yoske
היי יוסי ,
זה מיועד גם לשאר הפורום. דב ראשון אני חורש על המדריכים שלך ביוטיוב ומנסה להבין מה אתה עושה. שמעתי שאתה האקר אזציש לי כמה שאלות אליך:
1. איזה מתקפות אתה ממליץ לי ללמוד?
2. איך מוצאים חורי אבטחה באתרים? נניח כמו xss וכל זה.
מצטער על הבלאגן באשכול! אני דרך האייפד.
|
|
היי. ראשית, אמליץ לך בתוקף להימנע מכל המדריכים של יוסקה. הם סרטן, ואני לא יודע מה עבר לבנדאם(?) בראש(שקיים?) כאשר הוא עשה אותם. יודע מה, עזוב, תימנע ממדריכים ב-כ-ל-ל-י. כשאתה עוקב אחרי מדריך, אתה לא לומד, אתה בקושי אפילו חושב, אתה פשוט מהלך אחרי הוראות כתובות ועושה מה שאומרים לך לעשות. זה לא האקינג, זה להיות קוף ואחד מוצלח. בקיצור, סקיד.
שנית, אם אתה הולך על תחום אבטחת המידע בפלטפורמת האתרים - תתחיל ללמוד תכנות. אני לא הולך סתם לזרוק פה שמות של שפות, אני גם הולך להסביר למה ואיך הם יועילו לך.
HTML - תתחיל מזה. הכרחי על מנת לדעת איך דפדפן קורא אתרים ומציג אותם, איך מציגים מידע מסוגנן ובכללי נתונים על גבי הדפדפן, איך הבסיס של פלטפורמת הWeb עובד וכו'. בשביל לדעת XSS בצורה נורמלית אתה צריך לדעת HTML.
CSS - לאבטחת מידע, לא הייתי אומר שזה נחוץ. אבל הייתי ממליץ מהסיבה היחידה שזה פשוט עוד ידע אישי שמעשיר את העבודה, ורוב הסיכויים שמתישהו תיאלץ לבנות אתר כזה או אחר. זה לבנות גליוני סגנונות, סידור עיצובים ומבנה אתר בצורה הרבה יותר יעילה ומורחבת מHTML. בשביל אשכרה להיות מפציץ בXSS, תצטרך גם את זה.
PHP - ליבת תכנות הWeb. הייתי זורק פה ASP.NET אבל זה חרא אז לא צריך. בנקודה מסויימת תהיה חייב ללמוד PHP ולשלוט בשפה זו. רק דרך השפה הזאת תוכל להבין את הרוב המוחלט של שיטות ההתקפות לאתרים, לחבר ביניהם, ליזום חדשות, לשנות ולעוות דברים לפי רצונך. כשאתה באמת יודע איך דברים עובדים (האתר, מאחורי הקלעים שלו) אתה מתחיל לחשוב ביצירתיות, ולנסח התקפות ומחרוזות שבכלל לא תמצא במדריכים - זה, האקינג אמיתי.
SQL - שפת התקשור עם מסדי הנתונים. תלמד את נוסח MySQL בגלל שזה הכי פופולרי, הכי משומש, וגם ככה אין הרבה הבדלים בין הנוסחים האחרים (נוסחים = DBMS, אחרים = MSSQL, MSAccess, Oracle וכו'), דרך השפה הזאת תוכל לשלוט בהזרקות הSQL. התקפה זאת, אגב, עדיין מככבת בראש ההתקפות היותר מסוכנות, ולמרות שאתה חושב שהיא "ישנה" אתה לא תאמין באיזו דרכים אפשר להזריק אותה, וואריאציות שונות שלה, וכו'.
JS - פחות נחוץ לדעתי, אבל זה הבסיס לכל התקפות הClient Based Manipulation (מניפולציות JavaScript, שינוי ערכים, התקפות מתוסרטות של jQuery וAjax, CRSF), אחוז לא קטן של XSS שתיפול עליו יהיה מבוסס JS, לפיכך למידת שפת הסקריפטים הנ"ל תהיה עוזרת ביותר בתחום.
אז כע, זה התגובה לשאלה הראשונה. אתה לא לומד התקפות, כי התקפות לא לומדים, אתה לומד תכנות.
לשאלה השנייה, אתה לומד תכנות.
זה לדעתי הריכוז. אם טעיתי בדעתי, לא טעיתי כי זאת דעתי. אם טעיתי בעובדה כלשהי, מוזמנים לתקן.
נערך לאחרונה על ידי Crazy_Style; 26-01-2013 בשעה 17:17.
@Crazy_Style
בעניי לJS וCSRF אין קשר, פעולת ההתקפה יכולה להתבצע עם HTML בלבד והבנת ה״קטע״ עם PHP וHTML, תיתן לו דגש על forms כשהוא לומד HTML...זה נושא די חשוב. אני מאמין שלא הבנתי אותך נכון כי בד״כ אתה לא טועה אז תגיד לי אם הוספתי/תיקנתי כמו שצריך. ^^
עריכה: עכשיו נפל לי האסימון, בקשות POST...חחחח אבל עדיין אפשר לנצל את זה אם הפרמטרים נשלחים בGET ללא JS.
לפותח האשכול: אל תתפוס מיוסקה האקר גדול, אתה יכול לעשות בדיוק אותו דבר, הקטע זה אם תבין מה שאתה עושה. Crazy_Style יודע מה הוא אומר, תקשיב לו ואם אתה בוחר להיכנס לתחום של אתרים תלמד את מה שהוא רשם בתגובה שמעליי. בהצלחה.
נערך לאחרונה על ידי gibs0n; 27-01-2013 בשעה 00:23.
True that. ידעתי שטעיתי במשהו. טנקס, שמח לראות שיש עוד אנשים שפויים בביצה הרדיואקטיבית הזו.נכתב במקור על ידי gibs0n
בעקרון כשהוא מגיע לPHP אני רוצה שילמד על כל הHTTP PACKETS באופן מפורט (User Agent, מטודות וכו'), לא רק POST וGET.
הרשאות פרסום
ציטוט ההודעה
