Strategia / struttura / tabella di marcia per imparare Pentesting [chiuso]

1

Attualmente sto insegnando a me stesso la sicurezza del computer e il pentesting. Il mio problema è il seguente: più o meno conosco le basi assolute (tcp / ip, bufferoverflows, xss ...) ma in tutte quelle aree non ho una comprensione completa e approfondita degli argomenti. Il mio attuale modo di insegnare a me stesso è fare dei wargames, giusto so pwnable.kr, e poi cerco di leggermi nell'esercizio finché non riesco a risolverlo. Sfortunatamente ai wargames spesso non ci sono buone risposte o soluzioni e spesso quando google gli argomenti mi vengono solo spiegazioni molto superficiali su cosa sta succedendo.

  • Quindi il mio primo problema è: Come faccio a comprendere a fondo le vulnerabilità comuni e come sfruttarle?

Il mio secondo problema è questo se si tratta di un approccio molto poco strutturato e mi sento come se mi mancasse qualcosa di importante. Cosa raccomanderesti? Qual è un buon approccio per ottenere "Conosco praticamente le basi" su "Posso applicare le mie conoscenze al pentesting e posso risolvere i wargames / ctf"?

  • In altre parole: Programma / Elenco / Domande frequenti / Corso sul pentesting che ti guida da cose semplici a cose avanzate?

Sto pensando a tutti quei siti di fitness che hanno piani dettagliati su come progredire dove ti trovi personalmente.

  • Ci sono dei buoni moocs per la sicurezza del computer?

Il mio obiettivo personale è quello di competere in un ctf live un giorno, quindi voglio insegnare a me stesso le competenze necessarie per questo. Grazie mille!

    
posta the_wee 07.12.2015 - 20:35
fonte

1 risposta

0

How do I get a deep understanding of common vulnerabilities and how to exploit them?

Esistono documenti sulle vulnerabilità che descrivono i vettori di attacco, una profonda conoscenza delle funzioni utilizzate e linguaggi di programmazione e scripting possono essere richiesti. In genere si impara controllando e testando il codice e imparando i cheat di OWASP per le vulnerabilità di Webapp comuni.

Program/List/FAQ/Course about pentesting that guides you from easy things to the advanced stuff?

Ci sono alcuni istituti e siti web che offrono corsi di formazione gratuiti e pagati e documenti gratuiti. Ma si dovrebbe anche practive su webapps reali, leggere exploit e cercare di capire come funzionano.

Il modo migliore è imparare le lingue, le loro funzioni / metodi e le loro insidie.

Come software o sviluppatore web hai una visione molto migliore quando scrivi e leggi il codice.

Ecco alcune risorse utili:
link
link

OWAS ZAP è uno strumento di pentesting ben noto e OWASP ha molti articoli e cheatsheets sul pentesting e sulla sicurezza.

link
link

Puoi dare un'occhiata alla sala di lettura del SANS Institute:
link

Offrono anche corsi, corsi di formazione e certificati.

    
risposta data 07.12.2015 - 20:45
fonte

Leggi altre domande sui tag