ANTICHAT

ANTICHAT (https://forum.antichat.io/index.php)
-   Этичный хакинг или пентестинг (https://forum.antichat.io/forumdisplay.php?f=209)
-   -   Тестирования веб-уязвимостей (https://forum.antichat.io/showthread.php?t=559012)

Amf 30.01.2017 00:19

Вобщем хотелось бы узнать с чего начать это нелегкое дело?что почитать?стоит ли ставить сразу ставить площадку для тестирования?

Сергей Попов 30.01.2017 00:22

https://codeby.net/threads/kniga-dlja-nachinajuschix-xakerov.59001/

Amf 30.01.2017 00:27

Цитата:


WebWare Team сказал(а):

https://codeby.net/threads/kniga-dlja-nachinajuschix-xakerov.59001/

Уже скачал,Спасибо)за 7 лет инфа не устарела?

Сергей Попов 30.01.2017 00:34

Цитата:


Amf сказал(а):

с чего начать



Amf 30.01.2017 00:40

Еще вопрос такой,вечно как не пытаюсь залить exploit ответ один
Exploit completed, but no session was created.
я до такой степени кривой?)или explot все таки не подходит и надо браться за другой?

Сергей Попов 30.01.2017 00:43

Какой эксплойт, с помощью чего и куда ? Подробно пож...та.

nikos 30.01.2017 01:11

Цитата:


WebWare Team сказал(а):

https://codeby.net/threads/kniga-dlja-nachinajuschix-xakerov.59001/

А не легче скачать CEH чем читать но не слишком новую книгу я рекламой не занимаюсь но иногда можно и пошалить
[doublepost=1485724264,1485724036][/doublepost]

Цитата:


WebWare Team сказал(а):

https://codeby.net/threads/kniga-dlja-nachinajuschix-xakerov.59001/

Да и не обезательно CEH есть много курсов по хакингу тоесть этичному хакингу достаточно полезных втом числе и по веб-хакингу

Amf 30.01.2017 01:36

Цитата:


WebWare Team сказал(а):

Какой эксплойт, с помощью чего и куда ? Подробно пож...та.


Может мой ответ покажется смешным)ну все равно,сканировал сайт с помощью nmap искал открытые порты потом через metasploit искал подходящие exploit и пытался залить)

merovingian 30.01.2017 01:53

Цитата:


Amf сказал(а):

Уже скачал,Спасибо)за 7 лет инфа не устарела?


Смотря что под этим понимать. Любая технология устарела еще в тот момент когда о ней стало известно, условно говоря все книги это книги по устаревшим технологиям, потому как в тот момент когда ты читаешь книгу по HTML 5, уже вовсю пилят 6-ку.

Это IT, тут всегда так, однако есть книги являющиеся классическими в определённом смысле, они не могут устареть по определению. Эта одна из таких книг, она учит основам, поэтапно поясняя почему происходит именно так как происходит.

А вообще, что собственно за последние 7 лет глобально изменилось в веб-хаке? Эксплоиты, XSS, SQL инъекции всё так же в ходу, и будут в ходу ровно столько сколько будут существовать PHP, SQL и JS.

nikos 30.01.2017 01:55

Цитата:


merovingian сказал(а):

Смотря что под этим понимать. Любая технология устарела еще в тот момент когда о ней стало известно, условно говоря все книги это книги по устаревшим технологиям, потому как в тот момент когда ты читаешь книгу по HTML 5, уже вовсю пилят 6-ку.

Это IT, тут всегда так, однако есть книги являющиеся классическими в определённом смысле, они не могут устареть по определению. Эта одна из таких книг, она учит основам, поэтапно поясняя почему происходит именно так как происходит.

А вообще, что собственно за последние 7 лет глобально изменилось в веб-хаке? Эксплоиты, XSS, SQL инъекции всё так же в ходу, и будут в ходу ровно столько сколько будут существовать PHP, SQL и JS.


Но тут поспорить сложно пока будет существовать технология будет и взлом этой технологии

ghostphisher 30.01.2017 13:19

Цитата:


Amf сказал(а):

Вобщем хотелось бы узнать с чего начать это нелегкое дело?что почитать?стоит ли ставить сразу ставить площадку для тестирования?


Учить web технологии и языки с ней сопряженные. Ставить плщадку для чего? Научиться использовать сканер, который даст инфу в 70% Вам не ясную? Хотите серьезно начать - арендуйте хостинг рублей за 120 + вирутально поднимайте. Для начала поднимите простой сервер + СМS + форум, посмотрите в логи - какие там отпечатки, загляните в историю версий софта ( что бы посмотреть на узявимые места ), попробуйте простой скрипт на яве смастерить и страничку на html

Amf 30.01.2017 14:46

Цитата:


ghostphisher сказал(а):

Учить web технологии и языки с ней сопряженные. Ставить плщадку для чего? Научиться использовать сканер, который даст инфу в 70% Вам не ясную? Хотите серьезно начать - арендуйте хостинг рублей за 120 + вирутально поднимайте. Для начала поднимите простой сервер + СМS + форум, посмотрите в логи - какие там отпечатки, загляните в историю версий софта ( что бы посмотреть на узявимые места ), попробуйте простой скрипт на яве смастерить и страничку на html


УХХХ))Будет Сложно)

ghostphisher 30.01.2017 14:51

Цитата:


Amf сказал(а):

УХХХ))Будет Сложно)


А Вы как думали? Что сканеру дали линк и он там все найдет? Ошибаетесь - запрос надо сформировать верный, иногда руки находят больше, чем весь арсенал. А без понимания технологий поиск уязвимостей вообще бесполезен. Учите

Amf 30.01.2017 16:04

Цитата:


ghostphisher сказал(а):

А Вы как думали? Что сканеру дали линк и он там все найдет? Ошибаетесь - запрос надо сформировать верный, иногда руки находят больше, чем весь арсенал. А без понимания технологий поиск уязвимостей вообще бесполезен. Учите

Что есть то есть)сканер много чего мне показывает)а толку от этого 0)

thunder 30.01.2017 16:59

Цитата:


ghostphisher сказал(а):

Учить web технологии и языки с ней сопряженные. Ставить плщадку для чего? Научиться использовать сканер, который даст инфу в 70% Вам не ясную? Хотите серьезно начать - арендуйте хостинг рублей за 120 + вирутально поднимайте. Для начала поднимите простой сервер + СМS + форум, посмотрите в логи - какие там отпечатки, загляните в историю версий софта ( что бы посмотреть на узявимые места ), попробуйте простой скрипт на яве смастерить и страничку на html


Мне всегда.. нравились(нравиться ) Ваши (громоские-очень умные ответы) прочитав их у большинство новичков(от такой горы информации) отпадает все желания в обучение пентеста . Не каждый новичок знает, как поднять своей сервер(что такое сервер . скрипт) и тд. Может Amf стоит для начало изучить технику некоторых инструментов (почитать мануалы) о metasploit , nmap , Havij, sqlmap ,owasp-zap ( по ходу и понимание придет чего то больше) и тд. Так же можно почитать книгу "Тестирование на проникновение с Kali linux 2.0 на русском языке " выложенную на данном ресурсу https://codeby.net/blogs/kniga-testirovanie-na-proniknovenie-s-kali-linux-2-0-na-russkom-jazyke/

Amf 30.01.2017 18:35

Цитата:


thunder сказал(а):

Мне всегда.. нравились(нравиться ) Ваши (громоские-очень умные ответы) прочитав их у большинство новичков(от такой горы информации) отпадает все желания в обучение пентеста . Не каждый новичок знает, как поднять своей сервер(что такое сервер . скрипт) и тд. Может Amf стоит для начало изучить технику некоторых инструментов (почитать мануалы) о metasploit , nmap , Havij, sqlmap ,owasp-zap ( по ходу и понимание придет чего то больше) и тд. Так же можно почитать книгу "Тестирование на проникновение с Kali linux 2.0 на русском языке " выложенную на данном ресурсу https://codeby.net/blogs/kniga-testirovanie-na-proniknovenie-s-kali-linux-2-0-na-russkom-jazyke/

Можно сказать я не прям сразу с места в карьер)с Havij уже знаком,понимаю что такое БД столбцы и таблицы,а вот с metasploit,nmap,только начал знакомиться,дело в том что я не могу конкретно найти уязвимость и ее попробовать раскрутить,сканер вроде находит(ну то что он нашел мне не чего не дает)

ghostphisher 30.01.2017 19:30

Цитата:


Amf сказал(а):

Можно сказать я не прям сразу с места в карьер)с Havij уже знаком,понимаю что такое БД столбцы и таблицы,а вот с metasploit,nmap,только начал знакомиться


1) Не с этим надо знакомиться, а с тем же SQL, самому составить запрос к базе, сделать настройку БД. Админить пробовать. Я об этом и говорил - толку от инструментов, если не ясно как работать, все равно что лобзик хорошая вещь, только по незнакне им можно начать гвозди забивать, а испытав неудачу назвать его гов.м

2) Есть площадки из серии hack me, лабы. 3
3) ~~DarkNode~~ отличные статьи пишет: Тестирования на Проникновения с TestLabv10 и Web Application Pentesting With DarkNode

d3l373d 30.01.2017 19:33

Не забудьте шарп.

nikos 30.01.2017 21:25

Цитата:


ghostphisher сказал(а):

А Вы как думали? Что сканеру дали линк и он там все найдет? Ошибаетесь - запрос надо сформировать верный, иногда руки находят больше, чем весь арсенал. А без понимания технологий поиск уязвимостей вообще бесполезен. Учите

Я понимаю что вы опытный человек но не надо всё усложнять пока можно начать с курсов по "этичному" хакингу и с протокола TCP/IP а немного потринероватся со програмками но потом чтобы иди на более высокий уровень учить другие сетевые протоколы и web технологоии честно скажу не хочу вас совет не имеет смысла вы дали слишком сложный способ обучения который не имеет практики лучше взять что-нибудь по проще
Цитата:


Amf сказал(а):

Что есть то есть)сканер много чего мне показывает)а толку от этого 0)


Главное постепено двигатся по лестнице а не сразу прыгать на самый высокий этаж
[doublepost=1485797046,1485796907][/doublepost]

Цитата:


ghostphisher сказал(а):

1) Не с этим надо знакомиться, а с тем же SQL, самому составить запрос к базе, сделать настройку БД. Админить пробовать. Я об этом и говорил - толку от инструментов, если не ясно как работать, все равно что лобзик хорошая вещь, только по незнакне им можно начать гвозди забивать, а испытав неудачу назвать его гов.м

2) Есть площадки из серии hack me, лабы. 3
3) ~~DarkNode~~ отличные статьи пишет: Тестирования на Проникновения с TestLabv10 иWeb Application Pentesting With DarkNode

Согласен SQL знать важно я его тоже буду учить но сначало можно поигратся с методами SQL инжекта главное понимать принцип этого метода взлома и хорошо знать инструмент а потом можно и к процесу перейти
[doublepost=1485797133][/doublepost]

Цитата:


ghostphisher сказал(а):

1) Не с этим надо знакомиться, а с тем же SQL, самому составить запрос к базе, сделать настройку БД. Админить пробовать. Я об этом и говорил - толку от инструментов, если не ясно как работать, все равно что лобзик хорошая вещь, только по незнакне им можно начать гвозди забивать, а испытав неудачу назвать его гов.м

2) Есть площадки из серии hack me, лабы. 3
3) ~~DarkNode~~ отличные статьи пишет: Тестирования на Проникновения с TestLabv10 иWeb Application Pentesting With DarkNode

Но серовно я с вами согласен хорошо научится можно хакать только когда понимаешь технологию


Время: 16:59