С чего начать изучение безопасности веб-сайтов?

Question

[Speakermen]

Ищу книги, курсы, статьи по защите веб-сайтов. Поделитесь, пожалуйста, уважаемые тестировщики, разработчики, пентестеры.

Comments

[NewDevLab]

с создания вебсайтов.

[Speakermen]

NewDevLab, я пишу свои велосипеды на php, js. Сейчас изучаю React, Laravel. Я знаю базовые только перебор паролей, что надо хешировать пароли перед тем как сохранить в бд, url манипуляция, если не админ то выдать 404 страницу (скрытие админ панели), sql инъекции, xss, ограничение ввода логина с паролем, скрытие ошибок и логирование, защита от тех кто завладел логами разными путями (по вифи, программы с вирусами и тд) больше я не знаю(

Answer 1

[xmoonlight]

С составления списка моделей угроз.
Хороший сервис для обучения: https://owasp.org/

Comments

[Speakermen]

Спасибо огромное!

[xmoonlight]

Speakermen, Шпаргалка: https://cheatsheetseries.owasp.org/

[nokimaro]

Speakermen, если более конкретно то смотреть сюда https://owasp.org/www-project-top-ten/

Answer 2

[m0ze]

Навскидку:
1 - OWASP
2 - https://portswigger.net/web-security
3 - Если английский знаешь, тогда совмещай теорию и практику, к примеру, на https://root-me.org - задачи разделены на разделы, для каждой задачи указан уровень сложности и есть материалы для ознакомления с типом уязвимости, её эксплуатацией и т.д.
4 - На stepik.org был (есть?) бесплатный тематический курс (помимо теории, помнится, были элементарные задачки для практики). UPD.: https://stepik.org/course/127/promo

Answer 3

[Дмитрий]

С изучения проблем безопасности в вебе и чтении OWASP. Много статей публикуется почти ежедневно, но большинство на английском и уже много актуального и нового на китайском.

Answer 4

[Solven]

С языков web программирования