تست نفوذ – مرور کامل سازگار

من در انتهای این پاسخ برخی منابع خوب شما را پیوند خواهم داد. اما من فکر می کنم آنچه که شما باید بدانید این است که به طور کامل چیزی یاد بگیرند، من فکر نمی کنم شما باید تلاش کنید که از یک منبع یاد بگیرند. دهها هزار منبع خوب برای یادگیری در InfoSec وجود دارد (و در هر چیزی در واقع)

به نظر شما سوال شما این است که شما یک منبع را می خواهید، من متاسفم، اما شما آن را دریافت نخواهید کرد. یادگیری در مورد گرفتن چیزها، درک آن و پس از آن قادر به اجرای آن برای یادگیری از یک منبع است صادقانه … غیر ممکن است. می گویم غیرممکن است به ویژه هنگامی که در این زمینه بسیار فراگیر است.

https://www.amazon.co.uk/Penetration-Testing-Hands-Introduction-Hacking/dp/1593275641 – این کتاب فوق العاده برای دانش پایه است، می آموزد شما انواع حملات، چگونگی راه اندازی یک آزمایشگاه (برای یادگیری) و یک کتاب پایه و اساس خوب است که من معتقدم که بسیاری از افراد توصیه می کنند.

در اینجا یک سوال در مورد InfoSec با منابع برای آسیب پذیری های وب – بهترین منابع برای یادگیری حملات امنیتی اینترنتی

شما همچنین می توانید از این سایت استفاده کنید – https://www.owasp.org/index.php/Main_Page

I همچنین به خواندن این مطلب نگاه کنید – https://www.amazon.co. UK / Hacking-Art-Exploitation-Jon-Erickson / dp / 1593271441

به غیر از آنکه اینترنت را کشف کنید، منابع زیادی وجود دارد اما بهترین توصیه ها – از یک مکان یاد نمی گیرند.

EDIT این ممکن است یک پست خوب برای نگاه کردن به خوبی روش های آزمون نفوذ

نرم افزار وب – احراز هویت نیکو

من سعی می کنم یک بازی جنگی بر روی هک های ناشی از جهنم را تکمیل کنم.

من مایل به استفاده از اسکنر nikto برای چک کردن برخی صفحات برای آسیب پذیری ها هستم، اما برای اولین بار باید وارد بازی جنگ هک شدگان هکرها شدم و سپس شروع شد اسکن قلم آزمون 1 چالش

در اینجا URL مربوط به چالش خاص:

https://www.hellboundhackers.org/challenges/pentest/pentest1/index.php

فرمان من در حال تلاش برای استفاده از این، با این حال اسکنر در حال حرکت به سمت صفحه فهرست است https://www.hellboundhackers.org که ناامید کننده است به عنوان من می خواهم برای اسکن /challenge/pentest/pentest1/index.php . من معتقدم که این به این دلیل است که بخشی از احراز هویت -id + به درستی کار نمی کند؟

 nikto -ssl -id username: password -h https://www.hellboundhackers.org/challenges/pentest/pentest1/ index.php؟

متشکرم.

برنامه وب – LFI – URL اضافه شده توسط .php

من در سراسر یک هدف آسیب پذیر در طول pentesting.

 عبارتند از ($ rootpath / includes / dir /".$_ GET ["section"]. ".php")؛

هدف برای حمله LFI آسیب پذیر است.
هنگام بازدید از URL زیر
http://target.com/img؟section=images آن را کاملا کار می کند به عنوان images.php در $ rootpath / includes / dir / موجود است.
هنگامی که من از URL زیر بازدید http: // target.com/img؟section=images.php هیچ چیز به این معنی نیست که سرور قادر به پیدا کردن فایل images.php.php نیست. آیا هیچ راهی برای جلوگیری از محدودیت آپلود php وجود دارد؟ من سعی کردم http://target.com/img؟section=images.php٪00 اما وب سرور در حال تلاش برای پیدا کردن http://target.com/img؟section=images.php٪00.php فایل است.
من میخواهم فایل / etc / passwd را بخوانم.

آزمون نفوذ – هر گونه جایگزین برای Ngrok برای اتصال ثابت؟

من در تلاش برای ساخت RAT برای آزمایش بر روی کامپیوتر من. من از ngrok برای هک کردن در WAN استفاده می کنم. اما ngrok مشکل تغییر زیر دامنه خود را هنگامی که اتصال تنظیم مجدد است. بنابراین، من نمی توانم از ngrok برای هک کردن بیش از WAN استفاده کنم. من سعی کردم با استفاده از زیر دامنه ngrok، اما در حال حاضر آن را به یک طرح حق بیمه تبدیل شده است. لطفا پیشنهادات من به برخی از گزینه های ngrok که به من Subdomain ثابت، حتی اگر اتصال تنظیم مجدد. همچنین پیشنهاد می شود اگر روش های دیگر برای هک کردن بیش از WAN به غیر از SSH Tunneling، استفاده از VPN و حمل و نقل پورت وجود دارد.

آزمون نفوذ – Hydra – تمام رمزهای عبور کار می کنند

من می خواهم برخی از مکانیسم های وب سایت من را آزمایش کنم زمانی که رمز ورود یک کاربر چند بار در یک زمان کوتاه به صورت نامناسب در فرم ورود وارد شده است.

من اطلاعات زیر را دارم:

  • میزبان: 127.0.0.1 (همانگونه که من به صورت محلی امتحان میکنم)
  • روش: https-form-post (همانطور که سایت از HTTPS استفاده میکند
  • URL: / login
  • پارامترهای فرم: username = admin، password = از لیست رمز، submit_login (boolean)
  • من می خواهم از یک فایل رمز عبور (password.txt)

استفاده کنم ورود به سیستم کار نمی کند، یک صفحه نشان داده می شود، کدام عنوان اچ تی ام ال "ورود ناموفق" است – با این حال من مطمئن نیستم که چگونه این را به Hydra بگویم.

بنابراین من سعی کردم زیر اما نتیجه همه رمزهای عبور کار می کنند:

hydra -l admin -P password.txt 127.0.0.1 https-post-form "/ login: username = ^ USER ^ & password = ^ PASS ^ & submit_login & Login: Login failed" 19659002] خطای من کجاست؟