Security-Portal.cz :: Hacking | Security

[GhekoN]

Zdravim, posledni dobou premyslim nad tim, jakym smerem se dal ubirat. Tak nejak mam vseobecne znalosti takmer o vsem, ale nic z toho neni prilis konkretni. Ovladam Python a castecne PHP, C++ ( + html, css, js etc. ).
Nejvice me asi zajima webova bezpecnost, posledni dobou hlavne sql injekce, ale mam takovy pocit ze v te oblasti toho neni az tak moc co zkoumat ( asi blbost, asi toho je dost.. ) a premyslim kam dal, jestli se vrhnout na site a sitovou bezpecnost, praci s unixem ( zatim jsem mel zkusenost jenom s par user-friendly distribucemi like Kubuntu etc. ). Jestli by mi byl nekdo schopny nejak konstruktivne poradit co dal, byl bych moc rad, diky

[picolo]

Sam nemam velke skusenosti, ale ak ta zaujima bezpecnost tak skus linxovu distribuciu backtrack .Zaobera sa prave bezpecnostou a penetracnymi testmi. Na ich fore najdes zaroven dalsie stranky ohladom bezpecnosti, navody, ci rady.

[RubberDuck]

Závisí čistě a jen na tobě do čeho se vrhneš.

Říci, že kolem web security toho není moc na zkoumání je hodně zcestné. Sám jsem se touto oblastí zabýval asi dva roky celkem intenzivně a můžu říci, že do dnešního dne jsem se stoprocentně nenaučil ani setinu toho, co se v tomto odvětví naučit dá. Pokud tě baví weby, věnuj se jim dál. Ale nepřistupuj k problematice jen tak, že se někde něco naučíš a tím pádem to umíš. Zdokonaluj se, kombinuj, zkoušej nestandardní a nekonvenční přístupy k problému. Časem poznáš, že to není jen o RFI, LFI, XSS a SQL Injection

Co se týče Linuxu: Je jedno jaké distro si zvolíš. Princip je u všech stejný a pokud máš snahu pochopit, jak tento systém efektivně využívat, dříve nebo později se výsledek někde dostaví. Rozhodně ti ale doporučuji neskákat z tématu do tématu. Budeš mít sice přehled o všem, ale dohromady nebudeš znát nic. Specializace je (z mého pohledu) nejlepší cesta.

[GhekoN]

Diky za odpoved, neco takoveho jsem chtel slyset. Jeste jedna takova otazka - co se tyce web security, v dnesni dobe je ovladani php na nejake trochu vysi urovni asi nutnost, ze?

BTW: Posledni otazka - Da se povazovat unik 20 000 emailu, uzivatelskych uctu a hesel ( vcetne administrastorskych ) za neco "velkeho"? Dejme tomu ze pochazi z nejakeho nevyznamneho webu, takze samy o sobe nemaji zadne vyuziti. Thx

[RubberDuck]

Web security není jen o PHP. Je to o technologiích samotných (když chceš jazyky: HTML, CSS, JS/AJAX, CGI, PERL, PYTHON, PHP, ASP, různé databáze, a jiné). Napsat webovou stránku dnes dokáže každý, kdo se o to jen chvíli zajímá.

Ale sem spadá i bezpečnost webového serveru (např. APACHE) a jeho nastavení, což už zvládá nesrovnatelně méně lidí. Spadá sem i nastavení databázového systému, protože sebelépe nastavený webový server padne, pokud někdo odflákne nastavení právě databázového serveru.

S tím dosti podstatně souvisí i umění práce s operačním systémem, na kterém server běží. Jedno navazuje na druhé. Všechno zasahuje všude. Příkladem může být hledání chyb v PHP. Člověk je nucen se buď prohrabávat kódem nebo použít techniku fuzzingu. První možnost je zdlouhavější, ale vysoce efektivní. Druhá možnost je mnohem rychlejší, ale se značně nižší úspěšností.

Co se týče úniků: Z ného pohledu, každý únik je vážný, protože ukazuje na slabá a potenciálně nebezpečná místa v aplikaci/serveru. Jestli unikne 30 mailů nebo 30k mailů, případně 30M mailů je jedno (pokud se tedy jedná pouze o mailové adresy a ne například o rodná čísla, čísla OP a pod. ; pro spammera je poslední možnost ta nejlepší ), protože systém byl nějakým způsobem kompromitován a náprava nemusí být zrovna jednoduchá .

[GhekoN]

Diky za obsahlou odpoved. Jeste k tvemu prvnimu prispevku - "Specializace je nejlepsi cesta". Dejme tomu ze ovladam Python na urovni, kdy si jsem schopny napsat libovolny skript ktery zrovna potrebuji po obcasne porade s manualem, ale vim, ze ovladam dejme tomu 30% z tohoto jazyka, vetsinu slozitejsich prikazu musim prvne studovat v manualu a neprogramuji objektove, i kdyz bych mohl. A dejme tomu ze ted me zaujalo php kvuli vyuziti ve web security, presto, ze vetsinu skriptu ktere bych psal v php muzu napsat i v pythonu. Ma ted cenu ucit se php, a nebo se dal zdokonalovat v pythonu ( graficka prostredi, moduly pro praci se sockety atd. )?

[RubberDuck]

Potřebuji řidičský průkaz, pokud chci řídit auto? Nepotřebuji za předpokladu, že řídit umím a nemám strach, že mě chytí. Potřebuji umět řídit, pokud chci řídit auto? Potřebuji, protože jinak nebudu vědět, co mám dělat. Jinými slovy: Měl bys být schopen jazyk chápat aspoň tak, abys dokázal s pomocí dokumentace napsat kód, který právě potřebuješ. Ovšem mnohem lepší je umět využívat daný jazyk co nejefektivněji.