисом. Так ведь ?)
В-седьмых, ваша "каша в голове" вполне нормальное явление. Такое бывает у многих, кто идёт на пентест.
 
Последнее редактирование:
За 0 Против
Почитай про различные roadmap`ы лучше ,хотя учить все подряд не есть плохо, в вузах тоже учат всему подряд и это называется "база" , ты как бы нахватаешься всего понемногу, если ты правда новичок и не знаешь, куда себя деть, вузы как раз на такое и рассчитаны.
 
За 0 Против
15 марта 2021 года Pentestit запускает лабораторию «Test lab 15», где IT - специалисты смогут бесплатно оценить свои силы в поисках уязвимостей корпоративной сети и веб-приложениях компании.
 
За 1 Против
Eugene75 сказал(а):
15 марта 2021 года Pentestit запускает лабораторию «Test lab 15», где IT - специалисты смогут бесплатно оценить свои силы в поисках уязвимостей корпоративной сети и веб-приложениях компании.
Нажмите, чтобы раскрыть...
Спасибо, что уведомил)
 
За 1 Против
gmontekrissto сказал(а):
Почитай про различные roadmap`ы лучше ,хотя учить все подряд не есть плохо, в вузах тоже учат всему подряд и это называется "база" , ты как бы нахватаешься всего понемногу, если ты правда новичок и не знаешь, куда себя деть, вузы как раз на такое и рассчитаны.
Нажмите, чтобы раскрыть...
Ну, не всегда
всё же учить всё подряд - не всегда хорошо
потому что у новичков образуется каша в голове ИМХО
 
За 0 Против
Eugene75 сказал(а):
15 марта 2021 года Pentestit запускает лабораторию «Test lab 15», где IT - специалисты смогут бесплатно оценить свои силы в поисках уязвимостей корпоративной сети и веб-приложениях компании.
Нажмите, чтобы раскрыть...
Оо, просто шикарно
 
За 0 Против
Eugene75 сказал(а):
15 марта 2021 года Pentestit запускает лабораторию «Test lab 15», где IT - специалисты смогут бесплатно оценить свои силы в поисках уязвимостей корпоративной сети и веб-приложениях компании.
Нажмите, чтобы раскрыть...
О, классно
Сейчас поделюсь ссылкой под своей статьёй)
 
За 0 Против
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ