¿Los mejores recursos para aprender ataques de seguridad web? [cerrado]

Navega tus respuestas
7

¿Alguien puede sugerir buenos recursos para conocer las vulnerabilidades y los ataques a sitios web, de manera práctica, para alguien con experiencia en programación limitada?

    
pregunta D.W. 08.04.2012 - 02:37
fuente

6 respuestas

9

OWASP tiene un par de recursos muy interesantes de este tipo:

  • Hacme Bank : una aplicación bancaria creada con algunas vulnerabilidades para que la encuentre y trate de explotarla.
  • The WebGoat Project : aplicación web con varias vulnerabilidades. Cada ataque posible se explica en una lección específica, para que pueda concentrarse en una técnica en ese momento.
respondido por el user1301428 08.04.2012 - 10:38
fuente
9

Le sugiero que comience por desarrollar sitios web dinámicos que involucren una base de datos, utilizando HTML / CSS, un lenguaje de programación del lado del cliente (como JavaScript) y un lenguaje dinámico (PHP es una opción popular). Para comprender completamente los ataques de seguridad web, primero debe familiarizarse con la arquitectura cliente / servidor, y la forma en que un lenguaje dinámico interactúa con una base de datos para recuperar / insertar / modificar datos.

Una vez que comprenda los conceptos básicos del desarrollo web dinámico, puede comenzar a aprender sobre los ataques. El OWASP Guide Project es un gran recurso y una referencia para probadores de penetración web experimentados así como para recién llegados. Para capacitación práctica, solo google para una aplicación web vulnerable y encontrará muchas aplicaciones deliberadamente vulnerables para la práctica en contra de de forma segura y legal . DVWA es un buen punto de partida.

El siguiente paso es aprender acerca de las herramientas. Le aconsejo que no los use hasta que comprenda completamente los diferentes ataques (XSS, SQLi, CSRF, RFI / LFI, XST, etc.) y cómo realizarlos manualmente. Para obtener una lista concisa de herramientas de código abierto para usar cuando evalúe una aplicación web, puede verificar esta respuesta anterior mía .

    
respondido por el lisa17 08.04.2012 - 13:57
fuente
4

Sans tiene una prueba de penetración web y un hackeo ético: Capture la clase de bandera en la que podría estar interesado en enlace

Hay algunos sitios de captura de bandera que podría aprender de usar

Puede encontrar una lista más grande en enlace

    
respondido por el Phillip Nordwall 31.07.2012 - 22:06
fuente
2

Creo que su capacidad para comprender los ataques de software está limitada por su capacidad para crear software. Para las personas con experiencia en programación limitada interesadas en la "seguridad web" les diría que escriban una aplicación web. Puede ser simple, pero necesitan saber cómo funciona desde el punto de vista de los desarrolladores antes de que puedan entender cómo se puede manipular para realizar tareas para las que no fue diseñado.

    
respondido por el rook 08.04.2012 - 04:19
fuente
2

esta aplicación web vulnerable lo ayudará a comprender el top 10 de OWASP y lo bueno es que está desafiando a Mutiliade

    
respondido por el P3nT3ster 08.04.2012 - 15:06
fuente
1

Sé que hay sitios como HackThisSite que tienen un enfoque práctico para enseñar seguridad. Usted puede comprobar esos. Una vez que tenga una comprensión fundamental de las vulnerabilidades comunes, leer mucho (¡incluyendo este sitio!) También puede ayudar mucho.

    
respondido por el Oleksi 08.04.2012 - 05:07
fuente

Lea otras preguntas en las etiquetas

¿Es una buena idea usar una entrada del usuario como SALT? ¿Explicación simple de cómo funciona Dirty COW?