Народ хочу посветить себя хакерству в веб приложениях-сайтах.ноо не знаю как правильно научится этому ремеслу пробовал в одиночку сильно сложно путаюсь теряюсь выгораю от того что топчусь на одном месте,подскажите как правильно обучится этому ремеслу и как стать хакерами веб безопасности?
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Как правильно обучатся хакерствову в веб приложениях и как хакерствовать.
- Автор темы Onyx450
- Дата начала
tryhackme.com
Ну и параллельно учиться сайты делать.
У меня так с нетворком - знаний прибавилось после разворачивания своего AD DS сервера.
Я думаю в вебе такая же схема поможет
У меня так с нетворком - знаний прибавилось после разворачивания своего AD DS сервера.
Я думаю в вебе такая же схема поможет
- Автор темы
- Добавить закладку
- #4
Тааак а как правильно двигаться в tryhackme.com
Я к тому что там очень много разных веток обучения и с какой лучше начинать и как правильно двигаться чтоб не запутаться?
Нууу с комплит бегинера
- Автор темы
- Добавить закладку
- #6
А после того как пройду раздел полного новичка куда дальше двигаться, и стоит покупать подписку?
- Автор темы
- Добавить закладку
- #7
И да, где можно найти хороший материал по обучению в создании сайтов.
Видева на ютубых ыыы
- Автор темы
- Добавить закладку
- #9
За это понятно спасибо,а на tryhackme после прохождения комплит бегинера что дальше учить чтоб не запутаться ,и что скажешь за подписку стоит ее покупать или нет?
на hackthebox потом идешь. Брать - бери, она 14 баксов стоит
цену оправдывает
- Автор темы
- Добавить закладку
- #11
Аааа я походу разобрался когда проходишь курс там идёт дальше ответвления от это курса на аналитика безопасности и тестировщика их я так понимаю тоже нужно пройти?
зависит от тебя. Можешь пройти как можно больше комнат. Как раз познаешь разные аспекты хака.
Главное проходи их вдумчиво, делай конспекты
Веб - вебом, но наличие нескольких векторов атаки - супергуд, а для этого - как раз изучай всё, что есть на трайхакми
А сайты делать на чем? PHP, Python, JS, может .NET? Если говорить про JS, то там еще ответвления.... Node.js, Vue.js, Reac, Angular. Да и все остальные ЯП богаты своими фреймворками для разработки. А что с базами данных? MS SQL, MySQL, Oracle, PostgreSQL? Может NoSQL? Тогда MongoDB? Или какой-нибудь OrientDB? А ведь код приложения и базы данных это далеко не все из вэба... есть еще сервера, микросервисы, протоколы и дохрена чего еще. Кроме того, как человек пришедший из сайто/приложения строительства, скажу, что мне это не супер помогает. Нет, конечно, наработанные годами навыки программирвоания, построения алгоритмов и т.п., дают свои плюсы. Если бы был совсем новичком, на уровне включить компьютер и найти в Google PornHub, было бы в разы сложнее. Но скажу так, что многие новые знания по новому раскрывают для меня вопросы программирования. Например, я и подумать не мог, что дублирование GET-параметров в PHP и Python обрабатывается по разному. PHP откидывает все, кроме последнего значения, а Python наоборот. В итоге, может возникнуть уязвимость.
Свой путь прокладываю через обучающие материалы PostSwigger, далее HTB. Хотя HTB жадины, за все надо им платить. При этом из России просто так не оплатить. Приходится европейских друзей дергать. ИМХО, нужно пробовать.
Согласен, путей много и многие из них, по началу вообще не понятные. Но, как показывает дальнейшее движение, все они полезные. Чем больше узнаешь, тем лучше укладываются концепции в голове, появляется обльше понимания куда и что можно засунуть. Можно сказать, учишься заново думать)))) Мне это все напоминает судоку, когда ты ищешь хоть какую-то циферку, основываясь на видимых комбинациях. А открыв новую циферку, ты получаешь новую картину и искать становится все легче и легче.
Если совсем опыта нет, лучше начать изучение с вопросов сканирования. Разобраться, какие есть инструменты, какую информацию при помощи них можно получать. И что это вообще за информация. Зачем, например, узнавать открытые порты жертвы и что означает каждый используемый термин. Как в аллегории выше, где искать следующую циферку. Дальше двигаться по мере поступления информации. Пытаться охватить все не имеет смысла. Я, например, разбил день на несколько промежутков. У меня есть время для того, чтобы пару часов проходить пути в обучалках. Остальное время я трачу на то, чтобы применять знания на практике и раскручивать.
Что касается видео на Ютуб. Видео по сайтостроению, программированию, настройке серверов - действительно много, причем, много хорошей информации на русском. Есть, конечно, лажа полнейшая.... Что касается видео по пентестингу.... я в них очень очень очень разочаровался. Чаще всего это видео какого-нибудь рэкающего индуса, который покажет, как админ случайно забыл удалить авторизационные данные из комментариев к коду. Или, как мне попадалось, видео с взломом ВП. Тип взял хэш, воткнул его в сервис и тут же получил пароль, который идеально подошел. Я открыл тот же сервис, вставил пароль жертвы и пошел нахер. ))))))
- Автор темы
- Добавить закладку
- #15
Ясно спасибо,как пройду tryhackme отпишусь.)
ТС, будь благодарен такому сообщению
Для начинающего - очень приятное чтиво. Написано не скучно и познавательно. С четкими примерами и рекомендациями. Настоятельно рекомендую.
- Автор темы
- Добавить закладку
- #18
Спасибо тоже за более подробное описания что и куда.возьму для себе на заметку.)
Вот это боевая машина. Походу асус многое пережил))
9 лет старичку) Уже и протезы вместо клавиатуры. Но он достойно показал себя в работе.