Привет.

Я хочу научиться ломать сайты, ищу книги базовые, методики.

Из того, что видела - либо сразу статьи на сложном языке, либо набор разрозненных методов из разных сфер, которые сразу фиг освоишь, либо люди опираются на свой опыт.

Я не программист, сейчас изучаю SQL.

(Изучаю по книге "SQL за 10 минут" Форта + sql-ex (тренажер). Другие источники по мелочи.

Начала изучать JS, книги не подобрала.

Изучаю html+css. Основной источник: HTML Academy (с Кексом + курс со складчика) + еще пару курсов по верстке со складчика. Оттуда же какие-то базовые знания по http, где брать больше - пока не в курсе.

Следующая тема: SQL injection, статьи (книг не нашла).

Как спланировать свое обучение дальше - пока не знаю. Буду курить античат.

СИ использовать не планирую вообще.

Движки не изучала.

Посоветуйте более-менее "фундаментальные" источники. Может ЯП какие еще нужны? PHP, Java? Must have?

Моё личное мнение, что база может состоять из знаний/пониманий/владений:

Linux-based OS (хотя бы на уровне adv-юзера), отлично подойдет жирная книга Эви Немет + стоит разок установить себе хотя бы Arch.

TCP/IP и сети в целом (LF ieucariot на ютубе - очень интересное изложение)

DNS (Альбеца и Ли)

HTTP (RFC)

HTML/CSS/JS (htmlbook.ru и https://developer.mozilla.org)

PHP (большАя чать web-приложений написано на данном языке, php.net), junior-level

Python (docs.python.org), junior-level

SQL (Форта неплохой выбор)

PKI

Apache / nginx

Search engine (тот же гугль)

Этого хватит для базы.

В основном, лучше читать "прямую" (RFC, страницы-man и тд) документацию - то что и есть "фундаментальные" источники, ибо часто она(информация) искажена и криво изложена авторами "курсов", ну и практиковаться.

Важное в обучении - составить четкий план

Успехов!

Вот такое вот охрененно огромное и очень горячее спасибо!

Буду считать себя вашим должником, r0.

вот это для начала хорошо

Специалист | Основы Linux (2016) PCRec (http://nnm-club.name/forum/viewtopic.php?t=1041957) http://nnm-club.name/forum/viewtopic.php?t=1041957

Специалист | PHP. Уровень 1-4 (2016) PCRec [H.264] (http://nnm-club.name/forum/viewtopic.php?t=1170331) http://nnm-club.name/forum/viewtopic.php?t=1170331

Специалист | JavaScript. Уровень 1 и 2 (2016) PCRec [H.264] (http://nnm-club.name/forum/viewtopic.php?t=1080196) http://nnm-club.name/forum/viewtopic.php?t=1080196

Специалист | CEH v9 часть 1. Этичный хакинг и тестирование на проникновение (2016) PCRec http://nnm-club.name/forum/viewtopic.php?t=1073374

дальше те же курсы от специалиста как база

Задания выполнять обязательно

> Может ЯП какие еще нужны: php, python, bash, c, sql и asm.

Не советую читать книги про яп. Ибо тренды в программирование меняются почти каждый день. И в большенстве книг информация устаривает. А основы можно и в интернете прочитать.

> Must have: linux, умение работать с инструментами из back track, си.

ресурсы изучения:

- книга: "Командная строка Linux. Полное руководство" и "карманный справочник linux".

- все книги Кевина Митника и "социальные инженеры и социальные хакеры"

- для изучения backtrack: google.com

> работа с сетями: RFС, книга теменбаума "Компьютерные сети".

> когда начнешь различать metasploit и metasploitable то можешь начать штудировать статьи с уязвимостями на owasp.

Нашла курс от Udemy "Полный курс по кибербезопасности". Изучаю Kali.

Очевидно, что мне жизни не хватит для изучения всего этого. Не быть мне хакером.

Ребят, вы оху&нные. Спасибо.

Giulietta said:
↑ (https://antichat.live/posts/4163497/)
Нашла курс от Udemy "Полный курс по кибербезопасности". Изучаю Kali.
Очевидно, что мне жизни не хватит для изучения всего этого. Не быть мне хакером.
Ребят, вы оху&нные. Спасибо.


Вообщем-то изначально понятие хакер, это человек который профессионал в каком-то деле настолько, что может превзойти обычные механизмы работы этого дела в котором он профи. Так что хакером можно стать и в финансах и в бухгалтерии и в строительстве и чем угодно) но очевидно, чтоб стать хакером в конкретной IT сфере (а тут речь о вебе), то нужно хорошо знать именно его работу, а зачем уже можно и интересоваться техниками взлома. На самом деле не так все сложно и страшно, как кажется, нужно только упорно изучать, интересоваться и не заметишь как начнешь овладевать знаниями.

Почитай книгу "Основы веб хакинга" by Питер Яварски

Достаточно хорошая книга, особенно для новичков...

DOOmsdAi said:
↑ (https://antichat.live/posts/4163396/)
> Может ЯП какие еще нужны: php, python, bash, c, sql и asm.
Не советую читать книги про яп. Ибо тренды в программирование меняются почти каждый день. И в большенстве книг информация устаривает. А основы можно и в интернете прочитать.
> Must have: linux, умение работать с инструментами из back track, си.
ресурсы изучения:
- книга: "Командная строка Linux. Полное руководство" и "карманный справочник linux".
- все книги Кевина Митника и "социальные инженеры и социальные хакеры"
- для изучения backtrack: google.com
> работа с сетями: RFС, книга теменбаума "Компьютерные сети".
> когда начнешь различать metasploit и metasploitable то можешь начать штудировать статьи с уязвимостями на owasp.


сразу видно, что ты не имеешь никакого отношения к веб-хакингу.

p.s. поддерживаю пост от grimnir

Понимаю, что на информация на русском воспринимается гораздо легче и быстрее, но на инглише гораздо больше полезного и это факт.

Рассмотри такой вариант:

1. Маст-хэв bash и python, Perl (ссылки давали выше, линк на оф сайт Перл легко найти в Гугл) - следующий пункт туда же.

2. Формально расшарить любой linux: (я работаю с Kali - просто, потому что чуть меньше года назад, когда гуглил про "хацкенг" наткнулся на мануал именно по установке Kali; Уверен, что большенство *nix ОС подойдут для этой цели не хуже, так что читай, выбирай какой нравится, ставь и вперед).

3. Различные книги (в т. ч. от Российских авторов) про web-уязвимости и т.п. это хорошо, но имхо хорошо как дополнение к тому, откуда можно черпать основную информацию, а конкретно, к прямым источникам. А что можно взять за прямой источник информации об уязвимостях - официальные (и "околоофициальные" классификации, базы и методики). Поясню про некоторые:

3.1 Неоднократно вышеуказанная RFC - база, содержащая спецификации и стандарты всего, что есть в сети и не только (примеры: Протоколы TCP/IP, UPD, концепция DNS, ARP). Хочешь понять принцип работы чего-либо - вперед туда. Есть много информации на русском. Начинай с https://ru.wikipedia.org/wiki/RFC

3.2 https://ru.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures Комментарии излишне. Просто перейди по ссылке и начинай использовать как справочник. + базы уязвимостей которые упоминали выше (но по сути одно и тоже, так как почти во всех сорсах дается классификатор CVE.)

3.3 https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents Выше уже говорилось. Но опять же, как и в предыдущих двух пунктах просто гигатонны сухой технической информации, читая которую первый раз, можно сойти с ума, но, а что нам остается?)

Summary:

Все описанное выше просто рекомендации, никогда не ограничивайся тем что советуют другие. К сожалению я сам не профи, но от себя могу посоветовать:

Осваивай первые два пункта на уровне Junior, ставь ОС и начинай в соответствии с OWASP TG v4 тестировать любое web-приложение, попутно ознакамливаясь с методикой и различными уязвимостями.

Если не знаешь на чем потрениться, go ahead: hackerone.com и bugcrowd.com. Разберешься.

Ну и также полезно чекать требования к вакансиям типа: Пентестер, Специалист по ИБ, и тому подобное на hh.ru. Корпоративная среда развивается постоянно и требования к специалистам любого рода растут. В вакансиях часто указываются основные навыки, например: bash, PostgreSQL, умение писать скрипты на Python, навыки администрирования Linux/Windows, навыки тестирования web-приложений на безопасность.

Такие дела.