מחפש מדריך ללמוד אבטחת אתרים
-
אני מסתפק אם יש דרך מסודרת ללמוד אבטחת אתרים. יכול להיות שאין דרך. או שהדרך המסודרת קשה מאוד.
כמובן, שהבסיס הוא מה שדוד כתב: לפני שתלמד איך לפרוץ לאתר אתה חייב ללמוד איך בונים אתר.
יש לי שתי המלצות:
המלצה כללית מאוד:- להתעניין בכל דבר, איך זה עובד? למה זה בנוי ככה? וכו' וכו'. תמיד, אבל תמיד, תהיה במצב למידה. ככה תדע שאתה האקר אמיתי (במובן החיובי של המילה)
המלצה פרטית:
- לקרוא כל חודש את מגזין digital whisper (וגם לקרוא את ספריית הגליונות הקודמים). זה ייתן לך קצת מושגים בנושא.
פוסט זה נמחק! -
@מנסה-להבין אוקי, אני מבין שאתה מעוניין ממש בידע, יש לך חוש טכני, מבין טיפה מהחיים במושג אינטרנט.
הכיוון שלך כעת זה להבין יותר טוב את המושג אינטרנט, לשחק קצת עם בניית אתרים באופן שיחדד ויעזור להבחין מה קורה ומי עושה מה (המטרה הסופית של שלב זה להבין לגמרי מה עובר על כל דף אינטרנט בכל שלב. אחרי זה, תוכל ללמוד ולבחון על האיומים נפוצים הקלאסיים, ואיך מתמודדים איתם, אבל אני מקדים את המאוחר).
אתה אומר שיש לך אתר, תפרט מעט מה אתה כבר יודע ומה לא באתר שיש לך. איזה סוג מערכת רצה בו, דפי HTML או מערכת מוכנה כמו וורדפרס? כמה שיותר תפרט יותר אוכל לכוון אותך (תשתדל להתמקד במה אתה יודע על בניית אתרים).
(בנוגע לHTTP/S, בא תשאיר את זה לאח"כ).@dovid אמר במחפש מדריך ללמוד אבטחה & פריצת אתרים:
דפי HTML
פעם למדתי HTML אבל נראה לי ששכתי כמעט הכל
-
אני מסתפק אם יש דרך מסודרת ללמוד אבטחת אתרים. יכול להיות שאין דרך. או שהדרך המסודרת קשה מאוד.
כמובן, שהבסיס הוא מה שדוד כתב: לפני שתלמד איך לפרוץ לאתר אתה חייב ללמוד איך בונים אתר.
יש לי שתי המלצות:
המלצה כללית מאוד:- להתעניין בכל דבר, איך זה עובד? למה זה בנוי ככה? וכו' וכו'. תמיד, אבל תמיד, תהיה במצב למידה. ככה תדע שאתה האקר אמיתי (במובן החיובי של המילה)
המלצה פרטית:
- לקרוא כל חודש את מגזין digital whisper (וגם לקרוא את ספריית הגליונות הקודמים). זה ייתן לך קצת מושגים בנושא.
פוסט זה נמחק! -
@dovid אמר במחפש מדריך ללמוד אבטחה & פריצת אתרים:
לשחק קצת עם בניית אתרים באופן שיחדד ויעזור להבחין מה קורה ומי עושה מה (המטרה הסופית של שלב זה להבין לגמרי מה עובר על כל דף אינטרנט בכל שלב. אחרי זה, תוכל ללמוד ולבחון על האיומים נפוצים הקלאסיים, ואיך מתמודדים איתם, אבל אני מקדים את המאוחר).
אתה אומר שיש לך אתר, תפרט מעט מה אתה כבר יודע ומה לא באתר שיש לך. איזה סוג מערכת רצה בו, דפי HTML או מערכת מוכנה כמו וורדפרס? כמהיש לי 2 אתרים ואתר אחד זה וורדפרס ואתר שני זה NODEBB
@מנסה-להבין אמר במחפש מדריך ללמוד אבטחה & פריצת אתרים:
תאמת שזה שאני יודע לבנות אתר זה כלום כי יש לי 2 אתרים ואתר אחד זה וורדפרס ואתר שני זה NODEBB
כלומר אתה לא יודע לבנות אתר בכלל
-
@מנסה-להבין אמר במחפש מדריך ללמוד אבטחה & פריצת אתרים:
תאמת שזה שאני יודע לבנות אתר זה כלום כי יש לי 2 אתרים ואתר אחד זה וורדפרס ואתר שני זה NODEBB
כלומר אתה לא יודע לבנות אתר בכלל
-
פוסט זה נמחק!
@מנסה-להבין נסה להתנהג יותר בצורה שהולמת פורום ופחות בצורה שהולמת צ'אט. תעבור על חוקי הפורום.
-
מערך הסייבר העלו קורס מוצלח מאוד (כמו הרבה קורסים מוצלחים שלהם) על WEB Security, בקישור הזה. מומלץ בחום (כמובן שכמו שהזכירו לעיל צריך לדעת לפחות מינימום של בניית אתרים).
@מוטי-אורן
הסרטונים חסומים עדיין בנטפרי
וכנראה שלא יפתחו, כי בתמלול כתוב:היי, אני רוני
חיה ונושמת אבטחת מידע בסביבת הווב .....זה אומר שזה אשה?
עריכה: נראה שלא חייבים את הסרטונים כדי ללמוד.
מייל: nigun@duck.com
-
@מוטי-אורן
הסרטונים חסומים עדיין בנטפרי
וכנראה שלא יפתחו, כי בתמלול כתוב:היי, אני רוני
חיה ונושמת אבטחת מידע בסביבת הווב .....זה אומר שזה אשה?
עריכה: נראה שלא חייבים את הסרטונים כדי ללמוד.
-
מערך הסייבר העלו קורס מוצלח מאוד (כמו הרבה קורסים מוצלחים שלהם) על WEB Security, בקישור הזה. מומלץ בחום (כמובן שכמו שהזכירו לעיל צריך לדעת לפחות מינימום של בניית אתרים).
@מוטי-אורן אמר במחפש מדריך ללמוד אבטחת אתרים:
על WEB Security, בקישור הזה. מומלץ בחום (כמובן שכמו שהזכירו לעיל צריך לדעת לפחות מינימום של בניית אתרים).
לבנתיים זה הכי מועיל הבעיה שזה למתחילים וכמעט את כל השאלות שם ידעתי מייד חוץ מזה שכל הפרצות הבטחה שכתובות שם לדעתי אין אפילו אתר אחד שיש אותם כל אתר שמשתמש בפלטפורמה כדוגמת NODEBB או WORDPRESS בטוח מאובטח מהפרצות אבטחה האלו בכלל לא נראה לי שש אתר שמשתמש רק באימות בצד לקוח
אני צריך fiddler ללינוקס הנה קשור https://downloads.getfiddler.com/linux/fiddler-everywhere-1.6.1.AppImage (חסום לי בנט-פרי) -
@מוטי-אורן אמר במחפש מדריך ללמוד אבטחת אתרים:
על WEB Security, בקישור הזה. מומלץ בחום (כמובן שכמו שהזכירו לעיל צריך לדעת לפחות מינימום של בניית אתרים).
לבנתיים זה הכי מועיל הבעיה שזה למתחילים וכמעט את כל השאלות שם ידעתי מייד חוץ מזה שכל הפרצות הבטחה שכתובות שם לדעתי אין אפילו אתר אחד שיש אותם כל אתר שמשתמש בפלטפורמה כדוגמת NODEBB או WORDPRESS בטוח מאובטח מהפרצות אבטחה האלו בכלל לא נראה לי שש אתר שמשתמש רק באימות בצד לקוח
אני צריך fiddler ללינוקס הנה קשור https://downloads.getfiddler.com/linux/fiddler-everywhere-1.6.1.AppImage (חסום לי בנט-פרי)@מנסה-להבין
הקורס נועד בשביל ללמדו להגן על האתרים שלך, לכן הם עוברים על פרצות נפוצות כדי שלא תעשה אותו טעות, למצוא פרצות בפלטפורמות נפוצות זה יותר נדיר, רוב הפרצות שקורות בפועל זה פרצות שהתפרסמו ברבים ופורסם תיקון, ומנהל האתר לא הספיק לעדכן. -
@מנסה-להבין
הקורס נועד בשביל ללמדו להגן על האתרים שלך, לכן הם עוברים על פרצות נפוצות כדי שלא תעשה אותו טעות, למצוא פרצות בפלטפורמות נפוצות זה יותר נדיר, רוב הפרצות שקורות בפועל זה פרצות שהתפרסמו ברבים ופורסם תיקון, ומנהל האתר לא הספיק לעדכן. -
@nigun אבל זה ממש למתחילים למשל הם דברו שם איך לעקוף בדיקות בצד לקוח אבל אני בטוח שאין אתר שעושה את הבדיקות רק בצד לקוח
@מנסה-להבין אמר במחפש מדריך ללמוד אבטחת אתרים:
@nigun אבל זה ממש למתחילים למשל הם דברו שם איך לעקוף בדיקות בצד לקוח אבל אני בטוח שאין אתר שעושה את הבדיקות רק בצד לקוח
ראית רק את ההתחלה של המדריך, תמשיך עוד. בהמשך הם מדברים על פרצות נוספות כמו XSS, CSRF וכו' וכו' שכן אפשר למצוא אותם באתרים. אתה הרי לא מצפה שהם ילמדו אותך למצוא פרצות zero day. הם מלמדים שם על הפרצות הנפוצות.
-
@מוטי-אורן אמר במחפש מדריך ללמוד אבטחת אתרים:
על WEB Security, בקישור הזה. מומלץ בחום (כמובן שכמו שהזכירו לעיל צריך לדעת לפחות מינימום של בניית אתרים).
לבנתיים זה הכי מועיל הבעיה שזה למתחילים וכמעט את כל השאלות שם ידעתי מייד חוץ מזה שכל הפרצות הבטחה שכתובות שם לדעתי אין אפילו אתר אחד שיש אותם כל אתר שמשתמש בפלטפורמה כדוגמת NODEBB או WORDPRESS בטוח מאובטח מהפרצות אבטחה האלו בכלל לא נראה לי שש אתר שמשתמש רק באימות בצד לקוח
אני צריך fiddler ללינוקס הנה קשור https://downloads.getfiddler.com/linux/fiddler-everywhere-1.6.1.AppImage (חסום לי בנט-פרי)@מנסה-להבין אמר במחפש מדריך ללמוד אבטחת אתרים:
אני צריך fiddler ללינוקס הנה קשור https://downloads.getfiddler.com/linux/fiddler-everywhere-1.6.1.AppImage (חסום לי בנט-פרי)
הנה.
ומה זה?
https://send.magicode.me/send-file/file/3d0e24fcf1ccbd2b7443540194d76800750bea3d/view -
@מנסה-להבין אמר במחפש מדריך ללמוד אבטחת אתרים:
אני צריך fiddler ללינוקס הנה קשור https://downloads.getfiddler.com/linux/fiddler-everywhere-1.6.1.AppImage (חסום לי בנט-פרי)
הנה.
ומה זה?
https://send.magicode.me/send-file/file/3d0e24fcf1ccbd2b7443540194d76800750bea3d/view@lindoorsos אמר במחפש מדריך ללמוד אבטחת אתרים:
ומה זה?
זה תוכנה לעצירת תעבורת האינטרנט ועריכה של הפרמטרים הנשלחים אתה יכול לקרוא פה:
@מוטי-אורן אמר במחפש מדריך ללמוד אבטחת אתרים:
מערך הסייבר העלו קורס מוצלח מאוד (כמו הרבה קורסים מוצלחים שלהם) על WEB Security, בקישור הזה. מומלץ בחום
-
@dovid אמר במחפש מדריך ללמוד אבטחה & פריצת אתרים:
ראשית הנושא הזה נקרא "אבטחת אתרים"
אני יודע ולכן כתבתי אבטחה (
)למרות שאתה צודק אני ישנה את הכותרת בהשאלה אם אתה באמת רוצה לדעת, או שאתה מאוד רוצה להיות עם הכלי/יכולת הזו.
אני רוצה לדעת (כמובן גם את הכלי אבל אני לא מהאלו שחושבים שצריך פשוט לברר איזה תוכנה עושה את זה בלחיצת כפתור (
)לנושא הזה דרוש ברמה קריטית ידע מוקדם בנושא "הארכיטקטורה של האינטרנט" שזה בניית אתרים על קצה המזלג, והבנה איך עובד האינטרנט ואיך עובדות הפלטפורמות הנפוצות.
אם מעניין אותך יותר, תפרט מה אתה כבר יודע (אם בכלל) ואשמח לכוון אותך איך מתחילים/הלאה.יש לי אתר אבל אני ממש לא מבין איך זה עובד (כמובן אני יודע שכל אתר נמצא בשרת וזה לפי כתובות IP & PORT אבל יותר מזה אני לא ממש מבין
בלי לאהוב את התחום אהבת ידע והבנה.
אני מאד אהב כל הנושאים במחש ויש לי גם חוש לזה אבל אבל זה אחד מתחת מה שהכי מעניין אותי שזה (תיכנות מערכת הפעלה לפלאפונים (שהייתי ילד זה היה לנגנים
)לא תפתח בפניך שערים משמעותיים כפי שאתה מתאר לעצמך. האתרים בהם תצליח "לחגוג" לא יהיו מעניינים, ואלו שמעניינים אותך ישאירו אותך די
אני כבר חשבתי על זה לפני זה
מתוסכל מהגנות פשוטות וקלאסיות שיש כיום בכל אתר נורמטיבי.
זה מאד משנה בין HTTP ל HTTPS לא? (שהיום ברוב האתרים יש HTTPS כך שזה מאד מקשה נכון?)
גם האקר מומחה לא משיג את מה שהוא רוצה באמצעות המקצוע שלו, אלא לפעמים (נדיר ביותר) "מוצא" בהיסח הדעת משהו
אני מכיר את זה מאד טוב מהנסיון שיש לי אם תיכנות אנדרואיד הרבה פעמים קרה לי כאלה דברים
@מנסה-להבין אמר במחפש מדריך ללמוד אבטחת אתרים:
זה מאד משנה בין HTTP ל HTTPS לא? (שהיום ברוב האתרים יש HTTPS כך שזה מאד מקשה נכון?)
אכן זה משנה אבל למתקפת mitim בלבד רוב ההתקפות לא באמת משנות אם האתר ב http או https
-
@מנסה-להבין אמר במחפש מדריך ללמוד אבטחת אתרים:
זה מאד משנה בין HTTP ל HTTPS לא? (שהיום ברוב האתרים יש HTTPS כך שזה מאד מקשה נכון?)
אכן זה משנה אבל למתקפת mitim בלבד רוב ההתקפות לא באמת משנות אם האתר ב http או https
-
@מנסה-להבין אמר במחפש מדריך ללמוד אבטחת אתרים:
מה זה?
נראה לי שהוא מתכוון למתקפת MITM (Men In The Middle - האיש שבאמצע). מדובר במצב שהתוקף בעצם עומד בין הנתקף לבין המשאב שאליו הנתקף רוצה להגיע. במצב כזה קיים הבדל בין HTTP ל - HTTPS, למרות שלא הייתי מגדיר את סוג התקיפה הזאת כתקיפת אתרים.
-
@מנסה-להבין אמר במחפש מדריך ללמוד אבטחת אתרים:
מה זה?
נראה לי שהוא מתכוון למתקפת MITM (Men In The Middle - האיש שבאמצע). מדובר במצב שהתוקף בעצם עומד בין הנתקף לבין המשאב שאליו הנתקף רוצה להגיע. במצב כזה קיים הבדל בין HTTP ל - HTTPS, למרות שלא הייתי מגדיר את סוג התקיפה הזאת כתקיפת אתרים.
@מוטי-אורן אמר במחפש מדריך ללמוד אבטחת אתרים:
נראה לי שהוא מתכוון למתקפת MITM (Men In The Middle - האיש שבאמצע). מדובר במצב שהתוקף בעצם עומד בין הנתקף לבין המשאב שאליו הנתקף רוצה להגיע. במצב כזה קיים הבדל בין HTTP ל - HTTPS, למרות שלא הייתי מגדיר את סוג התקיפה הזאת כתקיפת אתרים.
את זה כבר הבנתי מחיפוש בגוגל אבל אני מתכוון למה זה משמש? ואיך עושים את זה?
-
@מוטי-אורן אמר במחפש מדריך ללמוד אבטחת אתרים:
נראה לי שהוא מתכוון למתקפת MITM (Men In The Middle - האיש שבאמצע). מדובר במצב שהתוקף בעצם עומד בין הנתקף לבין המשאב שאליו הנתקף רוצה להגיע. במצב כזה קיים הבדל בין HTTP ל - HTTPS, למרות שלא הייתי מגדיר את סוג התקיפה הזאת כתקיפת אתרים.
את זה כבר הבנתי מחיפוש בגוגל אבל אני מתכוון למה זה משמש? ואיך עושים את זה?
