La guía del autoestopista para la prueba de lápiz de aplicaciones world-wide-web


¿Tienes tiempo libre y buscas aprender sobre aplicaciones website? Aquí hay una lista para comenzar.

Hace seis meses, comencé mi propio viaje aprendiendo pruebas de penetración de aplicaciones internet desde cero. Varias personas me han pedido que compile estos recursos en un compendio dirigido a aquellos con poca o ninguna experiencia en seguridad de la información. Esta lista presenta materiales de aprendizaje gratuitos y de código abierto.

Construir una foundation
Para aquellos puramente interesados ​​en encontrar vulnerabilidades para los programas de recompensas de errores, hay scripts de código abierto que puedes usar para escanear rápidamente aplicaciones internet. Sin embargo, la prueba de la pluma es un proceso metódico que requiere un conocimiento fundamental. Para encontrar vulnerabilidades más difíciles, como fallas de lógica de negocios o condiciones de carrera, debe tener una comprensión completa de cómo funcionan Online y las aplicaciones internet. Construir una foundation de los fundamentos facilitará su experiencia al encontrar todas las vulnerabilidades y proporcionará el contexto necesario para evaluar el riesgo.

Mozilla ofrece explicadores sorprendentes sobre el desarrollo world wide web. Recomiendo leerlo todo. Comience con esta serie de YouTube: «¿Qué es la net?«Entonces mira su guías para desarrolladores. Presta mucha atención a lo siguiente:

● ● Ajax

● ● Guía de API net

● ● JavaScript

● ● Localizaciones y codificaciones de caracteres

● ● Analizando y serializando XML

Si se toma en serio la prueba del lápiz de la aplicación world wide web, pasará una cantidad excesiva de tiempo mirando HTTP, que es un protocolo de capa de aplicación para comunicarse entre los navegadores world-wide-web y los servidores world wide web. Recomiendo leer todos los de Mozilla explicadores en HTTP Me lo agradecerás más tarde.

Para aquellos interesados ​​en más detalles, dirigidos a probadores de bolígrafos de aplicaciones web, también pueden leer estos artículos técnicamente densos de PentesterLab: «Website para Pentester«y»Internet para Pentester II«.

Puede preguntar: «¿Cuál es la diferencia entre servidores web, servidores de aplicaciones y servidores de bases de datos?» Desbordamiento de pila proporciona Una respuesta ordenada. Aquí hay una página HTML de la vieja escuela que ilustra Cómo funcionan las aplicaciones website. Para un tutorial más completo, lea el capítulo del libro de texto O&#39Reilly sobre aplicaciones de bases de datos y la Web.

Ah, y también deberías leer sobre terminología de redes.

Finalmente, debe comprender los controles de acceso basados ​​en roles. Aquí hay un simple explicador por contexto. También hay un explicador conciso en GitHub. Para obtener una explicación más detallada escrita para ingenieros, consulte este artículo.

Aprenda cómo se estructuran ciertos lenguajes de programación
No, no es necesario ser un maestro en todos los lenguajes de programación que se hayan creado. No necesita las habilidades para crear solo el próximo Google. No es necesario ser el equivalente tecnológico de Miguel Ángel preparándose para imprimir en 3D a David.

Sin embargo, debe tener un buen sentido de cómo se estructuran ciertos lenguajes de programación. También debe entender la línea de comando.

Existen muchos programas de suscripción de pago, como Codecademy, que ofrecen una forma sólida y estructurada de aprender lenguajes de programación. Pero como prometí, este es un compendio de recursos gratuitos y de código abierto. Aquí hay algunos puntos de partida:

● JavaScript

o Introducción a JavaScript (libre de Codecademy)

o Aprende JavaScript

● SQL

o SQLZoo

● Python

o Nota: Python 2 ha quedado en desuso. Te recomiendo que takes advantage of recursos para Python 3.

o Aprender Python

o Clase Python de Google

● línea de comando

o Un curso intensivo de línea de comando

o Un handbook de línea de comando para principiantes

Configurar un proxy en un laboratorio digital
No necesita un laboratorio digital completo cuando aprende los fundamentos. La mejor herramienta para comenzar es Edición comunitaria de Burp Suite. Es un proxy básico que intercepta el tráfico HTTP para que pueda modificar manualmente las solicitudes. los Edición profesional cuesta $ 399 por año y ofrece un escaneo sólido de aplicaciones website, así como otras herramientas útiles. Por lo typical, se usa para probadores de bolígrafos profesionales y cazadores de recompensas de errores.

Dicho esto, no use un proxy mientras realiza negocios diarios en su navegador. En otras palabras, no use Burp para representar el tráfico cuando transfiera sus ahorros o ingrese su número de Seguro Social en Sitios muy secretos.

Es más seguro configurar un proxy en un laboratorio digital, por lo que también podría configurar Kali Linux. Kali Linux es una distribución de Linux para pruebas de lápiz que viene preempaquetada con herramientas necesarias Aquí hay una excelente explicador en Kali Linux y Metasploit Framework, que te recomiendo que leas.

Consulte esta guía de YouTube para instalar Kali: Cómo instalar Kali Linux en VirtualBox. Entonces united states of america esto guía para configurar su navegador para que funcione con Burp Suite. Una nota importante: la distribución 2020.1 Kali Linux está configurada como no root de forma predeterminada, que es diferente de las versiones anteriores. Si eso no tiene sentido para ti, está bien. Descargue una versión anterior de Kali Linux a menos que ya se sienta cómodo con Linux.

No se empantane con los detalles todavía. Hay mucha información sobre Kali. Como principiante, concéntrate en los fundamentos.

Hunker Down para sumergirse en los detalles más finos
La biblia de la prueba de lápiz de la aplicación net es la Handbook de hackers de aplicaciones world-wide-web, segunda edicion. World-wide-web Archive lo ha digitalizado y lo ha creado libremente disponible. Lee todo esto. Acurrucarse en tus pijamas, servirte una bebida y leer todo este libro, de principio a fin.

En lugar de lanzar una tercera edición impresa, PortSwigger creó el Academia de seguridad world wide web. Hay laboratorios interactivos de vulnerabilidad y videos tutoriales, todos gratuitos. También tiene esta excelente guía para usar Eructo para probar el OWASP Major 10.

Para los descarados y no divertidos, ábrete camino Lecciones de Hacksplaining para una visión standard de las vulnerabilidades.

Para obtener una lista exhaustiva de todas las herramientas y recursos de seguridad world-wide-web, consulte este Repositorio de GitHub. Cuando esté listo para probar su nuevo conocimiento en los sitios, consulte GitHub&#39s lista de laboratorios.

Te prometí que esta lista consistiría en material gratuito y de código abierto, pero sería un mistake no mencionarlo PentesterLab. Es un curso por suscripción con cajas de arena útiles para probar vulnerabilidades de aplicaciones world wide web. También ofrece un servicio gratuito Campo de entrenamiento PentesterLab sin acceso a cajas de arena.

Hay muchos sitios web vulnerables en los que puede practicar, incluidos Tienda de jugos, WebGoaty bWAPP.

Si está interesado en la seguridad de la aplicación, únase a su local OWASP capítulo. OWASP es una organización sin fines de lucro destinada a distribuir libremente información, recursos, herramientas y metodologías para mejorar la seguridad de las aplicaciones en todo el mundo.

Esta lista está destinada a mojarse los pies. Una vez que comience a explorar el content, recorra su propio camino y encuentre las clases de vulnerabilidades que más le atraigan. Está bien si te sientes abrumado. Day tiempo para procesar el product.

La teoría de la competencia consciente establece que hay cuatro etapas de aprendizaje: incompetencia inconsciente, incompetencia consciente, competencia consciente y competencia inconsciente. En la primera etapa, tu no sé lo que no sabes. Espero que esta lista te ayude a identificar lo que no se. A partir de ahí, todo es posible.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Vanessa Sauter es analista de estrategia de seguridad en Cobalt.io, una compañía de Pentest como servicio, donde se enfoca en la seguridad de aplicaciones y el equipo azul. Anteriormente trabajó en Brookings Institution y Aspen Institute en Washington, DC, donde se especializó en … Ver biografía completa

Lectura recomendada:

Más concepts





Enlace a la noticia unique