Главная > Uncategorized > Веб-безопасность — курс молодого бойца

Веб-безопасность — курс молодого бойца

Одной из основных задач научного руководителя при наборе новых студентов является проведение ликбеза в своей предметной области. Цель простая — вывести студентов на некоторый базовый уровень. Возможно, мой опыт окажется полезным начинающим интересоваться веб-безопасностью.

Соответственно, для погружения в область веб-безопасности, я рекомендую пройти theoretical track, practical track и подписаться на блоги, в которых публикуются полезные (либо с теоретической, либо с практической точки зрения) сведения.

Theoretical Track.

  1. Зачем вообще нужна вся информационная безопасность? Ответ находится в документе NIST SP 800-30: Risk Management Guide for Information Technology Systems.
  2. Web Application Hacker’s Handbook. Читать от корки до корки не обязательно (но очень желательно) – использовать как справочник: если что-то услышали, про что не знали ранее – открываем книгу и читаем. К обязательному прочтению на первом этапе только одна глава – Chapter 3: Web Application Technologies.
  3. The Shellcoder’s Handbook. Опять же, читать целиком не обязательно, но очень желательно. К обязательному прочтению на первом этапе — Part I: Introduction to Exploitation: Linux on x86.

Practical Track.

  1. Пройти все уроки WebGoat. Если покажется элементарщиной — переходим к следующему шагу.
  2. Установить и исследовать на наличие уязвимостей веб-приложения, специально сделанные уязвимыми:

    Рекомендуемый инструмент для анализа этих веб-приложений на начальном этапе — Burp Suite. Имеет смысл организовывать виртуальные машины (VMware, Virtual Box и т.д.) и ставить это все на них – будет удобно, отчуждаемо и таким образом можно будет накопить свой полезный инструментарий софта.

  3. Задание со звездочкой. Установить Backtrack и познакомиться с его функционалом (какие задачи решает каждый из инструментов). Поработать с ним вместе с обучающими видео. Научиться работать с Metasploit Framework: цель — уметь эксплуатировать известные уязвимые к переполнению буфера сервисы под Windows и Linux.

Ну и наконец подписки. Для начала я рекомендую подписаться на следующие блоги:

  1. http://jeremiahgrossman.blogspot.com/
    Блог Джереми Гроссмана — основателя WhiteHat Security и Web Application Security Consortium. Человек имеет предельно ясный взгляд на веб-безопасность, особенно на организационную составляющую этой области. Чтение его блога прекрасно упорядочивает и структурирует имеющиеся в голове сведения по ИБ. Кроме того, в его блоге периодически публикуются новые типы уязвимостей и новые методы эксплуатации известных недостатков веб-технологий.
  2. http://blog.andlabs.org/
    Блог независимых исследователей в области веб-безопасности. В последнее время их интерес лежит в области HTML5, что особенно актуально. Их публикации чаще всего рассказывают о новых вариантах эксплуатации известных типов уязвимостей. Особого внимания заслуживают PoC инструменты их авторства: Imposter и Shell of the Future.
  3. http://devteev.blogspot.com/
    Автор блога, Дмитрий Евтеев, является одним из ведущих экспертов-практиков в области ИБ в России. В его блоге публикуются заметки об основных событиях в области ИБ в России, обсуждаются новые виды атак на известные уязвимости. Что особенно приятно, автор всегда охотно и развернуто отвечает в комментариях на вопросы своих читателей.
  4. http://research.zscaler.com/
    Блог компании ZScaler — одного из лидеров в области Cloud Security в Интернет. В блоге публикуются отчеты о новых тенденциях и способах распространения вредоносного программного обеспечения, предоставляется информация о способах монетизации вредоносной активности. Рекомендуется читать для того, чтобы хоть как-то начать понимать структуру криминального кибер-бизнеса.
  5. http://websec.wordpress.com/
    Блог независимого исследователя в области веб-безопасности из немецкого университета в Бохуме (Германия). Пишет в основном о вариантах эксплуатации веб-приложений в инфраструктуре LAMP (Linux + Apache + MySQL + PHP). Знаменит серией публикаций «Exploiting hard filtered SQL Injections» [часть 1, часть 2, часть 3].

Кроме того, обязательно надо подписаться на рассылку Web Application Security Consortium. В рассылке можно найти как важные объявления (релизы продуктов, отчетов и статей, объявления конференций и т.п.), так и познавательные обсуждения.

Плюс ссылки на справочники — где искать, что означает тот или иной новый термин:

Буду рад услышать feedback und дополнения.

Реклама
Метки:
  1. 18.08.2010 в 17:55

    вставлю свои 5 копеек :)

    Theoretical Track.
    OWASP: http://www.owasp.org/
    WASC: http://www.webappsec.org/

    подписки из отечественных:
    Raz0r http://raz0r.name/
    Qwazar http://qwazar.ru/
    D0znp http://oxod.ru/
    Defec http://www.defec.ru/

    из зарубежных:
    http://ha.ckers.org/blog
    http://sla.ckers.org/forum/

    • 19.08.2010 в 11:14

      Ага, принято, спасибо.
      Только, к сожалению, новичку нельзя просто дать ссылки на OWASP и WASC – он не сможет самостоятельно отделить базовые статьи от продвинутых. Это все равно, что дать ссылку на google :) Может, у тебя есть конкретный набор статей с этих ресурсов, которые ты рекомендуешь?
      p.s. А как ты на слакерсы подписан – через RSS или просто периодически заходишь проверять?

  2. ArtSaiman
    15.11.2011 в 12:18

    Я вот с радостью бы пошёл в универ, если бы там где-нибудь был факультет веб-безопасности, а пока спасибо за статью)

  3. Ярослав
    13.05.2014 в 13:47

    Благодарю за ваши труды! Я недавно интересуюсь ИБ, и ваш сайт мне очень помог именно со структуризацией информации, и еще много чем. А так же отдельная благодарность за семинары. Очень приятно осознавать что есть такие люди!!!

  4. 0xdin
    03.07.2015 в 08:04

    Андрей, чтобы вы могли посоветовать начинающим веб-пентестерам сегодня? Не могли бы актуализировать статью с учетом прошедших 5 лет?

  5. Анна
    31.01.2016 в 12:25

    Скажите, Андрей!
    Спасибо за пошаговую инструкцию для старта.
    Возможно ли, на ваш взгляд, гуманитарию с пытливым умом освоить данную науку? С нуля. Для себя.

    • 31.01.2016 в 13:58

      Анна, полагаю, нет ничего невозможного при должной мотивации. Придется только сначала прокачаться в ИТ-технологиях и уже потом переходить к ИБ.

  6. Слава
    01.06.2016 в 14:14

    Добрый день Андрей, скажите пожалуйста насколько актуален ваш документ-методичка на сегодняшний день, могли бы ли вы добавить или изменить что-то, или же подтвердите его актуальность, большое спасибо за ваш труд!

  7. Слава
    01.06.2016 в 17:40

    P.S. И еще один вопрос, у вас нигде нет упоминания о SQL_Injection, с чем это связано, это тема встретится на пути изучения предмета, или же есть другое объяснение?

    • 01.06.2016 в 18:24

      В смысле нигде? В курсе молодого бойца? Про SQLi написано в Hacker’s Handbook, на сайтах с заданиями есть задания на SQLi.
      Кроме того, феномен SQLi (особенно при наличии sqlmap) не так интересен (в том смысле, что он относительно прост в понимании) по сравнению с другими типами недостатков.

      • Слава
        01.06.2016 в 18:30

        Да, просто нет в списке для молодого бойца, но я уже и сам понял, что надо сначала до конца разобрать, а потом спрашивать )
        Спасибо и Удачи!

  8. Слава
    28.08.2016 в 01:37

    Доброго вечера! Может с началом нового учебного года обновите документ )?
    Благодарю за ответ и ваш труд!

    • 31.08.2016 в 00:09

      Да, надо бы обновить. Найду время и сделаю update

      • Слава
        31.08.2016 в 00:10

        Благодарю!

    • 09.10.2016 в 22:29

      Обновил по мере возможности…

      • Слава
        10.10.2016 в 01:18

        Благодарю!

  1. No trackbacks yet.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: