С чего начать изучение пентестинга?

[sxan23]

Хочу начать изучать пентестинг , научиться находить веб уязвимости , но не понимаю с чего начинать . Либо нахожу очень старые книги/видосы , либо не для новичков . Подскажите , пожалуйста , что читать или смотреть новичкам?

 

[el84]

If you just want to locate vulnerable hosts (I mean vulnerable to well know vulns), you just need to use some scanner with some techniques of recon together. If you want to find new vulnerabilities on your own you will need to put a big effort on this and there is no quick manual that will teach everything. For the first case there is a lot of topics here on XSS, almost all weeks people are asking how to begin or how to get started on hacking, using the search and looking in those previous topics is a good start.

And about the "are not for beginners", try to change the way you think about information, if you can't understand something so some information is missing and you will need to do some research to understand whatever you are reading and trying to understand. Also try to be more specific on your goals and you will find fresh content more easy, "pentest" is a too general term. Lets say you want to know more about Web vulnerabilities which leads to RCE in Java application, so your scope less general and your searches will return better content.

 

[yixfwe]

если вообще ничего не знашеь, то tryhackme там для новиков очень доступно все объясняют+практика

 

[HostBost]

что читать или смотреть новичкам?

стоит научиться пользоваться поиском по форуму
hxxps://portswigger.net/

 

[xiwqt]

Youtube

 

[sasha-meteor]

Из-за хренового зрения нет возможности проводить много времени за компом и тратить время на изучение всего и вся. © Bassterlord

Видишь, даже не нужно знать всё и вся, что бы пентестить. Практикуйся.

 

[sxan23]

If you just want to locate vulnerable hosts (I mean vulnerable to well know vulns), you just need to use some scanner with some techniques of recon together. If you want to find new vulnerabilities on your own you will need to put a big effort on this and there is no quick manual that will teach everything. For the first case there is a lot of topics here on XSS, almost all weeks people are asking how to begin or how to get started on hacking, using the search and looking in those previous topics is a good start.

And about the "are not for beginners", try to change the way you think about information, if you can't understand something so some information is missing and you will need to do some research to understand whatever you are reading and trying to understand. Also try to be more specific on your goals and you will find fresh content more easy, "pentest" is a too general term. Lets say you want to know more about Web vulnerabilities which leads to RCE in Java application, so your scope less general and your searches will return better content.

thx

 

[CyberAmerica]

если вообще ничего не знашеь, то tryhackme там для новиков очень доступно все объясняют+практика

hackthebox как алтернатива tryhackme
Оба отличные сайты

 

[Eleven]

Все сразу не приходит. Даже актуальную инфу мозгу нужно переварить и понять как всё работает. Нужно время

 

[Adderall]

Из-за хренового зрения нет возможности проводить много времени за компом и тратить время на изучение всего и вся. © Bassterlord

Видишь, даже не нужно знать всё и вся, что бы пентестить. Практикуйся.

а что значит твой коментарий?

что скажите по поводу школ по пентестингу которые в достаточном количестве по россии
гарантируют после обучения трудоустройство .

 

[killthenetwork]

Готовых решений не существует. Тебе нужно учиться использовать Google. Все люди разные.

 

[Nodejson]

Learn about vulnhub

 

[Lawyer]

Тебе нужно найти какой то начальный курс , лучше всего с ментором который будет помогать , потом уже когда будет какая то основа сможешь сам искать нужный тебе материал в Google и других источниках. Не встречал ни одного человека который бы при помощи google чему то научился с 0.

 

[Super Crypt]

Тебе нужно найти какой то начальный курс , лучше всего с ментором который будет помогать , потом уже когда будет какая то основа сможешь сам искать нужный тебе материал в Google и других источниках. Не встречал ни одного человека который бы при помощи google чему то научился с 0.

Привет

 

[HostBost]

Не встречал ни одного человека который бы при помощи google чему то научился с 0.

Боря с его слов из статьи

Привет

"А фото так, из юности привет" ©

 

[Anton_Dyatlov]

у каждого свой подход но я бы посоветов
1.) Можешь начать с изучения верстки HTML, CSS, JS, Python. Также изучи, что такое базы данных, как их подключать и т.д. Как можно проводить пентест, если не знаешь, как это работает, а также учи команды Linux.

2.) Ещё бы посоветовал изучать что такое сети, TCP/IP, UDP, NAT, DSCP, а также овасп топ 10 и как эти уязвимости появляются. Также изучи, как работают сканеры уязвимостей, различные методы атак, такие как клиентские техники тестирования (XSS, CSRF, CSTI, CSS Injection, CORS, Websockets hijacking, Clickjacking, Localstorage, и т.д.). бэкенд-техники тестирования (SSRF, SSTI, SQLi, IDOR, Broken OAUTH, и т.д.).

3.) Теория, конечно, хороша, но практика ещё лучше. Поэтому практикуйся на TryHackMe и HackTheBox. когда станет скучно можешь пойти на bug bounty

 

[Quake3]

стоит научиться пользоваться поиском по форуму

Всегда удивляют подобные темы. Люди мечтают научиться получать закрытую инфу, при этом не могут получить открытую.

ТС, на форуме полно тем "как стать хакером" и т.п., найди и изучи их сам. Пусть это будет первый урок по пентесту.

 

[n1tr0]

portswigger.net/tryhackme/hackthebox -> читайте отчеты hackerone -> bugbounty

 

[ski]

The Web Application Hacker's Handbook: V2