Toggle sidebar

Помогите в поиске информации для становления пентестером.

T

talulu

Помогите найти информацию. Что нужно знать для того что бы проводить пентест и подобное. Я начал решать лабы где симулируется корпоративная сеть. Что нужно знать для того что бы их проходить или же искать уязвимости в сетях что бы далее их эксплуатировать какие книги,статьи и тд прочесть/просмотреть. Да я ещё совсем новичёк в этой области поэтому прошу сильно не ругаться.
P.S Спасибо всем тем кто в прошлый раз кидал мне в прошлом посте кинул ссылки,названия книг и тд. Очень сильно помогло мне. Это лучший форум по моему мнению.
 
Последнее редактирование модератором:
  • Нравится
Реакции: Vander
Сортировать по дате Сортировать по голосам
  • Нравится
Реакции: Сергей Попов
За 0 Против
За 0 Против
Приведу несколько ссылок, которые могу быть Вам полезны.

Общее

OWASP Top 10 — https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
Классификация угроз WASC — http://projects.webappsec.org/w/page/13246978/Threat Classification

Penetration Testing

Metasploit Unleashed — https://www.offensive-security.com/metasploit-unleashed/
High Level Organization of the Standard — http://www.pentest-standard.org/index.php/Main_Page
Awesome Penetration Testing — https://github.com/enaqx/awesome-pentest

Web Application

SQL Injection

[RUS]
Полный FAQ — https://rdot.org/forum/showthread.php?t=124
PostgreSQL — https://rdot.org/forum/showthread.php?t=24
Oracle — https://rdot.org/forum/showthread.php?t=156
MS SQL — https://rdot.org/forum/showthread.php?t=826
Blind SQL Injection — https://rdot.org/forum/showthread.php?t=245
PHP + MySQL — https://rdot.org/forum/showthread.php?t=72
Help по MySQL — https://rdot.org/forum/showthread.php?t=60

[ENG]
MSSQL Injection Cheat Sheet — http://pentestmonkey.net/cheat-sheet/sql-injection/mssql-sql-injection-cheat-sheet
Obfuscated SQL Injection attacks — https://isc.sans.edu/diary/Obfuscated+SQL+Injection+attacks/9397
SQL Injection Cheat Sheet — https://www.netsparker.com/blog/web-security/sql-injection-cheat-sheet/
Exploiting hard filtered SQL Injections — https://websec.wordpress.com/2010/03/19/exploiting-hard-filtered-sql-injections/
How to exploit the SQL Injection Attack — http://sqlzoo.net/hack/
Access SQL Injection — http://web.archive.org/web/20101104002208/http://seclists.org/pen-test/2003/May/74

XSS

[RUS]
Cross Site Scripting для новичков — https://forum.antichat.ru/threads/cross-site-scripting-dlja-novichkov.44125/
Темная сторона Xss — https://forum.antichat.ru/threads/temnaja-storona-xss.42326/
Похищение аутентификационных данных — https://forum.antichat.ru/threads/poxischenie-autentifikacionnyx-dannyx-s-pomoschju-xss.42951/
Exploiting XSS in Ajax Web Applications — https://superevr.com/blog/2012/exploiting-xss-in-ajax-web-applications/
Валидация запросов ASP.NET — http://vkochetkov.blogspot.com/2013/04/aspnet-xss-type-1-waf.html

[ENG]
HTML Code Injection and Cross-site scripting — http://www.technicalinfo.net/papers/CSS.html
Our Favorite XSS Filters and how to Attack them — http://sirdarckcat.blogspot.ru/2009/08/our-favorite-xss-filters-and-how-to.html

Local file include\Remote file include

[RUS]
Особенности реализации PHP Include — https://rdot.org/forum/showthread.php?t=343
PHP include — https://rdot.org/forum/showthread.php?t=926

[ENG]
Local file inclusion – tricks of the trade — https://labs.neohapsis.com/2008/07/21/local-file-inclusion-–-tricks-of-the-trade/
LFI..Code Exec..Remote Root — https://www.notsosecure.com/lfi-code-exec-remote-root/?utm_source=twitterfeed&utm_medium=twitter
Exploiting PHP File Inclusion – Overview — https://websec.wordpress.com/2010/02/22/exploiting-php-file-inclusion-overview/

Тренировки

Damn Vulnerable Web Application — http://www.dvwa.co.uk/
OWASP WebGoat Project — https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
Hacksplaining — https://www.hacksplaining.com/
Hack me — https://hack.me/explore/
Pentester Lab — https://www.vulnhub.com/series/pentester-lab,41/
XSS Game — https://xss-game.appspot.com/
Web Application Exploits and Defenses — https://google-gruyere.appspot.com/
Hack The Box Penetration Testing Labs — https://www.hackthebox.eu/
Penetration test lab — https://lab.pentestit.ru/

Прочее

Магические методы, сериализация, инъекции в сессию и все-все-все — https://rdot.org/forum/showthread.php?t=950
Безопасный web-сервер — https://rdot.org/forum/showthread.php?t=1616
Шпаргалка — https://rdot.org/forum/showthread.php?t=118
Роковые ошибки PHP — https://forum.antichat.ru/threads/rokovye-oshibki-php.54355/
Атака на WEB. Миссия невыполнима — https://forum.antichat.ru/threads/ataka-na-web-missija-nevypolnima.89082/
Web Application Security Testing Resources — https://danielmiessler.com/projects/webappsec_testing_resources/
 
  • Нравится
Реакции: G0p43R, talulu, Vertigo и ещё 3
За 0 Против
Acrono сказал(а):
Приведу несколько ссылок, которые могу быть Вам полезны.

Общее

OWASP Top 10 — https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
Классификация угроз WASC — http://projects.webappsec.org/w/page/13246978/Threat Classification

Penetration Testing

Metasploit Unleashed — https://www.offensive-security.com/metasploit-unleashed/
High Level Organization of the Standard — http://www.pentest-standard.org/index.php/Main_Page
Awesome Penetration Testing — https://github.com/enaqx/awesome-pentest

Web Application

SQL Injection

[RUS]
Полный FAQ — https://rdot.org/forum/showthread.php?t=124
PostgreSQL — https://rdot.org/forum/showthread.php?t=24
Oracle — https://rdot.org/forum/showthread.php?t=156
MS SQL — https://rdot.org/forum/showthread.php?t=826
Blind SQL Injection — https://rdot.org/forum/showthread.php?t=245
PHP + MySQL — https://rdot.org/forum/showthread.php?t=72
Help по MySQL — https://rdot.org/forum/showthread.php?t=60

[ENG]
MSSQL Injection Cheat Sheet — http://pentestmonkey.net/cheat-sheet/sql-injection/mssql-sql-injection-cheat-sheet
Obfuscated SQL Injection attacks — https://isc.sans.edu/diary/Obfuscated+SQL+Injection+attacks/9397
SQL Injection Cheat Sheet — https://www.netsparker.com/blog/web-security/sql-injection-cheat-sheet/
Exploiting hard filtered SQL Injections — https://websec.wordpress.com/2010/03/19/exploiting-hard-filtered-sql-injections/
How to exploit the SQL Injection Attack — http://sqlzoo.net/hack/
Access SQL Injection — http://web.archive.org/web/20101104002208/http://seclists.org/pen-test/2003/May/74

XSS

[RUS]
Cross Site Scripting для новичков — https://forum.antichat.ru/threads/cross-site-scripting-dlja-novichkov.44125/
Темная сторона Xss — https://forum.antichat.ru/threads/temnaja-storona-xss.42326/
Похищение аутентификационных данных — https://forum.antichat.ru/threads/poxischenie-autentifikacionnyx-dannyx-s-pomoschju-xss.42951/
Exploiting XSS in Ajax Web Applications — https://superevr.com/blog/2012/exploiting-xss-in-ajax-web-applications/
Валидация запросов ASP.NET — http://vkochetkov.blogspot.com/2013/04/aspnet-xss-type-1-waf.html

[ENG]
HTML Code Injection and Cross-site scripting — http://www.technicalinfo.net/papers/CSS.html
Our Favorite XSS Filters and how to Attack them — http://sirdarckcat.blogspot.ru/2009/08/our-favorite-xss-filters-and-how-to.html

Local file include\Remote file include

[RUS]
Особенности реализации PHP Include — https://rdot.org/forum/showthread.php?t=343
PHP include — https://rdot.org/forum/showthread.php?t=926

[ENG]
Local file inclusion – tricks of the trade — https://labs.neohapsis.com/2008/07/21/local-file-inclusion-–-tricks-of-the-trade/
LFI..Code Exec..Remote Root — https://www.notsosecure.com/lfi-code-exec-remote-root/?utm_source=twitterfeed&utm_medium=twitter
Exploiting PHP File Inclusion – Overview — https://websec.wordpress.com/2010/02/22/exploiting-php-file-inclusion-overview/

Тренировки

Damn Vulnerable Web Application — http://www.dvwa.co.uk/
OWASP WebGoat Project — https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
Hacksplaining — https://www.hacksplaining.com/
Hack me — https://hack.me/explore/
Pentester Lab — https://www.vulnhub.com/series/pentester-lab,41/
XSS Game — https://xss-game.appspot.com/
Web Application Exploits and Defenses — https://google-gruyere.appspot.com/
Hack The Box Penetration Testing Labs — https://www.hackthebox.eu/
Penetration test lab — https://lab.pentestit.ru/

Прочее

Магические методы, сериализация, инъекции в сессию и все-все-все — https://rdot.org/forum/showthread.php?t=950
Безопасный web-сервер — https://rdot.org/forum/showthread.php?t=1616
Шпаргалка — https://rdot.org/forum/showthread.php?t=118
Роковые ошибки PHP — https://forum.antichat.ru/threads/rokovye-oshibki-php.54355/
Атака на WEB. Миссия невыполнима — https://forum.antichat.ru/threads/ataka-na-web-missija-nevypolnima.89082/
Web Application Security Testing Resources — https://danielmiessler.com/projects/webappsec_testing_resources/
Нажмите, чтобы раскрыть...

Большое спасибо
 
За 0 Против
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Похожие темы

Михаил Гудилин
  • Статья Статья
Статья Telegram OSINT: поиск информации в мессенджере
Ответы
0
Просмотры
4 тыс.
Безопасность веб-приложений
Михаил Гудилин
Михаил Гудилин
xzotique
  • Статья Статья
Статья Чтение тегов контроллеров через недокументированные функции
Ответы
0
Просмотры
2 тыс.
Hardware Hacking / Аппаратный хакинг
xzotique
xzotique
Михаил Гудилин
  • Статья Статья
Статья Bug Bounty как старт карьеры: реалистичные ожидания и план действий
Ответы
0
Просмотры
1 тыс.
Безопасность веб-приложений
Михаил Гудилин
Михаил Гудилин
xzotique
  • Статья Статья
Статья ИСКУССТВЕННЫЙ ИНТЕЛЛЕКТ: Всё, что нужно знать
Ответы
1
Просмотры
2 тыс.
Hardware Hacking / Аппаратный хакинг
NH-NH
NH-NH
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →

Популярный контент

🔴 Свежие CVE, 0-day и инциденты
То, о чём ChatGPT ещё не знает — обсуждаем в реальном времени
Threat Intel →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

HackerLab

Верх Низ
Назад