🌐 چگونه می توانیم یک پنچر وب شوید – تیم امنیت اطلاعات

ازvpn

شما می توانید زمان زیادی را صرف تلاش برای یافتن پاسخ این سؤال کنید.

در این مقاله سعی خواهم کرد خلاصه هر آنچه را که آموخته ام وقتی که من کار خودم را از یک طرف ، در حرفه همکارانم و آنها جستجو کردم ، خلاصه کنم. زمینه.

تفکر b ایمنی

این چیز احتمالاً مهمتر از دانش فنی است ، این چیزی است که من آن را "تفکر ایمنی" می نامم.

این یک دیدگاه یا یک روش تفکر است.

بیشتر افرادی که در زمینه امنیت اطلاعات فعالیت می کنند ، دانش فنی ندارند ، اما در زمینه امنیت راهی برای تفکر دارند ، این بدان معنی است که آنها می توانند سیستمها و حتی به طور گسترده تری ، کل دنیا را به طور انتقادی ارزیابی کنند. مواردی که می توانند به اشتباه انجام شوند یا می توانند به صورت مخرب مورد استفاده قرار گیرند.

یک پنتستر باید یاد بگیرد وقتی یک خطا را در یک سیستم ، شبکه یا کد پیدا می کند خوشحال باشد.

به عنوان مثال ، چرا توسعه دهندگان نباید کد خود را آزمایش کنند؟ [19659007] زیرا آنچه آنها می خواهند آن را به کار گیرند.

اما آزمایش کننده می خواهد همه چیز را بشکند و بنابراین وی با استفاده از آزمایش های بدتر کد را بررسی می کند.

چگونه می توانید این سیستم را فریب دهید؟

چگونه می توان محافظت کرد؟

چه اطلاعات محرمانه است و چگونه می توان به آن دسترسی داشت؟

لازم است این تفکر ارزشیابی مداوم را توسعه دهید که در آن همیشه به دنبال مواردی باشید که ممکن است به اشتباه نرسند.

دانش فنی

ابزارهای جدید ، چارچوب های جدید همیشه ظاهر خواهند شد.

فکر می کنم هدف اصلی این است که اصول را یاد بگیرید و همچنان که کار می کنید خود را در این مسیر توسعه دهید.

و در اینجا اصول اولیه وجود دارد:

  • HTTP: شما باید پروتکل HTTP را بفهمید ، چگونه درخواست ها به سرور ارسال می شوند و پاسخ ها چگونه برگردانده می شوند. . خوشبختانه ، HTTP بسیار سرراست است ، بنابراین نباید یک مورد دشوار باشد.
  • SSL: به طور متوسط ​​، شما مجبور نیستید بیش از حد با SSL بطور روزافزونی کار کنید ، اما باید بدانید که چیست.
  • برنامه های وب: شما نیاز دارید درک اساسی در مورد نحوه عملکرد برنامه های وب داشته باشید. توصیه می کنم به PHP توجه کنید زیرا این یک روش نسبتاً سنتی برای برنامه نویسی برنامه های وب است و نگاهی به چارچوب های MVC مانند django یا Ruby on Rails دارد. من فکر نمی کنم شما نیاز به یک توسعه دهنده وب داشته باشید تا بتوانید یک پنتنستر خوب باشید ، اما باید بتوانید تصور کنید چه اتفاقی می افتد در سرور هنگام تست برنامه.
  • مرورگرها: شما باید یک ایده کلی در مورد نحوه کار مرورگرها داشته باشید. زیرا نیمی از سطح حمله است. من در اینجا منظورم مواردی از قبیل نحوه نمایش صفحات ، نحوه کار کوکی ها ، نحوه کار با همان Origin Policy Policy و غیره
  • JavaScript: 99٪ برنامه های وب از JS تا حدی استفاده می کنند ، بنابراین باید درک کنید که چگونه مورد استفاده در یک مرورگر (به عنوان مثال XMLHttpRequest) ، و حداقل قادر به خواندن کد JS و اشکال زدایی آن در یک مرورگر هستید.
  • شبکه ها: برای آزمایش وب خالص ، شما نیازی به درک عمیق از پشته شبکه اصلی (TCP / IP ) ، اما این مطمئناً یک امتیاز است.
  • HTML: از آنجایی که هنوز هم ستون اصلی همه صفحات وب است ، HTML برای درک پنت هاست بسیار مهم است.

تکنیک های حمله

البته شما باید روش های اصلی حمله را یاد بگیرید ، تا حدی زیرا آنها اولین قدم برای هک کردن هر برنامه کاربردی هستند ، و همچنین به این دلیل است که به شما کمک می کنند چگونگی عملکرد این روش ها را درک کنید ، و این کار برای شما مناسب خواهد بود که شروع به ایجاد حملات خود کنید.

O WASP Top 10 یک نقطه شروع بسیار خوب است.

در اینجا لیستی از حملات اصلی که باید بدانید وجود دارد:

  • اسکریپت کراسیت
  • درخواست کلاهبرداری از طریق کلاهبرداری
  • دسترسی مستقیم به URL
  • ربودن
  • تزریق SQL

و می توانید سعی کنید همه این موارد را در غرفه های REAL در این دوره با دوستان ما از codeby.net

شرح دوره در پنجره برنامه های وب

اجرا کنید. فهرست کامل مطالب بیش از 135 امتیاز است ، از جمله درس های ویدیویی و آزمایشگاه ها این یکی از قدرتمندترین دوره های تاریخ Runet در موضوع تست نفوذ نفوذ وب (WAPT) است.

هشدار! برای بدست آوردن یک درس دیگر وظایف آزمون و حداقل نمره وجود دارد.

  • تیم دوره: BadBlackHat @ al04e @ r0hack @ pr0phet @ دکتر لفا @ sinner67 @ n01n02h @ Bidlo111
  • این افراد کی هستند؟ ] ] پیروزی تیم codebay در آزمایشگاه 12th pentestite ؛
  • چه چیزی می دانید؟ مواد ویدئویی با کتابچه های راهنمای ، دستورالعمل های دقیق. دسترسی به آزمایشگاه با سیستم های آسیب پذیر ؛
  • چرا ما و نه دوره های دیگر؟ افراد زیادی در ایجاد دوره تلاش می کنند. دوره کاملاً نویسندگی با مثالهای عملی. شما با دست هدایت می شوید. آنها دوباره و دوباره توضیح خواهند داد تا این موضوع به طور کامل فهمیده شود ؛
  • آنچه من بدست می آورم: دسترسی به مطالب ویدئویی و متنی ، و همچنین مشاوره های شخصی در این دوره ؛
  • چه چیز دیگری: دسترسی به چت و خصوصی. بخش از دوره در انجمن برای مدت زمان آموزش ، دسترسی به یک سال حق بیمه ؛
  • برای چه کسی این دوره است؟ برای افرادی که می خواهند ماهیت هک کردن سیستم های رایانه ای و اقدامات مربوط به محافظت در برابر حملات را درک کنند ؛
  • پیش سفارش کی است؟ 12 آگوست 2018 ؛
  • چه موقع آزادی؟ اول نوامبر 2018.

مدت زمان مطالعه: ما d Ostup به مدت 4.5 ماه برای غوطه وری کامل در موضوع. ما گواهی پایان دوره را صادر خواهیم کرد.

پیوند به دوره

شروع آموزش در 1 دسامبر 2019!

یک فرصت عالی برای یادگیری یک حرفه جدید بسیار پردرآمد یا بهبود مهارت های شما.