24 декабря Архивач восстановлен после серьёзной аварии. К сожалению, значительная часть сохранённых изображений и видео была потеряна. Подробности случившегося. Мы призываем всех неравнодушных помочь нам с восстановлением утраченного контента!
Криптач, прошу не гнать меня ссаными тряпками за такую просьбу, но на всем дваче вы единственные, кто ближе всех осведомлен в этой теме на достаточной уровне. Я гуманитарий. Всегда был в ладах с литературой, учусь на переводчика. В последние 4 месяца меня начала дико привлекать сфера айти. В особенности веб-безопасность, взломы и т.д. Особенно сфера хакеров. Я не хочу стать мега кулхацкером, взламывать кошельки и жить этим, но я очень хочу изучить эту тему, она интересна для меня. Но дело в том, что я мало что понимаю в этом. О значении терминов vpn или прокси, да и вообще всего устройства этой системы я знаю лишь образно, а всякие статьи в интернете либо написаны на непонятном мной языке(слишком много терминологии), либо созданы для хомячков и несут в себе лишь воду без конкретики. Скажи, анон, что мне нужно изучать в первую очередь, что бы я смог быстро овладеть хотя бы базовыми знаниями области веб-безопасности, при том, что я гуманитарий и о работе интернета знаю на уровне "ну, там, спутники, волны, провода"
>>8890 (OP) >сфера хакеров. Я не хочу стать мега кулхацкером, взламывать кошельки и жить этим Это называется «стать взломщиком». К хакерству почти никакого отношения не имеет. У тебя даже бытовая терминология хромает, начни с википедии.
>>8890 (OP) Предлагаю всем протестировать свои скилы. Есть сайт oristar[.]ru Первое место: Удаленное выполнение кода + узнать Salt Второе место: Войти в админку Третье место: Хотя бы sql-inj проэксплуатировать успешно
1. Удаляешь винду полностью. 2. Ставишь линукс. НЕ УБУНТУ. Поебешься пару месяцев, но собери нормальную систему типа арча, например. Сам поймешь каков порог вхождения в профессию. 3. Да, забудь про игры. Всё свободное время надо тратить на умные книжки. 4. Освоишься на лине - велкам в кодинг. Я советую руби потому что на рубях метасплоит. Мне, как питонщику, внезапно сложно понять код на рубях. Так же советую php, так как большинство сайтов написано на них. 5. Если ты уже не совсем сосницкий или сосницкий не совсем - собери дома ферму. Железо как можно круче. Дрочи, но не трать деньги на шлюх, трать на новый проц. 6. Познакомься с правильными людьми. Сейчас сложно получить инвайтики на всякие годные форумы ньюфагам, но тебе эти инвайтики очень нужны. 7. Не стесняйся задавать вопросы. Взрослые дядьки очень ценят хорошие вопросы. Если твой вопрос хорош, они тебя так и скажут - "хороший вопрос :)". И постараются на него дать ответ, потому что хакеры ищут ответы на хорошие вопросы. 8. Собери базу эксплоитов. Например exploit-db.com и другие. Это очень важно. Как правило на серверах стоят протухшие пакеты. Даже не только на серверах. Например роутеры. На роутерах стандартные прошивки обновляются руками, а значит она на 99% взламываема. 9. Учись социально инженерии и OSINT-разведке. Это очень важно. Привожу реальный пример, мне нужно попасть в сеть одного заведения чтобы заработать немного денежек на еду. Я прошелся по профилям работников этого предприятия в социальных сетях и уже знаю пароль от их вай-фая. Всмотрись в это фото http://i.imgur.com/q2hgAsE.jpg 10. Ну и последнее. Хакер не значит айтишник. Ты можешь быть хакером и без компа. Такая постановка вопроса выдает в тебе зашоренного обывателя. Я бы мог назвать тебя школьником и был бы прав, но школьник не подразумевает что-то плохое. А вот быть быдлом - плохо.
>>8922 >Мне, как питонщику, внезапно сложно понять код на рубях. Странный какой-то. Я вообще перлодебил, но модули msf переписываю спокойно. Опу: собственно, из этих трёх языков лучше и выбирай — perl, python, ruby. Ах, да, знание bash подразумевается.
И вот ещё что поправлю: 1. Ставишь линукс. Не убунту, не дебиан, не федору, не центось, не сусю, не минт и не другое «юзер-френдли». Этим будешь пользоваться, когда узнаешь, как оно работает. Идеальной была бы какая-нибудь слака или гента, но ты же не осилишь, поэтому арч будет в самый раз. 2. Настраиваешь интернет на своём GNU/Linux. 3. Удаляешь винду полностью. ... А то будет ещё без интернета сидеть, не зная, как его настроить.
>>8922 что сказать-то хотел? вместо того, что с умным видом писать "не играйся, а читай, щенок" лучше бы годную литературу ему посоветовал, выебонщик. Что такое руби, питон и метасплоит он не знает и вряд ли загуглит. > познакомься с нужными людьми ну неебаться совет
Короче, ОП. Там вверху тебе уже годные книги посоветовали. После них ты уже сам разберешься, удачи.
>>8925 Мимо шел >Что такое руби, питон и метасплоит Да это же пушка, каждый кто тут сидит знает, что это такое. Я, позор на мои седины, не пишу, ибо гуманитарий до мозга и костей, но что это такое - знаю прекрасно.
>>8923 >А то будет ещё без интернета сидеть, не зная, как его настроить. Это очень стимулирует. >>8925 Нахуй пошел. >>8926 Ты хочешь быть сферическим хакером в вакууме? Ставь цель, ломай. или ты думаешь что достаточно набрать в консоли hack vk.com и всё, ты админ? Обычно проникновение занимает от пары дней на поиск готового эксплоита и подготовки отходных путей до месяцев разведки, подготовки, написания или заказа эксплоита. Всё зависит от окупаемости такого взлома. Ещё что забыл важное, да. Если ты захочешь быть black hat, помни - совершить преступление как два пальца об асфальт, гораздо сложнее уйти от наказания и вообще не попасть под подозрение. Всегда, всегда учитывай это. Сначала прикрываешь тылы, только потом делаешь.
>>8922 >1. Удаляешь винду полностью. >2. Ставишь линукс. НЕ УБУНТУ. Зачем? Берешь виртуалку, ставишь что хочешь. Да и знание линукса в целом не особо и важно. >собери дома ферму Что за хуйню я читаю? Зачем? Чтобы хакером стать? >Собери базу эксплоитов. Например exploit-db.com Еще раз, зачем? Есть exploit-db и msf
Какой-то поток сознанияхуиты вместо полезных советов
>>8931 Это всё - сорта говна. Либо ты зарабатываешь деньги, либо ты пиаришься на хабре. Ах да, на хабре нету хакеров. >>8932 Шёл бы ты нахуй, вместе со своим мнением. Я запиливал эту доску не для тебе подобного быдла, которого после запила внезапно стало здесь дохуя.
ОП, если хочешь продолжить общение, то ищи по >>8922 пикче. Засим откланиваюсь.
>>8933 >Шёл бы ты нахуй, вместе со своим мнением 2ch, свобода общения 2015 лолка даже аргументов привести не может, но батхертит. Забань уж тогда меня, хули.
>>8933 но ты реально никаких адекватных ответов не дал, а просто начал лить воду "а вот ты наверное думаешь что так, хотя не так" это как прийти на занятия по кунг-фу, а учитель вместо того, что бы тренироваться сидит и рассказывает тебе хуйню типа "вот ты наверное думаешь что за пару дней научишься кунг-фу, а нет, я вот много лет и всё равно еще многому учусь" - ну бля, что за бред
>>8942 А ты хотел lomalka.exe получить?Что бы писать эксплоиты надо потратить лет 5 интенсивной разработки под платформу и иметь талант. Что бы ломать говносайты достаточно вкурить на каком-нибудь ачате мануал по sql-inj. Что конкретно ты хочешь услышать? Прямой вопрос - прямой ответ.
>>8944 Прямой вопрос в ОП-посте "посоветуйте литературу начинающему" Хотя и без тебя уже ответили. Ты даже сейчас, даже мне начинаешь свои старперские сопли разводить. Самомнения жопой жуй
>>8945 Не существует годной литературы по хакингу. Ты советуешь Таненбаума и человек просто охуевает от кучи ненужной инфы, до конца книги он забывает зачем начал ее читать, если вообще дочитывает.
>>8946 нет. он не знает ВООБЩЕ ничего это мы и так были уже подкованы во многих сферах, а ему, считай, заново азбуку учить, так что сейчас единственно верный вариант это начинать вообще с азов устройства всей этой хуйни. А как поймет почему лампочка включается, уже решит для себя, в каких направлениях ему двигаться
Короче, для примера. Есть сервер на рандомном дистрибутиве. Готового сплоита в паблике нету, оп не знает как писать сполоит. Находит книжку Хакинг_ искусство эксплоита. 2-е издание.pdf Начинает ахуеваьть, надо жи знать ассемблеры. Ок, находит книжку gray hat python. Сукабля что за пиздец, там под шиндовс, чо за хуйня???7 Внимание, вопрос: сколько времени уйдет у среднестатистического человека на изучение, написание хэловорда, а затем на поиск 0day и написание эксплоита в nginx?
>>8950 а зачем это делать среднестатистическому человеку? я ж говорю - узнает основы и скорее всего вообще нахуй всё это кинет да и по посту понятно, что он просто ради фана всё это делает знание кодинга ему нахуй не упало
>>8950 >у среднестатистического человека на изучение ... на поиск 0day и написание эксплоита в nginx Одни среднестатистические люди этим занимаются, да. А потом вникать в ASLR, DEP и сигнатурный анализ шеллкода WAF'ом. Какой-то хуевый пример. Лучше бы уж пхп-скрипт в пример привел, ему же web нужен. Вот id=1, а вот тут мы делаем инъекцию. Про SQL читай там и там. Nginx/apache слишком вкусная штука, чтобы вот так просто взять и найти там уязвимость.
>>8952 Ваниант номер 72 - бросить нахуй nginx и писать слёзно саппорту хостера. >>8953 "Среднестатистическому" имелось ввиду по развитию. По-твоему - так он и до середины таненбаума не дойдет. А, собственно, это и нахуй не нужно. >>8954 Про веб вышел было упоминание ачята со спизженным мануалом по инъекциям. Конечно вкусная, хуясе. 0day там за пятихатку переваливают.
>>8930 >очень стимулирует Очень его простимулирует, когда в консоль будет смотреть и не знать, что делать, и погуглить не сможет. Сперму переустановить простимулирует. >>8926 Пиздишь, небось. Сперва гумлом назвался, а теперь уже внезапно на арче сидишь?
В общем, ты вопрос задал, я тебе на вопрос и отвечу. >что мне нужно изучать в первую очередь 1. Модель OSI и стек протоколов TCP/IP. Как начать учить: http://pastebin.com/cdmzcZUn 2. Unix-like OS. Как начать учить: >>8922>>8923. 3. Хотя бы какой-нибудь язык программирования. Обязательно современный, желательно из упомянутых выше.
Это то, что тебе нужно изучать в первую очередь. Без этих знаний твой максимум — запуск Wishmaster.exe. И прочитай первый абзац статьи https://ru.wikipedia.org/wiki/Хакер
>>8964 >Очень его простимулирует, когда в консоль будет смотреть и не знать, что делать, и погуглить не сможет. Поэтому пусть в виртуалке ставит. Понравится - поставит хостом, не понравится - хоть представление иметь будет. >1. Модель OSI и стек протоколов TCP/IP. Без этого вебсайт не взломать, да. Особенно в логи вайршарка смотреть будет весело. Лучше сразу скринсейвер из матрицы скачать. Какие-то советы уровня "Я хочу делать сайты, что почитать? Читай интеловские мануалы по процам и спецификацию ethernet"
лол. во всех подобных тредах постоянно вижу только срачи на тему того, что лучше изучать первым, при этом ни один вариант не подойдет потому что обычный человек нихуя не поймет, для него 80% треминов, которые вы пишите непонятны и все мануалы он будет воспринимать так же.
ОП, из этого следует неутешительный для тебя вывод - это слишком обширная тема, что бы вот так просто сказать. За этим сидят годами в институтах и потом еще столько же. Поэтому, меняй свою шарагу или готовься потратить лет так 5, что бы с азов всему научится
>>8969 Потому я и советую, читай человека-ёлку, сука! Простым языком всё рассказано, как что работает. Прочитал? Ты крут. Теперь читай про TCP/IP Прочитал? Думаю тебе уже не нужны мои инструкции, но на всякий случай наверни любой популярный ЯП+PHP. Всё - дальше сам, ссылок море, а база у тебя уже есть
>>8969 >меняй свою шарагу или готовься потратить лет так 5 >при этом ни один вариант не подойдет Лул, ебать какие знания космические. Выбирай ПХП, ставь xampp и читай "учим пхп за 24 часа". Подводных камней хватит, чтоб понять как что работает и зачем что нужно. Все, базовые знания есть, жить в web'е можно. И никакого дроча на знание TCP/IP и какой байт в заголовке за что отвечает, кому SYN в ACK пихать и какой ISN какая ОС использует. Все равно светить тебе будут только 21,25 и 80 порт.
>>8965 >пусть в виртуалке ставит. >Понравится - поставит хостом, не понравится - хоть представление иметь будет. Не понравится. И представление иметь не будет, такова судьба большинства спермачей, ставящих GNU/Linux. Для того, чтобы такого не случалось, народная мудрость советует выкинуть Шindows подальше. Это мотивирует, это помогает, а не виртуалочки ваши. >Без этого вебсайт не взломать, да. Почему же не взломать? Взломать, если соответствующий Wishmaster.exe найдёшь.
Ты (и все остальные), перечитайте-ка внимательно, что нужно опу: >что мне нужно изучать в первую очередь, что бы я смог быстро овладеть хотя бы базовыми знаниями области веб-безопасности Видите там где-нибудь «взломать сайт»? И я не вижу.
>>8982 >Не понравится. И представление иметь не будет, такова судьба большинства спермачей, ставящих GNU/Linux. >Для того, чтобы такого не случалось, народная мудрость советует выкинуть Шindows подальше. Это мотивирует, это помогает, а не виртуалочки ваши. Некоторые до сих пор не понимают, что это всего лишь инструмент. Придумали, блядь, сакральную мантру. Еще посоветуй свитером обрасти и в серверной жить. Хотя лучше на мак пересесть, там и никсы и жить можно.
>Почему же не взломать? Взломать, если соответствующий Wishmaster.exe найдёшь. Ага, если соответствующий дистр поставить и консоль открыть. Да и зачем ему задрачивать все уровни ISO/OSI, вдуплять всякие канальные уровни и прочую излишнюю инфу, если для веба только прикладной и нужен? >веб-безопасности >Видите там где-нибудь «взломать сайт»? И я не вижу. Так виднее? Хотя возможно он имел в виду защиту. Но это обратная сторона медали.
>>8985 >GNU/Linux ~ это всего лишь инструмент Продолжай. Ты предлагаешь проигнорировать один из главных инструменов веба? >зачем ему задрачивать все уровни ISO/OSI Чтобы овладеть хотя бы базовыми знаниями области веб-безопасности. Я не заставляю его задрачивать протоколы до последнего символа в спецификациях, но иметь представление об уровнях абстракций любой безопасник обязан.
>>8929 > я вообще удивляюсь как он эту доску нашел Угу, что бы зайти на скрытую доску нужно много знаний, да? Он гуманитарий по специальности, а не долбоеб по сущности.
>>8996 Сливаешься — сливайся до конца. Я думал, ты уже не кукарекнешь. >знаешь какие-то другие протоколы SSL, TLS, OCSP, SPDY, DNS, TCP, IP, уже упомянутые SSH и FTP, да хоть BGP с SNMP. Или ты думаешь, что сервера в вакууме висят и по волшебству работают, а вся безопасность веба заключается в «Ха-ха, я запустил sqlmap и взломал сайт»?
Кстати >>8917, я запустил sqlmap (имя БД id20062006_oristar) отдавай печеньку за третье место. Можешь и за второе отдать, если 123456:123456 считается «заходом в админку».
>>9001 >SSL, TLS, OCSP, SPDY, DNS, TCP, IP, уже упомянутые SSH и FTP, да хоть BGP с SNMP. Разговор за веб был, хоть бы ws вспомнил. А то я тоже могу назвать кучу протоколов, не имеющих отношения к теме. >Или ты думаешь, что сервера в вакууме висят и по волшебству работают Веб-сервера работают за фаерволом и показывают тебе 80 и 443, так что хоть ушлись туда SNMP да SSH. Можно конечно и FTP на 80 порту поднять, но это уже не веб будет. >а вся безопасность веба заключается в «Ха-ха, я запустил sqlmap и взломал сайт»? Да хоть curl, лол. Это веб и у тебя только два протокола для работы - http и https. И все идет поверх них.
>>9002 >думаешь, что сервера в вакууме висят и по волшебству работают, а вся безопасность веба заключается в «Ха-ха, я запустил sqlmap и взломал сайт» Вижу, действительно так думаешь.
>только два протокола для работы - http и https Во-первых, есть как минимум SPDY, который ты почему-то проигнорировал. Это уж абсолютно точно «веб-протокол», даже в твоём гуманитарном понимании. Во-вторых, в самом начале списка я намеренно разместил SSL и TLS как основу https. Тоже будешь рассказывать, что это не «веб-протоколы»? Или что понимание BEAST/POODLE/FREAK/чего-там-ещё не входит в «базовые знания области веб-безопасности»? В-третьих, почти весь веб завязан на DNS. Что такое, она тоже не имеет отношения к веб-безопасности? Ну-ка, заблокируй у себя исходящие пакеты на 53 порт и попробуй посёрфить. Всё идёт через 80 и 443, говоришь?
Надеюсь, ты не работаешь в ИБ. Не хотел бы я иметь «специалиста», считающего, что вся безопасность веб-приложений ограничивается двумя протоколами.
>>8933 >Я запиливал эту доску не для тебе подобного быдла Ебать у тебя самомнение, братан. Ты хоть в курсе на каком ты сайте её запилил, с каким контингеном? И таки да, советы у тебя на 6,5/10, мог бы и лучше > то ищи по >>8922 пикче Тестор прикрыл лавку жи.
>>9005 >понимание BEAST/POODLE/FREAK/чего-там-ещё не входит в «базовые знания области веб-безопасности»? Да ты заебал уже сетевую безопасность в веб тащить. Еще про BOF, ROP, P2P, ETC, ABCD расскажи со стороны веб-приложения. В 95% эти "знания" бесполезны. Вот дают тебе настроенный хостинг, пароли, адрес мускула/постгри с паролем и пиши свои веб-приложения для хранения персональных данных. Как браузер посредством DNS будет находить твой сайт и устанавливать защищенное соединение интерпретатору языка будет совершенно фиолетово, все что он получит - это GET и POST в большинстве случаев. Всякие кривые запросы вебсервер дропнет или фаер хостера, а SPDY самим вебсервером разрулится.
>>9016 >"знания" бесполезны Ой, всё. Я бы ещё мог поспорить, если бы ты заявил, что они не относятся к вебу, но теперь, когда они «стали бесполезны» — ОЙ, ВСЁ. Иди Шнайеру напиши в комментах, что он хуйнёй страдает.
>>9017 Лол, люблю таких икспертов. Начитаются своего ксакепа и бегают потом всем доказывать, что для программирования надо Тьюринга и вышмат читать, иначе не тру. Или обязательно поставить линупс и msf инач не хакир)))
Нихуя тред взлетел. А по сабжу учи всё подряд, находи сам годные ссылки. На дваче конечно есть интересная инфа, но соль в том, что всё нужно искать самому. Путём проб и ошибок ты учишь, находишь, запоминаешь. Всё. Надеяться на волшебную палочку глупо.
>>9178 Сам арч нормальный, только у них слишком уж хорошая вики, мне кажется школьники тупо копируют из неё команды а потом думают что стали крутыми хакерами и познали линукс. мимо-собираю-генту-без-мануала
Я гуманитарий. Всегда был в ладах с литературой, учусь на переводчика.
В последние 4 месяца меня начала дико привлекать сфера айти. В особенности веб-безопасность, взломы и т.д.
Особенно сфера хакеров. Я не хочу стать мега кулхацкером, взламывать кошельки и жить этим, но я очень хочу изучить эту тему, она интересна для меня.
Но дело в том, что я мало что понимаю в этом. О значении терминов vpn или прокси, да и вообще всего устройства этой системы я знаю лишь образно, а всякие статьи в интернете либо написаны на непонятном мной языке(слишком много терминологии), либо созданы для хомячков и несут в себе лишь воду без конкретики.
Скажи, анон, что мне нужно изучать в первую очередь, что бы я смог быстро овладеть хотя бы базовыми знаниями области веб-безопасности, при том, что я гуманитарий и о работе интернета знаю на уровне "ну, там, спутники, волны, провода"