Nauka hackingu i obrony przed nim - materialy szkoleniowe

[Ormi]

Hehe Programiki piszę, ale moje pytanie dotyczy głównie bezpieczeństwa aplikacji webowych A zapytanie do googli 'bezpieczeństwo php' daje w wyniku mnóstwo ogólnych i niewiarygodnie powierzchownych tekstów, z których nic sie nie można nauczyć

[David]

Ja sie calkiem sporo dowiedzialem z http://phpsec.org/ i z http://www.cgisecurity.com/ ;D
Uczyc sie Angielskiego

[Ormi]

Po angielsku też może być Dzięki

[Mandr4ke]

Hahahaha Zabijaja mnie niektore posty...

Chcesz Hackowac ? Ucz sie Linuxa Mac-a czegokolwiek
Win all edyszyn
Bo to jest piekne...
Bo wiedza jest piekna...
Bo wiedza to Hacking...
A Hacking to wiedza...





MONCIOLY

[Ormi]

Mandr4ke, mówisz o mnie? Jeśli tak, to chyba trochę źle mnie oceniłeś Ja się uczę linuksa i programowania. A do tego, że się tak wyrażę, TYLKO jako "premię" security/hacking
Więc nie traktuj mnie tak jakbym całymi dniami przeszukiwał wyniki dane przez google po wpisaniu "jak hakować", a nie umiał nawet programować OK?

[Mandr4ke]

Luzior Ormi ;> Jest good ;>

[blooregard]

To może ja.

1. Ciekawą metodą nauki są wszelkiego rodzaju hackme. Polecam Think Device Hack (www.tdhack.pl), Net-Force (www.net-force.nl - angielski !!! ), Bright Shadows (http://www.bright-shadows.net - znów angielski ). Szczególnie ta ostatnia strona - oprócz typowo hackme-owych zadań ( co ja piszę... ) znalazłem tam kilka świetnych tutoriali (np: http://net-square.com/papers/one_way/one_way.html ).
Na każdej z tych witryn znajduje się po kilkadziesiąt-kilkaset (w przypadku BrightShadows) zadanek z róznych dziedzin hackingu: websecurity, exploity, kryptografia itp.
Żeby je rozwiązać, trzeba naprawdę duuuużo posiedzieć ucząc się przy okazji setek nowych rzeczy.

2. Ostatnio na blogu Gynvael'a Coldwind'a (dla tych, co nie wiedzą - zwycięzca dwóch ostatnich edycji SecurityDays w kategorii " Bezpieczeństwo aplikacji internetowych") pojawiły się rozwiązania do kilku zadań z tegorocznej edycji finału SD. Wierzcie mi, że naprawdę wiele mozna się z tego dowiedzieć na temat łamania zabezpieczeń stron www. Same zadania są dostępne na witrynie http://xe.securitydays.pl/

3. Dla tych, którzy chcą sprawdzić swoje umiejętności w programowaniu, polecam z kolei: SPOJ (www.spoj.pl), OOPS (http://opss.safo.biz/), a dla hardcorowców - Project Euler (http://projecteuler.net). Zapewniam Was, że zadania tam publikowane szybo sprowadzą na ziemię wielu z tych, co sądzili, że printf("Hello world !!!"); uczyni z nich megahaksiorów. Szczególnie Project Euler - to już jest naprawdę wyższa szkoła jazdy. Algorytmika, matma no i wysokie umiejętności ogólnokoderskie wymagane. A żeby być dobrym hakerem - cóż, bez tego się nie obędzie.
Dla ułatwienia - SPOJ umożliwia rozwiązania w około 30 językach programowania, w Project Euler możesz używać dowolnego, bo tam podajesz jedynie wynik, jaki wygeneruje Ci twój algorytm; więc niech żaden z początkujacych haksiorów mi tu nie płacze, że nie zna C czy innego Pascala. Jak chcesz, możesz rozwiązywać problemy nawet na kartce papieru.

4. Poza wymienionymi tu powyżej punktami, które w zasadzie koncentrują się na programowaniu i znajomości podstawowych technik, podstawowymi źródłami wiedzy są:
- dokumenty RFC: szczególnie te dotyczące najważniejszych protokołów. Bez znajomości np. protokołu HTTP raczej nikt z początkujących haksiorów nie ma się co brać za takie rzeczy jak HTTP Response Splitting itp., że o TCP nie wspomnę nawet, bo to podstawa jakiejkolwiek hakerki sieciowej (analiza pakietów bez znajomości TCP - no nie wyobrażam sobie )
- dobre, ale naprawdę dobre książki. Do tych wydanych w Polsce zaliczyłbym niewątpliwie pozycję wyjątkową, aż szkoda, że taką mało objętościową: "Hacking - sztuka penetracji"; także "Shellcoder's Handbook" (w tej chwili w Polsce niedostępna, czekam jak na zbawienie na wznowienie wydania, bo na pierwsze przez własną głupotę się nie załapałem); no i "Szkoła hakerów", wyśmiewana przez wielu, a według mnie zawierająca wiele informacji szczególnie dla tych "newbies", szukających tego magicznego "początku kłębka włóczki"
- wspaniałym źródłem informacji jest witryna SecurityFocus.com, szczególnie w zakładce "Infocus" - masa naprawdę świetnych tekstów, okraszona przykładami, no i oczywiście baza wszelkiej maści podatności i exploitów. W komplecie z Secunia.com, SecuriTeam.com oraz PacketStormSecurity - nieprzebrana skarbnica wiedzy. I znów kłania się ęglisz , niestety.
- jest też kilka tutoriali-perełek wybijających się ponad to, co można w ilościach masowych znaleźć w sieci. Mam szczególnie dwa ulubione, gdzie kolesie po prostu krok po kroku, za rączkę, podając przykłady na użycie podstawowych narzędzi (host, nmap, hping2 itp.), prezentując proste skrypty w perl-u automatyzujące pewne czynności pokazują proces ataku na zdalne hosty, począwszy od wstępnego rozpoznania celu po sam finałowy atak.

Hacking to po prostu nieskończona nauka.I to jest w nim najlepsze.

Sorki za dłużyznę.

Podsumowując - każdy ma swój sposób na zdobywanie wiedzy i swoje ulubione źródła. Ja podałem moje, jeśli komuś się to przyda, bardzo się cieszę.

[4ndr1u]

to ja coś dorzucę dobry kurs XSS

[Mandr4ke]

http://www.freewebs.com/khoukha/


lol ?

[TQM]

omfg... ale ten efekt matrix w cyrylicy mnie powalil