-
Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе
Решено Тестирования веб-уязвимостей
- Автор темы Amf
- Дата начала
Сергей Попов
Кодебай
Сергей Попов
Кодебай
Сергей Попов
Кодебай
А не легче скачать CEH чем читать но не слишком новую книгу я рекламой не занимаюсь но иногда можно и пошалить
[doublepost=1485724264,1485724036][/doublepost]
Да и не обезательно CEH есть много курсов по хакингу тоесть этичному хакингу
достаточно полезных втом числе и по веб-хакингу Может мой ответ покажется смешным)ну все равно,сканировал сайт с помощью nmap искал открытые порты потом через metasploit искал подходящие exploit и пытался залить)
merovingian
Green Team
Смотря что под этим понимать. Любая технология устарела еще в тот момент когда о ней стало известно, условно говоря все книги это книги по устаревшим технологиям, потому как в тот момент когда ты читаешь книгу по HTML 5, уже вовсю пилят 6-ку.
Это IT, тут всегда так, однако есть книги являющиеся классическими в определённом смысле, они не могут устареть по определению. Эта одна из таких книг, она учит основам, поэтапно поясняя почему происходит именно так как происходит.
А вообще, что собственно за последние 7 лет глобально изменилось в веб-хаке? Эксплоиты, XSS, SQL инъекции всё так же в ходу, и будут в ходу ровно столько сколько будут существовать PHP, SQL и JS.
Но тут поспорить сложно пока будет существовать технология будет и взлом этой технологии
ghostphisher
местный
Учить web технологии и языки с ней сопряженные. Ставить плщадку для чего? Научиться использовать сканер, который даст инфу в 70% Вам не ясную? Хотите серьезно начать - арендуйте хостинг рублей за 120 + вирутально поднимайте. Для начала поднимите простой сервер + СМS + форум, посмотрите в логи - какие там отпечатки, загляните в историю версий софта ( что бы посмотреть на узявимые места ), попробуйте простой скрипт на яве смастерить и страничку на html
ghostphisher
местный
А Вы как думали? Что сканеру дали линк и он там все найдет? Ошибаетесь - запрос надо сформировать верный, иногда руки находят больше, чем весь арсенал. А без понимания технологий поиск уязвимостей вообще бесполезен. Учите
Что есть то есть)сканер много чего мне показывает)а толку от этого 0)А Вы как думали? Что сканеру дали линк и он там все найдет? Ошибаетесь - запрос надо сформировать верный, иногда руки находят больше, чем весь арсенал. А без понимания технологий поиск уязвимостей вообще бесполезен. Учите
Мне всегда.. нравились(нравиться ) Ваши (громоские-очень умные ответы)
прочитав их у большинство новичков(от такой горы информации) отпадает все желания в обучение пентеста . Не каждый новичок знает, как поднять своей сервер(что такое сервер . скрипт) и тд. Может Amf стоит для начало изучить технику некоторых инструментов (почитать мануалы) о metasploit , nmap , Havij, sqlmap ,owasp-zap ( по ходу и понимание придет чего то больше) и тд. Так же можно почитать книгу "Тестирование на проникновение с Kali linux 2.0 на русском языке " выложенную на данном ресурсу https://codeby.net/blogs/kniga-testirovanie-na-proniknovenie-s-kali-linux-2-0-na-russkom-jazyke/
Последнее редактирование:
Можно сказать я не прям сразу с места в карьер)с Havij уже знаком,понимаю что такое БД столбцы и таблицы,а вот с metasploit,nmap,только начал знакомиться,дело в том что я не могу конкретно найти уязвимость и ее попробовать раскрутить,сканер вроде находит(ну то что он нашел мне не чего не дает)Мне всегда.. нравились(нравиться ) Ваши (громоские-очень умные ответы)
ghostphisher
местный
1) Не с этим надо знакомиться, а с тем же SQL, самому составить запрос к базе, сделать настройку БД. Админить пробовать. Я об этом и говорил - толку от инструментов, если не ясно как работать, все равно что лобзик хорошая вещь, только по незнакне им можно начать гвозди забивать, а испытав неудачу назвать его гов.м
2) Есть площадки из серии hack me, лабы. 3
3) ~~DarkNode~~ отличные статьи пишет: Тестирования на Проникновения с TestLabv10 и [URL='https://codeby.net/tags/web-application-pentesting-with-darknode/']Web Application Pentesting With DarkNode[/URL]
Я понимаю что вы опытный человек но не надо всё усложнять пока можно начать с курсов по "этичному" хакингу и с протокола TCP/IP а немного потринероватся со програмками но потом чтобы иди на более высокий уровень учить другие сетевые протоколы и web технологоииА Вы как думали? Что сканеру дали линк и он там все найдет? Ошибаетесь - запрос надо сформировать верный, иногда руки находят больше, чем весь арсенал. А без понимания технологий поиск уязвимостей вообще бесполезен. Учите
честно скажу не хочу вас совет не имеет смысла вы дали слишком сложный способ обучения который не имеет практики лучше взять что-нибудь по проще Главное постепено двигатся по лестнице а не сразу прыгать на самый высокий этаж
[doublepost=1485797046,1485796907][/doublepost]
Согласен SQL знать важно я его тоже буду учить но сначало можно поигратся с методами SQL инжекта главное понимать принцип этого метода взлома и хорошо знать инструмент а потом можно и к процесу перейти1) Не с этим надо знакомиться, а с тем же SQL, самому составить запрос к базе, сделать настройку БД. Админить пробовать. Я об этом и говорил - толку от инструментов, если не ясно как работать, все равно что лобзик хорошая вещь, только по незнакне им можно начать гвозди забивать, а испытав неудачу назвать его гов.м
2) Есть площадки из серии hack me, лабы. 3
3) ~~DarkNode~~ отличные статьи пишет: Тестирования на Проникновения с TestLabv10 и Web Application Pentesting With DarkNode
[doublepost=1485797133][/doublepost]
Но серовно я с вами согласен хорошо научится можно хакать только когда понимаешь технологию1) Не с этим надо знакомиться, а с тем же SQL, самому составить запрос к базе, сделать настройку БД. Админить пробовать. Я об этом и говорил - толку от инструментов, если не ясно как работать, все равно что лобзик хорошая вещь, только по незнакне им можно начать гвозди забивать, а испытав неудачу назвать его гов.м
2) Есть площадки из серии hack me, лабы. 3
3) ~~DarkNode~~ отличные статьи пишет: Тестирования на Проникновения с TestLabv10 и Web Application Pentesting With DarkNode
Обучение наступательной кибербезопасности в игровой форме. Начать игру!