Привет. Я хочу научиться ломать сайты, ищу книги базовые, методики. Из того, что видела - либо сразу статьи на сложном языке, либо набор разрозненных методов из разных сфер, которые сразу фиг освоишь, либо люди опираются на свой опыт. Я не программист, сейчас изучаю SQL. (Изучаю по книге "SQL за 10 минут" Форта + sql-ex (тренажер). Другие источники по мелочи. Начала изучать JS, книги не подобрала. Изучаю html+css. Основной источник: HTML Academy (с Кексом + курс со складчика) + еще пару курсов по верстке со складчика. Оттуда же какие-то базовые знания по http, где брать больше - пока не в курсе. Следующая тема: SQL injection, статьи (книг не нашла). Как спланировать свое обучение дальше - пока не знаю. Буду курить античат. СИ использовать не планирую вообще. Движки не изучала. Посоветуйте более-менее "фундаментальные" источники. Может ЯП какие еще нужны? PHP, Java? Must have?
Моё личное мнение, что база может состоять из знаний/пониманий/владений: Linux-based OS (хотя бы на уровне adv-юзера), отлично подойдет жирная книга Эви Немет + стоит разок установить себе хотя бы Arch. TCP/IP и сети в целом (LF ieucariot на ютубе - очень интересное изложение) DNS (Альбеца и Ли) HTTP (RFC) HTML/CSS/JS (htmlbook.ru и https://developer.mozilla.org) PHP (большАя чать web-приложений написано на данном языке, php.net), junior-level Python (docs.python.org), junior-level SQL (Форта неплохой выбор) PKI Apache / nginx Search engine (тот же гугль) Этого хватит для базы. В основном, лучше читать "прямую" (RFC, страницы-man и тд) документацию - то что и есть "фундаментальные" источники, ибо часто она(информация) искажена и криво изложена авторами "курсов", ну и практиковаться. Важное в обучении - составить четкий план Успехов!
вот это для начала хорошо Специалист | Основы Linux (2016) PCRec http://nnm-club.name/forum/viewtopic.php?t=1041957 Специалист | PHP. Уровень 1-4 (2016) PCRec [H.264] http://nnm-club.name/forum/viewtopic.php?t=1170331 Специалист | JavaScript. Уровень 1 и 2 (2016) PCRec [H.264] http://nnm-club.name/forum/viewtopic.php?t=1080196 Специалист | CEH v9 часть 1. Этичный хакинг и тестирование на проникновение (2016) PCRec http://nnm-club.name/forum/viewtopic.php?t=1073374 дальше те же курсы от специалиста как база Задания выполнять обязательно
> Может ЯП какие еще нужны: php, python, bash, c, sql и asm. Не советую читать книги про яп. Ибо тренды в программирование меняются почти каждый день. И в большенстве книг информация устаривает. А основы можно и в интернете прочитать. > Must have: linux, умение работать с инструментами из back track, си. ресурсы изучения: - книга: "Командная строка Linux. Полное руководство" и "карманный справочник linux". - все книги Кевина Митника и "социальные инженеры и социальные хакеры" - для изучения backtrack: google.com > работа с сетями: RFС, книга теменбаума "Компьютерные сети". > когда начнешь различать metasploit и metasploitable то можешь начать штудировать статьи с уязвимостями на owasp.
Нашла курс от Udemy "Полный курс по кибербезопасности". Изучаю Kali. Очевидно, что мне жизни не хватит для изучения всего этого. Не быть мне хакером. Ребят, вы оху&нные. Спасибо.
Вообщем-то изначально понятие хакер, это человек который профессионал в каком-то деле настолько, что может превзойти обычные механизмы работы этого дела в котором он профи. Так что хакером можно стать и в финансах и в бухгалтерии и в строительстве и чем угодно) но очевидно, чтоб стать хакером в конкретной IT сфере (а тут речь о вебе), то нужно хорошо знать именно его работу, а зачем уже можно и интересоваться техниками взлома. На самом деле не так все сложно и страшно, как кажется, нужно только упорно изучать, интересоваться и не заметишь как начнешь овладевать знаниями.
Почитай книгу "Основы веб хакинга" by Питер Яварски Достаточно хорошая книга, особенно для новичков...
Понимаю, что на информация на русском воспринимается гораздо легче и быстрее, но на инглише гораздо больше полезного и это факт. Рассмотри такой вариант: 1. Маст-хэв bash и python, Perl (ссылки давали выше, линк на оф сайт Перл легко найти в Гугл) - следующий пункт туда же. 2. Формально расшарить любой linux: (я работаю с Kali - просто, потому что чуть меньше года назад, когда гуглил про "хацкенг" наткнулся на мануал именно по установке Kali; Уверен, что большенство *nix ОС подойдут для этой цели не хуже, так что читай, выбирай какой нравится, ставь и вперед). 3. Различные книги (в т. ч. от Российских авторов) про web-уязвимости и т.п. это хорошо, но имхо хорошо как дополнение к тому, откуда можно черпать основную информацию, а конкретно, к прямым источникам. А что можно взять за прямой источник информации об уязвимостях - официальные (и "околоофициальные" классификации, базы и методики). Поясню про некоторые: 3.1 Неоднократно вышеуказанная RFC - база, содержащая спецификации и стандарты всего, что есть в сети и не только (примеры: Протоколы TCP/IP, UPD, концепция DNS, ARP). Хочешь понять принцип работы чего-либо - вперед туда. Есть много информации на русском. Начинай с https://ru.wikipedia.org/wiki/RFC 3.2 https://ru.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures Комментарии излишне. Просто перейди по ссылке и начинай использовать как справочник. + базы уязвимостей которые упоминали выше (но по сути одно и тоже, так как почти во всех сорсах дается классификатор CVE.) 3.3 https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents Выше уже говорилось. Но опять же, как и в предыдущих двух пунктах просто гигатонны сухой технической информации, читая которую первый раз, можно сойти с ума, но, а что нам остается?) Summary: Все описанное выше просто рекомендации, никогда не ограничивайся тем что советуют другие. К сожалению я сам не профи, но от себя могу посоветовать: Осваивай первые два пункта на уровне Junior, ставь ОС и начинай в соответствии с OWASP TG v4 тестировать любое web-приложение, попутно ознакамливаясь с методикой и различными уязвимостями. Если не знаешь на чем потрениться, go ahead: hackerone.com и bugcrowd.com. Разберешься. Ну и также полезно чекать требования к вакансиям типа: Пентестер, Специалист по ИБ, и тому подобное на hh.ru. Корпоративная среда развивается постоянно и требования к специалистам любого рода растут. В вакансиях часто указываются основные навыки, например: bash, PostgreSQL, умение писать скрипты на Python, навыки администрирования Linux/Windows, навыки тестирования web-приложений на безопасность. Такие дела.
