*AYUDA*

Iniciado por Panic0, 1 Agosto 2020, 16:28 PM

0 Miembros y 1 Visitante están viendo este tema.

Panic0

Chicos y chicas,se crear páginas webs (usando HTML y css) y se abrir servidores con Ubuntu server,lo que me gustaría aprender es a atacar páginas web mediante vulnerabilidades (lógicamente jaja) y también servidores.Se usar sqlmap para hacer inyecciones y poco mas.¿Pero ahora por dónde sigo?




[MOd]El título de los mensajes debe ser descriptivo con acuerdo al contenido. No son descriptivos asuntos que sólo piden ayuda. leer Reglas del Foro antes de postear.
Los ataques de pánico suelen comenzar de forma súbita, sin advertencia.

@XSStringManolo

Aprende javascript para xss y otras vulnerabilidades.

Aprende el protocolo http.

Aprende php.

Aprende node.js

Aprende sql

Aprende a usar netcat, curl, wget, burp/mitmproxy

Practica XSS Stored. (Encuentra, construye exploit, vulnera, comprueba resultados).
Practica XSS Reflected.
Practica DOM XSS.
Practica Self XSS y uri schemas.
Practica Mutation XSS.

Entiende Http Parameter Pollution.

Practica path traversal con diferentes puntos de inserción.

Practica CSRF.

Entiende Open Redirect.

Practica SSRF.

Aprende SMTP.

Aprende leaks de información comunes.

Practica Response Spliting y Request Smuggling

Practica Subdomain Takeover.

Practica Command Injection.

Entiende logic flaws. Escalados, bypasses, race conditions ..

Entiende template injections.

Practica con IDOR (indirect object reference)

Ten presente y entiende Pass Quality, Username Enumeration, Bruteforce Resilence, Username Uniqueness, Autogen Pass Predictable, Unsafe transmisión, Unsafe distribution, Insecure Storage, Private data disclosure, Metadata, Credentials in source commentaries...

Practica SQLI (Usando sqlmap no aprendes nada.)

Practica XXE.

Practica con LDAP.

Encuentra errores de config tipo: Default Config insecure, Missing Http Headers. Cookie not secure.

Practica Clickjacking.

Entiende Insecure certificates y como explotarlo.

Checkea Lack of resources, Rate limiting, Load Balancers frente a DOS.

Infórmate de versiones vulnerables comunes con exploits públicos.

Detecta Insufficient Session Expiration, Insecure protocol, HSTS, Directory Listing, Mixed Content over Https, CSP, Inline Scripts/CSS, Clear credentials in memory, Clear credentials in browsers

Aprende a detectar y saltarte filtros.


Panic0

#2
Cita de: @XSStringManolo en  1 Agosto 2020, 17:53 PM
Aprende javascript para xss y otras vulnerabilidades.

Aprende el protocolo http.

Aprende php.

Aprende node.js

Aprende sql

Aprende a usar netcat, curl, wget, burp/mitmproxy

Practica XSS Stored. (Encuentra, construye exploit, vulnera, comprueba resultados).
Practica XSS Reflected.
Practica DOM XSS.
Practica Self XSS y uri schemas.
Practica Mutation XSS.

Entiende Http Parameter Pollution.

Practica path traversal con diferentes puntos de inserción.

Practica CSRF.

Entiende Open Redirect.

Practica SSRF.

Aprende SMTP.

Aprende leaks de información comunes.

Practica Response Spliting y Request Smuggling

Practica Subdomain Takeover.

Practica Command Injection.

Entiende logic flaws. Escalados, bypasses, race conditions ..

Entiende template injections.

Practica con IDOR (indirect object reference)

Ten presente y entiende Pass Quality, Username Enumeration, Bruteforce Resilence, Username Uniqueness, Autogen Pass Predictable, Unsafe transmisión, Unsafe distribution, Insecure Storage, Private data disclosure, Metadata, Credentials in source commentaries...

Practica SQLI (Usando sqlmap no aprendes nada.)

Practica XXE.

Practica con LDAP.

Encuentra errores de config tipo: Default Config insecure, Missing Http Headers. Cookie not secure.

Practica Clickjacking.

Entiende Insecure certificates y como explotarlo.

Checkea Lack of resources, Rate limiting, Load Balancers frente a DOS.

Infórmate de versiones vulnerables comunes con exploits públicos.

Detecta Insufficient Session Expiration, Insecure protocol, HSTS, Directory Listing, Mixed Content over Https, CSP, Inline Scripts/CSS, Clear credentials in memory, Clear credentials in browsers

Aprende a detectar y saltarte filtros.


Okey.pero para que sirven esas cosas?



[MOD] El título de los mensajes debe ser descriptivo con acuerdo al contenido. No son descriptivos asuntos que sólo piden ayuda. Leer Reglas del Foro antes de postear. Segundo aviso.
Los ataques de pánico suelen comenzar de forma súbita, sin advertencia.

@XSStringManolo

Cita de: 11and1 en  1 Agosto 2020, 18:22 PM
Okey.pero para que sirven esas cosas?
Para hacking web.