|
Привет.
Я хочу научиться ломать сайты, ищу книги базовые, методики. Из того, что видела - либо сразу статьи на сложном языке, либо набор разрозненных методов из разных сфер, которые сразу фиг освоишь, либо люди опираются на свой опыт. Я не программист, сейчас изучаю SQL. (Изучаю по книге "SQL за 10 минут" Форта + sql-ex (тренажер). Другие источники по мелочи. Начала изучать JS, книги не подобрала. Изучаю html+css. Основной источник: HTML Academy (с Кексом + курс со складчика) + еще пару курсов по верстке со складчика. Оттуда же какие-то базовые знания по http, где брать больше - пока не в курсе. Следующая тема: SQL injection, статьи (книг не нашла). Как спланировать свое обучение дальше - пока не знаю. Буду курить античат. СИ использовать не планирую вообще. Движки не изучала. Посоветуйте более-менее "фундаментальные" источники. Может ЯП какие еще нужны? PHP, Java? Must have? |
Моё личное мнение, что база может состоять из знаний/пониманий/владений:
Linux-based OS (хотя бы на уровне adv-юзера), отлично подойдет жирная книга Эви Немет + стоит разок установить себе хотя бы Arch. TCP/IP и сети в целом (LF ieucariot на ютубе - очень интересное изложение) DNS (Альбеца и Ли) HTTP (RFC) HTML/CSS/JS (htmlbook.ru и https://developer.mozilla.org) PHP (большАя чать web-приложений написано на данном языке, php.net), junior-level Python (docs.python.org), junior-level SQL (Форта неплохой выбор) PKI Apache / nginx Search engine (тот же гугль) Этого хватит для базы. В основном, лучше читать "прямую" (RFC, страницы-man и тд) документацию - то что и есть "фундаментальные" источники, ибо часто она(информация) искажена и криво изложена авторами "курсов", ну и практиковаться. Важное в обучении - составить четкий план Успехов! |
Вот такое вот охрененно огромное и очень горячее спасибо!
Буду считать себя вашим должником, r0. |
вот это для начала хорошо
Специалист | Основы Linux (2016) PCRec http://nnm-club.name/forum/viewtopic.php?t=1041957 Специалист | PHP. Уровень 1-4 (2016) PCRec [H.264] http://nnm-club.name/forum/viewtopic.php?t=1170331 Специалист | JavaScript. Уровень 1 и 2 (2016) PCRec [H.264] http://nnm-club.name/forum/viewtopic.php?t=1080196 Специалист | CEH v9 часть 1. Этичный хакинг и тестирование на проникновение (2016) PCRec http://nnm-club.name/forum/viewtopic.php?t=1073374 дальше те же курсы от специалиста как база Задания выполнять обязательно |
> Может ЯП какие еще нужны: php, python, bash, c, sql и asm.
Не советую читать книги про яп. Ибо тренды в программирование меняются почти каждый день. И в большенстве книг информация устаривает. А основы можно и в интернете прочитать. > Must have: linux, умение работать с инструментами из back track, си. ресурсы изучения: - книга: "Командная строка Linux. Полное руководство" и "карманный справочник linux". - все книги Кевина Митника и "социальные инженеры и социальные хакеры" - для изучения backtrack: google.com > работа с сетями: RFС, книга теменбаума "Компьютерные сети". > когда начнешь различать metasploit и metasploitable то можешь начать штудировать статьи с уязвимостями на owasp. |
Нашла курс от Udemy "Полный курс по кибербезопасности". Изучаю Kali.
Очевидно, что мне жизни не хватит для изучения всего этого. Не быть мне хакером. Ребят, вы оху&нные. Спасибо. |
Цитата:
|
Почитай книгу "Основы веб хакинга" by Питер Яварски
Достаточно хорошая книга, особенно для новичков... |
Цитата:
p.s. поддерживаю пост от grimnir |
Понимаю, что на информация на русском воспринимается гораздо легче и быстрее, но на инглише гораздо больше полезного и это факт.
Рассмотри такой вариант: 1. Маст-хэв bash и python, Perl (ссылки давали выше, линк на оф сайт Перл легко найти в Гугл) - следующий пункт туда же. 2. Формально расшарить любой linux: (я работаю с Kali - просто, потому что чуть меньше года назад, когда гуглил про "хацкенг" наткнулся на мануал именно по установке Kali; Уверен, что большенство *nix ОС подойдут для этой цели не хуже, так что читай, выбирай какой нравится, ставь и вперед). 3. Различные книги (в т. ч. от Российских авторов) про web-уязвимости и т.п. это хорошо, но имхо хорошо как дополнение к тому, откуда можно черпать основную информацию, а конкретно, к прямым источникам. А что можно взять за прямой источник информации об уязвимостях - официальные (и "околоофициальные" классификации, базы и методики). Поясню про некоторые: 3.1 Неоднократно вышеуказанная RFC - база, содержащая спецификации и стандарты всего, что есть в сети и не только (примеры: Протоколы TCP/IP, UPD, концепция DNS, ARP). Хочешь понять принцип работы чего-либо - вперед туда. Есть много информации на русском. Начинай с https://ru.wikipedia.org/wiki/RFC 3.2 https://ru.wikipedia.org/wiki/Common..._and_Exposures Комментарии излишне. Просто перейди по ссылке и начинай использовать как справочник. + базы уязвимостей которые упоминали выше (но по сути одно и тоже, так как почти во всех сорсах дается классификатор CVE.) 3.3 https://www.owasp.org/index.php/OWAS...le_of_Contents Выше уже говорилось. Но опять же, как и в предыдущих двух пунктах просто гигатонны сухой технической информации, читая которую первый раз, можно сойти с ума, но, а что нам остается?) Summary: Все описанное выше просто рекомендации, никогда не ограничивайся тем что советуют другие. К сожалению я сам не профи, но от себя могу посоветовать: Осваивай первые два пункта на уровне Junior, ставь ОС и начинай в соответствии с OWASP TG v4 тестировать любое web-приложение, попутно ознакамливаясь с методикой и различными уязвимостями. Если не знаешь на чем потрениться, go ahead: hackerone.com и bugcrowd.com. Разберешься. Ну и также полезно чекать требования к вакансиям типа: Пентестер, Специалист по ИБ, и тому подобное на hh.ru. Корпоративная среда развивается постоянно и требования к специалистам любого рода растут. В вакансиях часто указываются основные навыки, например: bash, PostgreSQL, умение писать скрипты на Python, навыки администрирования Linux/Windows, навыки тестирования web-приложений на безопасность. Такие дела. |
| Время: 23:22 |