Задать вопрос
Интересуюсь Информационной безопасностью
Контакты

Достижения

Все достижения (3)

Наибольший вклад в теги

Все теги (19)

Лучшие ответы пользователя

Все ответы (7)
  • Где можно почитать про аудит информационной безопасности веб-приложения?

    Klanc
    @Klanc
    Вобщем-то вы попали в точку, то есть это самый (ну один из самых - это точно) "расшаренный" сайт по безопасности веб-приложений, там есть много всяких проектов, которые тем или иным образом касаются безопасности именно веба.
    Но в вашем случае вам нужно посмотреть этот проект по пентесту веб-приложений на уязвимости (то есть по обнаружению). В том проекте есть гайд в pdf формате (относительно свежий), где все очень хорошо и удобно расписано, там описываются все виды уязвимостей, как их искать (описываются и черный, и серый ящики), как их потом можно будет раскрутить, ссылки на дополнительные статьи и конечно же инструменты/сервисы для автоматизации и помощи в обнаружении тех уязвимостей.
    Так же там на сайте есть статьи (иногда даже проекты отдельные) по некоторым видам уязвимостей, тоже интересно будет почитать.
    Из CGI-сканнеров можно выделить Acunetix Web Vulnerability Scanner (но платный, собака, хотя торрент в помощь), так же можете посмотреть ZAP от участников того самого OWSAP'a.
    Насчет сервисов: если про онлайн сканнеры, то, как правило методики работы не разглашаются (особенно, если коммерческий), вот у опен сорсных сканнеров всегда есть мануаллы по принципам их работы, но хочу заметить такие сканнеры обычно выявляют тривиальные уязвимости и изучение их работы очень много не даст по пентесту веб-приложений. Если вы имели ввиду сервисы, как команды специалистов, которые проводят аудит, то они, естественно тоже этого не разглашают, но есть организации (как описанная выше - OWASP), которые созданы как раз для того, чтобы делиться информацией и описывать всевозможные методики и хитрости по обнаружению и эксплуатации уязвимостей, помимо подобных организаций можно много полезного узнать на соответствующих форумах (RDot.org, например).
    Ответ написан
    1 комментарий
  • С чего начать изучение информационной безопастности?

    Klanc
    @Klanc
    Тут еще такой момент: есть матчасть, которую знать необходимо вообще - это, в принципе, те ссылки, которые дал в предыдущем ответе Александр Камолов; а вот далее, когда будет определенная база в этой сфере, то надо определиться с направлением в ИБ, несмотря на то, что ИБ - это и так отдельная отрасль информационных технологий, но тем не менее она очень многогранна и будет очень тяжело стать экспертом (или хотя бы профессионалом) вобщем в этой сфере, ну либо на это может уйте очень много времени, так что в любом случае, после получения базы знаний, надо будет выбрать одно/два направления, на которое(ые) делать упор в ближайшем будущем, но и в остальных направлениях ИБ тоже пассивно развиваться, потом можно будет еще что-то добавить в свою "профильную часть", когда в выбранных направлениях уже солидного уровня достигните.
    По поводу направлений ИБ: тут все очень размыто, то есть многие разделяют эту область на разные по-разному, из наиболее часто встречаемых мне конфигураций была такая:
    Веб-безопасность (или безопасность веб-приложений), Криптография, Вирусописание, Анализ бинарного кода (или взлом обычного ПО - написание "кряков"), Сетевая безопасность, Безопасность ОС - то есть потом можно выбрать одно из этих направлений.
    Ответ написан
    Комментировать

Лучшие вопросы пользователя

Все вопросы (11)