Новичок ищет роадмеп

[higherupanddown]

Приветствую собравшихся. Переодически захожу на сайт последние полгода, но так и не смог составить себе какой-либо план по изучению. Чекал закреп в шапке форума, но там в основном допотопная (как мне кажется) литература.
Хочу вклиниться в разработку злокода+научиться разваливать сайты в вебе. Знаю питон на приличном уровне, хтмл, немного жс, думаю что изучать дальше. Прошу посоветовать в каких направлениях двигаться и накидать материалов для изучения.

 

[hvb]

Первый вопрос: а зачем?
Учитывая спрос и уровень зарплат в белом IT, зачем ты хочешь вкатываться в блек?
Вот для начала на этот вопрос ответь.

Если по теме. Так сайты или малварь? Это вообще очень разное. Приличный уровень - это какой?
Для сайтов PHP в первую очередь, JS. Для малвари C++.

Почти вся информация, даже которой больше 10 лет, вполне актуальна. В вебе как минимум, все так же 3\4 веба крутится на PHP и MySQL

 

[higherupanddown]

Первый вопрос: а зачем?
Учитывая спрос и уровень зарплат в белом IT, зачем ты хочешь вкатываться в блек?

Собираюсь вебом заниматься, хочу как своеобразную вторую специальность себе, ибо только в уник поступаю, да и вообще всегда тема интересовала

Если по теме. Так сайты или малварь? Это вообще очень разное. Приличный уровень - это какой?

И то и то. Ибо интересуюсь как разработкой, так и вебом, если брать "светлую" сторону силы.

. В вебе как минимум, все так же 3\4 веба крутится на PHP и MySQL

А как же новомодные фреймворки и всякие нод жиэсы?
>Приличный уровень
Собеседование на джуна пройду

 

[hvb]

Ну я и написал первую очередь, во вторую - JS.
В любом случае пока еще веб - это PHP.

 

[KijomBa]

Собираюсь вебом заниматься, хочу как своеобразную вторую специальность себе, ибо только в уник поступаю, да и вообще всегда тема интересовала


И то и то. Ибо интересуюсь как разработкой, так и вебом, если брать "светлую" сторону силы.

А как же новомодные фреймворки и всякие нод жиэсы?
>Приличный уровень
Собеседование на джуна пройду

Раз пройдёш, имеет смысл идти, поработаешь в белую, а там и в блек не захочется.
Что бы разваливать сайты над уметь их писать, изучай PhP, JS, их фреймворки, пойми как работает всё внутри.
До этого пройдись по Owasp top 10, что бы примерно понимать на что смотреть когда практиковаться будешь.
Раз знаешь Питон, смотри в сторону Джанго, У бекенд фреймворков суть одна, вне зависимости от языка.
А лучше конечно иди джуном в белую.

 

[higherupanddown]

Раз знаешь Питон, смотри в сторону Джанго,

изучаю, даже проект делаю уже

Раз пройдёш, имеет смысл идти, поработаешь в белую, а там и в блек не захочется.

там ощущения власти нет), да и безопасником можно быть

Что бы разваливать сайты над уметь их писать, изучай PhP, JS, их фреймворки, пойми как работает всё внутри.
До этого пройдись по Owasp top 10,

а вот за это спасибо

 

[hvb]

С чего ты взял, что у тебя будет какое-то ощущение власти в блэке?

 

[pewpewpew]

Лучше выбери что-то одно, либо веб-хак, либо малварь. Темы сами по себе очень обширные, и за двумя не угонишься. Ну или потратив кучу времени и сил будешь знать обе по верхам, но быть посредственным специалистом.

Под веб-хак не нужно прям учить пхп или js, достаточно понимать и уметь читать их синтаксис. Иногда и Java нужна, и C# (ASP.NET), потому как энтерпрайз на них делают. Но не прям уж глубокие знания, а синтаксис и понимание как оно работает. В целом, как сказали выше, все работает примерно одинаково. Идешь на hackthebox (или tryhackme, там есть курс вводный) и тренишь коробочки из фри-доступа. Первое время по мануалам, потом руку набьешь и придет понимание. Плюс читать много статей с разборами взломов и техник эксплуатации. По hack the box обзоры на хабре (RalfHacker), и IppSec на ютубе. И даже с полным багажом знаний, никто не гарантирует тебе успешный результат в веб-хаке. Тут как в покере, 50% умений 50% везения (рандом). Реально может сгореть пукан.

С малварью еще сложнее, если ты не копипастер С# говна

Поэтому, да, лучше копай в django, подтяни react и иди в белую работать. И инглиш обязательно подтягивай, без него сейчас никуда.

 

[BLUA]

Лучше выбери что-то одно, либо веб-хак, либо малварь. Темы сами по себе очень обширные, и за двумя не угонишься. Ну или потратив кучу времени и сил будешь знать обе по верхам, но быть посредственным специалистом.

Под веб-хак не нужно прям учить пхп или js, достаточно понимать и уметь читать их синтаксис. Иногда и Java нужна, и C# (ASP.NET), потому как энтерпрайз на них делают. Но не прям уж глубокие знания, а синтаксис и понимание как оно работает. В целом, как сказали выше, все работает примерно одинаково. Идешь на hackthebox (или tryhackme, там есть курс вводный) и тренишь коробочки из фри-доступа. Первое время по мануалам, потом руку набьешь и придет понимание. Плюс читать много статей с разборами взломов и техник эксплуатации. По hack the box обзоры на хабре (RalfHacker), и IppSec на ютубе. И даже с полным багажом знаний, никто не гарантирует тебе успешный результат в веб-хаке. Тут как в покере, 50% умений 50% везения (рандом). Реально может сгореть пукан.

С малварью еще сложнее, если ты не копипастер С# говна

Поэтому, да, лучше копай в django, подтяни react и иди в белую работать. И инглиш обязательно подтягивай, без него сейчас никуда.

А есть ресурсы которые стоило бы читать, если смотришь в сторону веба ?

 

[peacemaker]

Олдскул решает проблемы так. Видит задачу, идет к ней по пути читая все подряд, от гугла до сопутствующих книг. Решает задачи, набирается опыта. Закрывает задачу. Радуется жизни и как самурай ищет следующую задачу.

Как совет просто выбери то что бы ты хотел сделать, и начинай двигаться в этом направлении. Бесполезное чтение книг без опыта, ни чего не даст

 

[Quake3]

Про власть смешно.
По малвари я писал http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/39427/
только как понимаю, оно слишком сложно. все хотят "вкатиться" за 3 месяца ..

 

[amgmers]

знания априорны если ты за пол года читая форум не нашёл их в своей глове значит это не твоё.

 

[hvb]

Да, мне, когда был интересен веб хакинг, я еще в бородатых годах просто ставил Havij и крутил в нем все подряд не имея почти технических знаний.

 

[Kirigaya]

Сколько ж душных чудаков в комментах... Вас послушать прям жить не захочется, не то чтобы работать в IT отрасли.
Я бы на твоем месте почитал бы слитые мануалы от conti, там несколько курсов. Если вдруг захочешь со стороны сервера заходить. А не с фронтэнда.
У меня вообще такое чувство, что у всех синдром самозванца, типо все знают дохрена, но думают, что не знают нихрена еще и других убеждают, что те тоже нихрена не знают. От этого руки опускаются. Я по себе скажу, даже с весьма ограниченными знаниями, можно заработать деньги в черную. Проверено. Мне в свое время очень помогла команда. А там и заказы появились на "работу". В любом случае желаю удачи.

 

[lonewolf]

если интересует конкретно взлом веб систем, то глянь один из тех 10 часовых курсов на ютубе (youtube.com/watch?v=3Kq1MIfTWCE) и после этого принимайся делать hackthebox.com. там все обьясняется и постепенно повышается уровень сложности. сломав боксов 100, сможешь уже ломать многие сайты, но учитывай что это займет какое то время)

 

[Burnbrighter]

Роадмеп в блек
Для веба вот этот курс очень хорош:

Web Security Academy: Free Online Training from PortSwigger

The Web Security Academy is a free online training center for web application security, brought to you by PortSwigger. Create an account to get started.

portswigger.net