Le migliori risorse per apprendere gli attacchi alla sicurezza web? [chiuso]

Naviga le tue risposte
7

Qualcuno può suggerire buone risorse per conoscere le vulnerabilità e gli attacchi ai siti Web, in modo pratico, per qualcuno con un'esperienza di programmazione limitata?

    
posta D.W. 08.04.2012 - 02:37
fonte

6 risposte

9

OWASP ha un paio di risorse molto interessanti di questo tipo:

  • Hacme Bank : un'applicazione bancaria creata con alcune vulnerabilità che puoi trovare e provare a sfruttare
  • Il progetto WebGoat : applicazione web con diverse vulnerabilità. Ogni possibile attacco è spiegato in una lezione specifica, in modo che tu possa concentrarti su una tecnica alla volta
risposta data 08.04.2012 - 10:38
fonte
9

Ti suggerisco di iniziare sviluppando siti web dinamici che coinvolgono un database, utilizzando HTML / CSS, un linguaggio di programmazione lato client (come JavaScript) e un linguaggio dinamico (PHP è una scelta popolare). Per comprendere appieno gli attacchi alla sicurezza Web, è necessario innanzitutto acquisire familiarità con l'architettura client / server e il modo in cui un linguaggio dinamico interagisce con un database per recuperare / inserire / modificare i dati.

Una volta che hai compreso le basi dello sviluppo web dinamico, puoi iniziare a conoscere gli attacchi. Il Progetto Guida OWASP è un'ottima risorsa e un punto di riferimento per esperti tester di penetrazione del Web e nuovi arrivati. Per la formazione pratica, solo google per un'applicazione Web vulnerabile e troverai molte app deliberatamente vulnerabili per la pratica di in modo sicuro e legale . DVWA è un buon punto di partenza.

Il prossimo passo è imparare a conoscere gli strumenti. Vi consiglio di non usarli fino a quando non comprenderete appieno i diversi attacchi (XSS, SQLi, CSRF, RFI / LFI, XST, ecc.) E come eseguirli manualmente. Per un elenco sintetico di strumenti open source da utilizzare durante la valutazione di un'applicazione Web, è possibile controllare la risposta precedente alla mia .

    
risposta data 08.04.2012 - 13:57
fonte
4

Sans ha un test di penetrazione del web ed hacking etico: Cattura la classe di Flag che potresti essere interessato a link

Alcuni siti di flag che puoi imparare dall'utilizzo di

possono essere catturati

Un elenco più grande può essere trovato all'indirizzo link

    
risposta data 31.07.2012 - 22:06
fonte
2

Penso che la capacità di comprendere gli attacchi del software sia limitata dalla capacità di creare software. Per le persone con esperienza di programmazione limitata interessati alla "sicurezza web" direi loro di scrivere un'applicazione web. Può essere semplice, ma devono sapere come funziona dal punto di vista degli sviluppatori prima che possano capire come può essere manipolato per eseguire compiti che non è stato progettato per fare.

    
risposta data 08.04.2012 - 04:19
fonte
2

questa vulnerabile applicazione web ti aiuterà a comprendere OWASP top 10 e la cosa buona è che è impegnativo Mutiliade

    
risposta data 08.04.2012 - 15:06
fonte
1

So che esistono siti come HackThisSite che adottano un metodo per insegnare la sicurezza. Puoi controllare quelli fuori. Una volta che hai una comprensione fondamentale degli exploit comuni, fare molta lettura (incluso questo sito!) Può anche aiutare molto.

    
risposta data 08.04.2012 - 05:07
fonte

Leggi altre domande sui tag

Tutte le implementazioni SSL / TLS sono vulnerabili al bug Heartbleed? [chiuso] Perché non vengono arrestati i deployer dei ransomware? [chiuso]