שלום לכולם
הרבה שואלים איך להיכנס לנושא אז חשבתי לעצמי לפתוח אשכול ולבקש מההנהלה לנעוץ אותו כדי למנוע שאלות מיותרות
אז נתחיל, מה בעצם אתם צריכים לדעת כדי להתחיל?
יש לכם 2 מסלולים להתחיל איתם - מסלול1 WEB ומסלול 2:תוכנה.
אני יסביר לכם על כל אחד מהמסלולים:
WEB:
WEB הוא נושא הקשור לכל דבר בבניית\אבטחת אתרים.
הWEB זה נושא מאוד טוב להתחיל בו כדי ללמוד בניית אתרים ועיצוב אתרים ואבטחתם, כדי להתחיל עם WEB צריך ללמוד קודם את השפה בסיסית ביותר שלו(מומלץ) שנקראת HTML,הHTML זו בעצם השפה שעיקרית והכי חשובה לWEB, ברגע שיודעים HTML אפשר לעבור לרמות גבוהות יותר כגון JAVA SCRIPT ו PHP או ASP אני ממליץ על PHP כי לדעתי היא יותר נוחה, אבל אם אתם סקרנים אתה יכולים ללמוד גם ASP...
איך עובד
מנוע פPHP ולמה אנחנו לא יכולים לראות את הקוד PHP? לסקרנים החלטתי להגיד - ברגע שמישהו מתחבר לאתר לכתובת מסויימת אז האתר שולח את הבקשה של הלקוח למנוע הPHP - מנוע הPHP יוצר דף HTML מתאים לבקשה של הלקוח ואז מנוע הPHP שולח את הדף HTML ללקוח, ככה בעצם הלקוח לא יכול לראות את הקוד PHP וככה הוא רואה דף HTML במקום, כדי לראות את קוד הPHP אתה צריך להיות האדמין של האתר...
עוד משהו ממש חשוב לנושא הWEB זה מאגרי נתונים! מאגרי נתונים זה לא חשוב רק לWEB זה חשוב לכל דבר שיש בו משתמשים שזורם ברשת - מזה מאגר נתונים?
מאגר נתונים זה בעצם מאגר של נתונים(נשמע מטומטם אבל זה נכון
) במאגר הנתונים מאחסנים נתונים שלא נראים לגולשים אחרים כמו שמות משתמשים+ססמאות ודברים כאלה, הדברים האלה נשמרים בטבלאות שכדי להשתמש במאגרים אלה משתמשים בשפת מחשב הצהרתית שיודעת לעבד ולטפל במידע בבסיסי נתונים שנקראת:
SQL -
Structured Query Language
זו שפה שלפניה צריך ללמוד PHP או ASP כי אלה שפות שיודעות להשתמש במאגרי נתונים,
יש 2 סוגים של תוכנות טובות למאגרי נתונים שאני ממליץ עליהן:
MYSQL וMSSQL...
הכי
מפורסמת מבינהם היא הMYSQL אבל אני לא יכנס לזה עכשיו ;P...
עכשיו לאבטחת מידע!!!!!!!
אחרי שיודעים את זה אפשר ללמוד SQL INJECTION או בקיצור SQLI שזה
ניצול באגים בקוד הPHP\ASP להוצאת נתונים ממאגר הנתונים של השרת,אפשר ללמוד גם XSS למי שיודע JAVA SCRIPT ועוד הרבה מתקפות אחרות כמו CSRF וכו' אם אתם רוצים לאבטח אז זה פשוט - הדרך לאבטח מגיע או לפחות אמורה להגיע עם מדריכים ללימוד PHP\ASP ומדריכי XSS וכמובן לוגיקה זה אחד המרכיבים החשובים ביותר לתכנות ואבטחה
...
תוכנה:
הנושא הכי מסובך,משעמם אבל גם הכי כיף אחרי שלומדים
כמובן תוכנה וWEB קשורים זה לזה לא מעט בגלל שאפשר לכתוב תוכניות בC או PERL או כל שפה\סקריפט אחר לאתרים,אבל הכי ממולץ זה בשפות במקוריות של הWEB
טוב אז כדי להתחיל בנושא התוכנה צריך לדעת שפות תכנות כמו C,C++,JAVA וגם סקריפטים(לא חייב) כמו PERL,PYTHON,BASH וכדו' אבל מומלץ ללמוד את הסקריפטים האלה כי הם יהיו מאוד שימושים בבניית אקספלויטים(ניצולים - הסבר בהמשך) ובלינוקס(גם הסבר בהמשך)...אחד הדברים הכי חשובים בתוכנה זה GUI וCONSOLE מה ההבדל? CONSOLE זה שורת פקודות - כלומר אתה נותן פקודות ע"י רשימתן - ואז התוכנה קוראת אותן,מנסחת ועושה את הפעולה, וGUI זה
graphical user interface כלומר זה תוכנה עם אינטרפייס(ממשק) של גרפיקה למשתמש - כלומר זה תוכנה שבנוייה על גרפיקה לא כמו קונסול יש יותר נוחות, כלומר בתוכנה על GUI בעצם צריך יותר ללחוץ על כפתורים ולא לכתוב את הפקודה - אחרי לחיצה התוכנה מבצעת את מה שלחצת עליו...
אז אחרי שהסברתי לכם זה בעצם הכל על תוכנה(יש עוד כמו REVERSING וכו' אבל על זה אני יסביר אחר כך)...
עכשיו לאבטחת מידע!!!!!!!!!
אחרי שאתם ידעים לתכנת אתם יכולים ללמוד להשתמש במערכות הפעלה מבוססות על לינוקס! מזה ליונוקס? לינוקס זה בסיס של מערכת הפעלה כמו שיש את וינדוס אבל הבסיס של וינדוס זה DOS עכשיו לדוגמא UBUNTU מבוסס על לינוקס וMAC OS של APPLE מבוסס על UNIX...
לינוקס זו סביבת עבודה ממש נוחה למאבטחי מידע,אחרי שלומדים להשתמש בלינוקס אני ממליץ לכם ללמוד על BACKTRACK זו מערכת הפעלה מבוססת על לינוקס שנוצרה במיוחד למאבטחי מידע, אתם יכולים לבחור מה אתם רוצים להיות: כובע לבן, כובע שחור, כובע אפור או פנטסטר אבל להגיע לרמת הפנטסטר זה לא הדבר הכי קל וצריך להשקיע שנים בשביל החרא הזה ;P אבל אחרי שאתם יודעים על לינוקס אתם יכולים ללמוד ניהול רשתות וכדו' יש המון קורסים לניהול רשתות בלינוקס.
דבר חשוב שכדי ללמוד זה שפת מכונה - היא תעזור לכם בREVERSING - מזה REVERSING? זאת הנדסה הפוכה, כאשר מקמפלים קובץ לEXE הוא הופך לקוד מכונה וקשה להוציא ממנו נתונים לכן יש את הDEBUGGING שזה לראות את הקוד מכונה שרץ ולפענח אותו זה יכול לעזור לכם בלמצוא קראקים למשחקים וססמאות וכו'
עוד דבר שהDEBUGGING שיכול לעזור לכם זה לבניית אקספלויטים - הכי חשוב! אקספלויט = ניצול, אקספלויט זה אלגוריתם שמנצל באג מתוכנה\באתר. בניית אקספלויטים זה אחד הדברים הקשים שיש בנושא...אקספלויטים משתמשים לפריצה לאתרים\מחשבים שעובדים על התוכנה שמצאת בה את הבאג - כמובן הם יכולים להיות לא רק פורצים אלה גם מפילים וכדו' למי שרוצה מאגר נתונים עצום של אקספלויטים יש את האתר EXPLOIT-DB....
אחרי שלמדתם את כל זה אפשר להיכנס לדברים יותר מסובכים כמו מתקפות - DOS ATTACK שזה מתקפה שטובה להפלת אתרים, יש גם DNS CACHE POISONING שזה הרעלת DNS(DOMAIN NAME SERVER) שזה בעצם לעבוד על השרת אינטרנט שלכם שאתם אתר מסויים - לדוגמא יש את האתר A.COM אז אתם עובדים על השרת שאתם האתר A.COM וככה כל אחד ברשת שלכם יתחבר אליכם יש הסבר מפורט מאוד על זה אבל אני לא יכנס לזה, אני יעשה מאמרים אם יבקשו על מתקפות וכו' יש גם את המתקפה המאוד מפורסמת שאין לה עדיין הגנה ואני פשוט מת עליה! קוראים לה MITM ATTACK שזה MAN IN THE MIDDLE ATTACK בעברית - מתקפת האדם באמצע, המתקפה מתבצעת ברשת שלך היא נועדה לגניבת מידע, לדוגמא דני וטומי מעברים מידע בינהם נגיד טומי הוא פייסבוק - FACEBOOK.COM ודני הוא לקוח שלו, ויש האקר שנמצא על הרשת של דני והוא רוצה לגנות את המידע שהוא מעביר עם פייסבוק שזה משתמשים\התכתבויות וכו' אז מה הוא עושה? את מתקפת האדם באמצע הוא אומר דני שהוא טומי וככה דני מעביר את המידע גם לטומי וגם לתוקף - אולי זה נשמע פשוט אבל בשטח זו אחת המתקפות הקשות!
יש עוד הרבה נושאים שאתם יכולים ללמוד ואם אתם צריכים עזרה אני פה
אני יבקש לנעוץ את הנושא בשביל שמתחילים לא ישאלו שאלות כאלה יותר...
למי שיש שאלות שיגיב.
אני יעשה עוד הרבה מדריכים ומאמרים על המתקפות האלה שדיברתי עליהם איתכם.
אם יש שגיאות כתיב אז תגידו פשוט אני לא ממש שמתי לב למה שאני רושם כשרשמתי
-המשך יום נעים
-ספיר שמר.
איך להיכנס לנושא :) - כדי למנוע שאלות של מתחילים.
ציטוט ההודעה
נכתב במקור על ידי sapirshemer
