• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Расскажите, пожалуйста, о том как происходит пентестинг вебприложения на практике

mrmourax

mrmourax

New member
12.02.2021
3
0
BIT
0
Привет. Я новенький в вашем прекрасном сообществе.
Сам я тестировщик QA Engineer с опытом 5+ лет.
Решил развиваться в сфере кибербезопасности и пентестинга.
Сейчас учу все подряд и это мне НЕ нравится.

Что я хочу?
Я хотел бы узнать, как на практике проводится петестинг веб-приложений с 0 и до конца?
То есть вот нашел я фирму, которой надо протестить сайт, допустим.
Какой первый шаг? Второй? и далее. Какие инструменты использовать на каком шаге? Чем закончить? (отчет может какой).

Я бы хотел изучать пентестинг именно так, как это делается на практике, а не как сейчас. Оооочень много материала, в голове каша.

Спасибо
 
Сортировать по дате Сортировать по голосам
M

M0r7iF3r

Green Team
01.09.2020
92
2
BIT
203
Даже не знаю. Если хочется систематически изучить именно Web, то может стоит присмотреться к WAPT? Только вот написания отчета не вижу у них в программе, но думаю это не проблема, берем любой типовой и подставляем свои данные.
Если хорошая самодисциплина, можно взять программу любого курса по тестированию Web и учиться согласно ей. Плюс в помощь такие проекты как OWASP Juice Shop и WebGoat.
 
Последнее редактирование:
За 0 Против
mrmourax

mrmourax

New member
12.02.2021
3
0
BIT
0
M0r7iF3r сказал(а):
Даже не знаю. Если хочется систематически изучить именно Web, то может стоит присмотреться к WAPT? Только вот написания отчета не вижу у них в программе, но думаю это не проблема, берем любой типовой и подставляем свои данные.
Если хорошая самодисциплина, можно взять программу любого курса по тестированию Web и учиться согласно ей. Плюс в помощь такие проекты как OWASP Juice Shop и WebGoat.
Нажмите, чтобы раскрыть...
вы сами давно в пентестинге? Может поделитесь как структурировать информацию, про курс понял, но пока хотел бы своими силами
 
За 0 Против
M

M0r7iF3r

Green Team
01.09.2020
92
2
BIT
203
mrmourax сказал(а):
вы сами давно в пентестинге? Может поделитесь как структурировать информацию, про курс понял, но пока хотел бы своими силами
Нажмите, чтобы раскрыть...
Не очень давно, чуть больше пары лет, так что сам активно учусь. Начинал с курса
Ссылка скрыта от гостей
и примерно придерживаюсь методологии. При желании, последняя версия книги слита, можно ее найти и почитать.
Еще хороши видео от IppSec, где он рассказывает по шагам как проводить тестирование машин на HackTheBox, но там не только Web.
Может еще вот этот гайд поможет структурировать порядок для Web'а.
 
За 0 Против
v1gman

v1gman

Green Team
31.07.2020
495
522
BIT
23
mrmourax сказал(а):
Привет. Я новенький в вашем прекрасном сообществе.
Сам я тестировщик QA Engineer с опытом 5+ лет.
Решил развиваться в сфере кибербезопасности и пентестинга.
Сейчас учу все подряд и это мне НЕ нравится.

Что я хочу?
Я хотел бы узнать, как на практике проводится петестинг веб-приложений с 0 и до конца?
То есть вот нашел я фирму, которой надо протестить сайт, допустим.
Какой первый шаг? Второй? и далее. Какие инструменты использовать на каком шаге? Чем закончить? (отчет может какой).

Я бы хотел изучать пентестинг именно так, как это делается на практике, а не как сейчас. Оооочень много материала, в голове каша.

Спасибо
Нажмите, чтобы раскрыть...
Ну во-первых, для таких как вы я и делал roadmap по пентесту(сам Roadmap).К слову, мне надо будет его немного переделать
Во-вторых, что вы имейте в виду под словами "всё подряд" ?
Что именно вы учите ?
В-третьих, пентест - это тот же ИБ, а он, как нам всем известно, не стоит на месте. Поэтому говорить, что "до конца" не совсем корректно. Потому что знать всё в ИБ, а в частности в том же пентест - невозможно. Банально потому что знать надо очень и очень много, а технологии не стоят на месте, а лишь улучшаются с каждым днём.
В-четвёртых, я бы советовал вам научиться пользоваться гуглом, потому что инфы по обучению много. Но вам нужно знать то, что универсального метода обучения нет и вряд ли когда-либо будет. Просто потому что все мы разные и учимся по разному.
В-пятых, могу ответить лишь по первому шагу, просто потому что это не так просто объяснить. Первый шаг такой: вы ищите максимальное количество информации по той или иной фирме, чтобы уже оттуда и отталкиваться.
В-шестых, про инструменты. Инструментов много, очень много. Хоть бери пример с тех же сканеров портов, как тот же nmap. Есть невероятное количество похожего софта, как это. Тут суть - понять, как работает эта технология, и почему она работает именно так, а не иначе. Просто нажимать на "педали" может научиться каждый, но я надеюсь на то, что вы не хотите стать очередным скрипткиддисом. Так ведь ?)
В-седьмых, ваша "каша в голове" вполне нормальное явление. Такое бывает у многих, кто идёт на пентест.
 
Последнее редактирование:
За 0 Против
gmontekrissto

gmontekrissto

Green Team
25.03.2020
18
10
BIT
0
Почитай про различные roadmap`ы лучше ,хотя учить все подряд не есть плохо, в вузах тоже учат всему подряд и это называется "база" , ты как бы нахватаешься всего понемногу, если ты правда новичок и не знаешь, куда себя деть, вузы как раз на такое и рассчитаны.
 
За 0 Против
Crazy Jack

Crazy Jack

Grey Team
08.07.2017
573
89
BIT
35
15 марта 2021 года Pentestit запускает лабораторию «Test lab 15», где IT - специалисты смогут бесплатно оценить свои силы в поисках уязвимостей корпоративной сети и веб-приложениях компании.
 
За 1 Против
nks1ck

nks1ck

Green Team
02.11.2020
223
106
BIT
0
Eugene75 сказал(а):
15 марта 2021 года Pentestit запускает лабораторию «Test lab 15», где IT - специалисты смогут бесплатно оценить свои силы в поисках уязвимостей корпоративной сети и веб-приложениях компании.
Нажмите, чтобы раскрыть...
Спасибо, что уведомил)
 
За 1 Против
v1gman

v1gman

Green Team
31.07.2020
495
522
BIT
23
gmontekrissto сказал(а):
Почитай про различные roadmap`ы лучше ,хотя учить все подряд не есть плохо, в вузах тоже учат всему подряд и это называется "база" , ты как бы нахватаешься всего понемногу, если ты правда новичок и не знаешь, куда себя деть, вузы как раз на такое и рассчитаны.
Нажмите, чтобы раскрыть...
Ну, не всегда
всё же учить всё подряд - не всегда хорошо
потому что у новичков образуется каша в голове ИМХО
 
За 0 Против
gmontekrissto

gmontekrissto

Green Team
25.03.2020
18
10
BIT
0
Eugene75 сказал(а):
15 марта 2021 года Pentestit запускает лабораторию «Test lab 15», где IT - специалисты смогут бесплатно оценить свои силы в поисках уязвимостей корпоративной сети и веб-приложениях компании.
Нажмите, чтобы раскрыть...
Оо, просто шикарно
 
За 0 Против
v1gman

v1gman

Green Team
31.07.2020
495
522
BIT
23
Eugene75 сказал(а):
15 марта 2021 года Pentestit запускает лабораторию «Test lab 15», где IT - специалисты смогут бесплатно оценить свои силы в поисках уязвимостей корпоративной сети и веб-приложениях компании.
Нажмите, чтобы раскрыть...
О, классно
Сейчас поделюсь ссылкой под своей статьёй)
 
За 0 Против
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ