Нужен ли JavaScript пентестеру?

Question

[Twee1K9]

Нужен ли JavaScript для Web-пентестера?

Answer 1

[Aragorn]

для WEB пентестера

Очевидно, что да

Comments

[Twee1K9]

Понял, спасибо. Если вам не трудно, не могли бы вы ответить на еще один вопрос. Нужно ли WEB пентестеру знать еще и WEB? Я имею ввиду те знания, которыми обладает стандартный WEB разработчик (помимо языков программирования). Надеюсь вопрос понятен, сам никогда не занимался WEB'ом, поэтому, возможно, не смог правильно сформулировать вопрос.

[Алексей Ярков]

Twee1K9,

Нужно ли WEB пентестеру знать еще и WEB?

Нужно ли АВТОслесарю знать как устроен и работает АВТОмобиль?

[Aragorn]

Twee1K9, Михаил Р. вам всё подробно объяснил

[Сергей Горностаев]

Twee1K9, пентестеру обычно требуется знать сильно больше, чем программисту.

Answer 2

[Михаил Р.]

Нужен ли javascript для WEB пентестера?

Нужен, для поиска уязвимостей, анализа клиентской логики, обхода ограничений (например, формы), изучения скрытой информации в коде и манипуляций с dom. Это помогает выявлять xss, инъекции и другие проблемы безопасности.

Нужно ли WEB пентестеру знать еще и WEB? Я имею ввиду те знания, которыми обладает стандартный WEB разработчик (помимо языков программирования).

Базовый набор:
- html/css для понимания структуры и стилей веб-приложений.
- http/https, куки, заголовки, cors, rest и сокеты.
- Основы OWASP Top 10 (XSS, CSRF, IDOR и др.).
- Браузерные DevTools, Burp Suite, ZAP, Postman.
- Базово популярные библиотеки и фреймворки (react, vue, angular).
- Методы минификации и обфускации js кода, а так же способы его анализа.

Comments

[Twee1K9]

Большое спасибо за развернутый ответ!