• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Расскажите, пожалуйста, о том как происходит пентестинг вебприложения на практике

mrmourax

New member
12.02.2021
3
0
BIT
0
Привет. Я новенький в вашем прекрасном сообществе.
Сам я тестировщик QA Engineer с опытом 5+ лет.
Решил развиваться в сфере кибербезопасности и пентестинга.
Сейчас учу все подряд и это мне НЕ нравится.

Что я хочу?
Я хотел бы узнать, как на практике проводится петестинг веб-приложений с 0 и до конца?
То есть вот нашел я фирму, которой надо протестить сайт, допустим.
Какой первый шаг? Второй? и далее. Какие инструменты использовать на каком шаге? Чем закончить? (отчет может какой).

Я бы хотел изучать пентестинг именно так, как это делается на практике, а не как сейчас. Оооочень много материала, в голове каша.

Спасибо
 

M0r7iF3r

Green Team
01.09.2020
96
2
BIT
241
Даже не знаю. Если хочется систематически изучить именно Web, то может стоит присмотреться к WAPT? Только вот написания отчета не вижу у них в программе, но думаю это не проблема, берем любой типовой и подставляем свои данные.
Если хорошая самодисциплина, можно взять программу любого курса по тестированию Web и учиться согласно ей. Плюс в помощь такие проекты как OWASP Juice Shop и WebGoat.
 
Последнее редактирование:

mrmourax

New member
12.02.2021
3
0
BIT
0
Даже не знаю. Если хочется систематически изучить именно Web, то может стоит присмотреться к WAPT? Только вот написания отчета не вижу у них в программе, но думаю это не проблема, берем любой типовой и подставляем свои данные.
Если хорошая самодисциплина, можно взять программу любого курса по тестированию Web и учиться согласно ей. Плюс в помощь такие проекты как OWASP Juice Shop и WebGoat.
вы сами давно в пентестинге? Может поделитесь как структурировать информацию, про курс понял, но пока хотел бы своими силами
 

M0r7iF3r

Green Team
01.09.2020
96
2
BIT
241
вы сами давно в пентестинге? Может поделитесь как структурировать информацию, про курс понял, но пока хотел бы своими силами
Не очень давно, чуть больше пары лет, так что сам активно учусь. Начинал с курса и примерно придерживаюсь методологии. При желании, последняя версия книги слита, можно ее найти и почитать.
Еще хороши видео от IppSec, где он рассказывает по шагам как проводить тестирование машин на HackTheBox, но там не только Web.
Может еще вот этот гайд поможет структурировать порядок для Web'а.
 

v1gman

Green Team
31.07.2020
495
523
BIT
23
Привет. Я новенький в вашем прекрасном сообществе.
Сам я тестировщик QA Engineer с опытом 5+ лет.
Решил развиваться в сфере кибербезопасности и пентестинга.
Сейчас учу все подряд и это мне НЕ нравится.

Что я хочу?
Я хотел бы узнать, как на практике проводится петестинг веб-приложений с 0 и до конца?
То есть вот нашел я фирму, которой надо протестить сайт, допустим.
Какой первый шаг? Второй? и далее. Какие инструменты использовать на каком шаге? Чем закончить? (отчет может какой).

Я бы хотел изучать пентестинг именно так, как это делается на практике, а не как сейчас. Оооочень много материала, в голове каша.

Спасибо
Ну во-первых, для таких как вы я и делал roadmap по пентесту(сам Roadmap).К слову, мне надо будет его немного переделать
Во-вторых, что вы имейте в виду под словами "всё подряд" ?
Что именно вы учите ?
В-третьих, пентест - это тот же ИБ, а он, как нам всем известно, не стоит на месте. Поэтому говорить, что "до конца" не совсем корректно. Потому что знать всё в ИБ, а в частности в том же пентест - невозможно. Банально потому что знать надо очень и очень много, а технологии не стоят на месте, а лишь улучшаются с каждым днём.
В-четвёртых, я бы советовал вам научиться пользоваться гуглом, потому что инфы по обучению много. Но вам нужно знать то, что универсального метода обучения нет и вряд ли когда-либо будет. Просто потому что все мы разные и учимся по разному.
В-пятых, могу ответить лишь по первому шагу, просто потому что это не так просто объяснить. Первый шаг такой: вы ищите максимальное количество информации по той или иной фирме, чтобы уже оттуда и отталкиваться.
В-шестых, про инструменты. Инструментов много, очень много. Хоть бери пример с тех же сканеров портов, как тот же nmap. Есть невероятное количество похожего софта, как это. Тут суть - понять, как работает эта технология, и почему она работает именно так, а не иначе. Просто нажимать на "педали" может научиться каждый, но я надеюсь на то, что вы не хотите стать очередным скрипткиддисом. Так ведь ?)
В-седьмых, ваша "каша в голове" вполне нормальное явление. Такое бывает у многих, кто идёт на пентест.
 
Последнее редактирование:

gmontekrissto

Green Team
25.03.2020
18
10
BIT
0
Почитай про различные roadmap`ы лучше ,хотя учить все подряд не есть плохо, в вузах тоже учат всему подряд и это называется "база" , ты как бы нахватаешься всего понемногу, если ты правда новичок и не знаешь, куда себя деть, вузы как раз на такое и рассчитаны.
 

Crazy Jack

Grey Team
08.07.2017
573
89
BIT
35
15 марта 2021 года Pentestit запускает лабораторию «Test lab 15», где IT - специалисты смогут бесплатно оценить свои силы в поисках уязвимостей корпоративной сети и веб-приложениях компании.
 

nks1ck

Green Team
02.11.2020
223
106
BIT
0
15 марта 2021 года Pentestit запускает лабораторию «Test lab 15», где IT - специалисты смогут бесплатно оценить свои силы в поисках уязвимостей корпоративной сети и веб-приложениях компании.
Спасибо, что уведомил)
 

v1gman

Green Team
31.07.2020
495
523
BIT
23
Почитай про различные roadmap`ы лучше ,хотя учить все подряд не есть плохо, в вузах тоже учат всему подряд и это называется "база" , ты как бы нахватаешься всего понемногу, если ты правда новичок и не знаешь, куда себя деть, вузы как раз на такое и рассчитаны.
Ну, не всегда
всё же учить всё подряд - не всегда хорошо
потому что у новичков образуется каша в голове ИМХО
 

gmontekrissto

Green Team
25.03.2020
18
10
BIT
0
15 марта 2021 года Pentestit запускает лабораторию «Test lab 15», где IT - специалисты смогут бесплатно оценить свои силы в поисках уязвимостей корпоративной сети и веб-приложениях компании.
Оо, просто шикарно
 

v1gman

Green Team
31.07.2020
495
523
BIT
23
15 марта 2021 года Pentestit запускает лабораторию «Test lab 15», где IT - специалисты смогут бесплатно оценить свои силы в поисках уязвимостей корпоративной сети и веб-приложениях компании.
О, классно
Сейчас поделюсь ссылкой под своей статьёй)
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!