Решено Тестирования веб-уязвимостей

[Amf]

Вобщем хотелось бы узнать с чего начать это нелегкое дело?что почитать?стоит ли ставить сразу ставить площадку для тестирования?

 

[Сергей Попов]

https://codeby.net/threads/kniga-dlja-nachinajuschix-xakerov.59001/

 

[Amf]

https://codeby.net/threads/kniga-dlja-nachinajuschix-xakerov.59001/

Уже скачал,Спасибо)за 7 лет инфа не устарела?

 

[Сергей Попов]

с чего начать

 

[Amf]

Еще вопрос такой,вечно как не пытаюсь залить exploit ответ один
Exploit completed, but no session was created.
я до такой степени кривой?)или explot все таки не подходит и надо браться за другой?

 

[Сергей Попов]

Какой эксплойт, с помощью чего и куда ? Подробно пож...та.

 

[nikos]

https://codeby.net/threads/kniga-dlja-nachinajuschix-xakerov.59001/

А не легче скачать CEH чем читать но не слишком новую книгу я рекламой не занимаюсь но иногда можно и пошалить
[doublepost=1485724264,1485724036][/doublepost]

https://codeby.net/threads/kniga-dlja-nachinajuschix-xakerov.59001/

Да и не обезательно CEH есть много курсов по хакингу тоесть этичному хакингу достаточно полезных втом числе и по веб-хакингу

 

[Amf]

Какой эксплойт, с помощью чего и куда ? Подробно пож...та.

Может мой ответ покажется смешным)ну все равно,сканировал сайт с помощью nmap искал открытые порты потом через metasploit искал подходящие exploit и пытался залить)

 

[merovingian]

Уже скачал,Спасибо)за 7 лет инфа не устарела?

Смотря что под этим понимать. Любая технология устарела еще в тот момент когда о ней стало известно, условно говоря все книги это книги по устаревшим технологиям, потому как в тот момент когда ты читаешь книгу по HTML 5, уже вовсю пилят 6-ку.

Это IT, тут всегда так, однако есть книги являющиеся классическими в определённом смысле, они не могут устареть по определению. Эта одна из таких книг, она учит основам, поэтапно поясняя почему происходит именно так как происходит.

А вообще, что собственно за последние 7 лет глобально изменилось в веб-хаке? Эксплоиты, XSS, SQL инъекции всё так же в ходу, и будут в ходу ровно столько сколько будут существовать PHP, SQL и JS.

 

[nikos]

Смотря что под этим понимать. Любая технология устарела еще в тот момент когда о ней стало известно, условно говоря все книги это книги по устаревшим технологиям, потому как в тот момент когда ты читаешь книгу по HTML 5, уже вовсю пилят 6-ку.

Это IT, тут всегда так, однако есть книги являющиеся классическими в определённом смысле, они не могут устареть по определению. Эта одна из таких книг, она учит основам, поэтапно поясняя почему происходит именно так как происходит.

А вообще, что собственно за последние 7 лет глобально изменилось в веб-хаке? Эксплоиты, XSS, SQL инъекции всё так же в ходу, и будут в ходу ровно столько сколько будут существовать PHP, SQL и JS.

Но тут поспорить сложно пока будет существовать технология будет и взлом этой технологии

 

[ghostphisher]

Вобщем хотелось бы узнать с чего начать это нелегкое дело?что почитать?стоит ли ставить сразу ставить площадку для тестирования?

Учить web технологии и языки с ней сопряженные. Ставить плщадку для чего? Научиться использовать сканер, который даст инфу в 70% Вам не ясную? Хотите серьезно начать - арендуйте хостинг рублей за 120 + вирутально поднимайте. Для начала поднимите простой сервер + СМS + форум, посмотрите в логи - какие там отпечатки, загляните в историю версий софта ( что бы посмотреть на узявимые места ), попробуйте простой скрипт на яве смастерить и страничку на html

 

[Amf]

Учить web технологии и языки с ней сопряженные. Ставить плщадку для чего? Научиться использовать сканер, который даст инфу в 70% Вам не ясную? Хотите серьезно начать - арендуйте хостинг рублей за 120 + вирутально поднимайте. Для начала поднимите простой сервер + СМS + форум, посмотрите в логи - какие там отпечатки, загляните в историю версий софта ( что бы посмотреть на узявимые места ), попробуйте простой скрипт на яве смастерить и страничку на html

УХХХ))Будет Сложно)

 

[ghostphisher]

УХХХ))Будет Сложно)

А Вы как думали? Что сканеру дали линк и он там все найдет? Ошибаетесь - запрос надо сформировать верный, иногда руки находят больше, чем весь арсенал. А без понимания технологий поиск уязвимостей вообще бесполезен. Учите

 

[Amf]

А Вы как думали? Что сканеру дали линк и он там все найдет? Ошибаетесь - запрос надо сформировать верный, иногда руки находят больше, чем весь арсенал. А без понимания технологий поиск уязвимостей вообще бесполезен. Учите

Что есть то есть)сканер много чего мне показывает)а толку от этого 0)

 

[thunder]

Учить web технологии и языки с ней сопряженные. Ставить плщадку для чего? Научиться использовать сканер, который даст инфу в 70% Вам не ясную? Хотите серьезно начать - арендуйте хостинг рублей за 120 + вирутально поднимайте. Для начала поднимите простой сервер + СМS + форум, посмотрите в логи - какие там отпечатки, загляните в историю версий софта ( что бы посмотреть на узявимые места ), попробуйте простой скрипт на яве смастерить и страничку на html

Мне всегда.. нравились(нравиться ) Ваши (громоские-очень умные ответы) прочитав их у большинство новичков(от такой горы информации) отпадает все желания в обучение пентеста . Не каждый новичок знает, как поднять своей сервер(что такое сервер . скрипт) и тд. Может Amf стоит для начало изучить технику некоторых инструментов (почитать мануалы) о metasploit , nmap , Havij, sqlmap ,owasp-zap ( по ходу и понимание придет чего то больше) и тд. Так же можно почитать книгу "Тестирование на проникновение с Kali linux 2.0 на русском языке " выложенную на данном ресурсу https://codeby.net/blogs/kniga-testirovanie-na-proniknovenie-s-kali-linux-2-0-na-russkom-jazyke/

 

[Amf]

Мне всегда.. нравились(нравиться ) Ваши (громоские-очень умные ответы) прочитав их у большинство новичков(от такой горы информации) отпадает все желания в обучение пентеста . Не каждый новичок знает, как поднять своей сервер(что такое сервер . скрипт) и тд. Может Amf стоит для начало изучить технику некоторых инструментов (почитать мануалы) о metasploit , nmap , Havij, sqlmap ,owasp-zap ( по ходу и понимание придет чего то больше) и тд. Так же можно почитать книгу "Тестирование на проникновение с Kali linux 2.0 на русском языке " выложенную на данном ресурсу https://codeby.net/blogs/kniga-testirovanie-na-proniknovenie-s-kali-linux-2-0-na-russkom-jazyke/

Можно сказать я не прям сразу с места в карьер)с Havij уже знаком,понимаю что такое БД столбцы и таблицы,а вот с metasploit,nmap,только начал знакомиться,дело в том что я не могу конкретно найти уязвимость и ее попробовать раскрутить,сканер вроде находит(ну то что он нашел мне не чего не дает)

 

[ghostphisher]

Можно сказать я не прям сразу с места в карьер)с Havij уже знаком,понимаю что такое БД столбцы и таблицы,а вот с metasploit,nmap,только начал знакомиться

1) Не с этим надо знакомиться, а с тем же SQL, самому составить запрос к базе, сделать настройку БД. Админить пробовать. Я об этом и говорил - толку от инструментов, если не ясно как работать, все равно что лобзик хорошая вещь, только по незнакне им можно начать гвозди забивать, а испытав неудачу назвать его гов.м

2) Есть площадки из серии hack me, лабы. 3
3) ~~DarkNode~~ отличные статьи пишет: Тестирования на Проникновения с TestLabv10 и [URL='https://codeby.net/tags/web-application-pentesting-with-darknode/']Web Application Pentesting With DarkNode[/URL]

 

[SooLFaa]

Не забудьте шарп.

 

[nikos]

А Вы как думали? Что сканеру дали линк и он там все найдет? Ошибаетесь - запрос надо сформировать верный, иногда руки находят больше, чем весь арсенал. А без понимания технологий поиск уязвимостей вообще бесполезен. Учите

Я понимаю что вы опытный человек но не надо всё усложнять пока можно начать с курсов по "этичному" хакингу и с протокола TCP/IP а немного потринероватся со програмками но потом чтобы иди на более высокий уровень учить другие сетевые протоколы и web технологоии честно скажу не хочу вас совет не имеет смысла вы дали слишком сложный способ обучения который не имеет практики лучше взять что-нибудь по проще

Что есть то есть)сканер много чего мне показывает)а толку от этого 0)

Главное постепено двигатся по лестнице а не сразу прыгать на самый высокий этаж
[doublepost=1485797046,1485796907][/doublepost]

1) Не с этим надо знакомиться, а с тем же SQL, самому составить запрос к базе, сделать настройку БД. Админить пробовать. Я об этом и говорил - толку от инструментов, если не ясно как работать, все равно что лобзик хорошая вещь, только по незнакне им можно начать гвозди забивать, а испытав неудачу назвать его гов.м

2) Есть площадки из серии hack me, лабы. 3
3) ~~DarkNode~~ отличные статьи пишет: Тестирования на Проникновения с TestLabv10 и Web Application Pentesting With DarkNode

Согласен SQL знать важно я его тоже буду учить но сначало можно поигратся с методами SQL инжекта главное понимать принцип этого метода взлома и хорошо знать инструмент а потом можно и к процесу перейти
[doublepost=1485797133][/doublepost]

1) Не с этим надо знакомиться, а с тем же SQL, самому составить запрос к базе, сделать настройку БД. Админить пробовать. Я об этом и говорил - толку от инструментов, если не ясно как работать, все равно что лобзик хорошая вещь, только по незнакне им можно начать гвозди забивать, а испытав неудачу назвать его гов.м

2) Есть площадки из серии hack me, лабы. 3
3) ~~DarkNode~~ отличные статьи пишет: Тестирования на Проникновения с TestLabv10 и Web Application Pentesting With DarkNode

Но серовно я с вами согласен хорошо научится можно хакать только когда понимаешь технологию