Рассказываю о 5 популярных площадках, на которых вы сможете легально отточить свои навыки.
Всем салют, дорогие друзья! Хакинг является той сферой, где на одной теории далеко не уедешь. Только практика даст вам реальный опыт и поможет по-настоящему усвоить полученные знания.
Сегодня я решил рассказать вам о 5 популярных площадках, на которых вы сможете легально и без риска отточить свои навыки до идеала 🔥
Давайте начнем!
Введение
Для освоения большинства навыков на практике вам понадобится только компьютер с доступом в интернет. Однако, для отработки некоторых из них может потребоваться дополнительное оборудование, такое как Wi-Fi адаптеры и различные контроллеры.
Например, для взлома Wi-Fi, если вы запускаете Kali Linux на виртуальной машине, потребуется внешний адаптер USB Wi-Fi-адаптер. Аналогичным образом, для взлома RFID потребуется соответствующий RFID-комплект со сканером и карточками-ключами.
Настройка системы для практики потребует загрузки и установки некоторых инструментов.
Итак, существует несколько направлений, которых может придерживаться тот или иной ресурс, предлагающий практику взлома. Обычно все их можно отнести к одному из трех больших разделов:
CTF-таски — всем хорошо известный Capture the Flag, который представляет собой отдельные задачи по определенной тематике. Обычно присутствуют такие категории, как Reverse, Exploit (или PWN), Web, Crypto, Stego, Forensics, OSINT и Misc. Чуть реже к ним добавляется PPC (спортивное программирование). Процесс выполнения такой задачи достаточно прямолинеен: загружаете файлы, входящие в состав таска, к себе на машину, находите флаг, вводите его на ресурсе и получаете свою награду.
Уязвимые виртуальные машины — более приближенное к реальной жизни испытание, которое заключается во взломе заведомо уязвимого хоста. Конечная цель — получение контроля над привилегированным аккаунтом системы. Доказательством окончательного захвата машины обычно служит демонстрация возможности чтения файлов (также содержащих своеобразный «флаг»), доступных пользователям с соответствующими привилегиями. Процесс прохождения такой виртуальной машины разнится в зависимости от устройства самой площадки, на которой обитает уязвимый хост: это могут быть как «живые» хосты, которые в текущий момент непосредственно находятся в сети на серверах площадки (онлайн-лаборатории), либо загружаемые образы для самостоятельного запуска в виртуальной среде.
Виртуальные локальные сети — как правило, виртуальные леса Active Directory, где от участников требуется захватить контроллер и закрепиться в сети. В ходе прохождения могут использоваться самые разные способы для продвижения по инфраструктуре: от конкурентной разведки и фишинга до эксплуатации 0-day уязвимостей. Сложность выполнения таких задач сопоставима с реальными кейсами, а зачастую даже превосходит их. Доступ к лабораториям такого типа обычно платный, а их услуги могут быть максимально полезны людям, готовящимся к профессиональным сертификациям типа OSCP.
Для поддержания энтузиазма безопасников, которые пришли на такие ресурсы, владельцы часто предлагают им бонусы за прохождение каждого из вида заданий, которые могут выражаться в «плюсиках к карме», которая видна в профиле игрока и в «Зале славы». Место в таком топе потом может стать хорошим подспорьем на собеседовании.
Ну, а теперь посмотрим поближе на наиболее крупные и известные площадки, где вы сможете отточить свои навыки...
Вы, должно быть, слышали о BurpSuite — инструменте, используемом для тестирования на проникновение (взлома) веб-приложений (сайтов).
Разработчики BurpSuite теперь предоставляют бесплатный тренинг, который содержит учебные пособия и практические задания по каждой из уязвимостей, часто встречающихся на современных сайтах. Как только вы подтвердите свой скилл, то сможете соревноваться с другими участниками. Так же у них есть HOF для опытных хакеров.
Hack The Box — это мой любимый ресурс, который позволяет оттачивать искусство тестирования на проникновение и по совместительству, пожалуй, одна из самых масштабных площадок для обучения взлому на практике.
За несколько прошлых лет Hack The Box стал максимально популярен среди исследователей безопасности всех мастей: он отличается удобным веб-интерфейсом для управления активными инстансами виртуалок, отзывчивой техподдержкой и, что важнее всего, регулярно пополняется новыми уязвимыми машинами, содержащими в себе самые последние из обнаруженных уязвимостей.
Бесплатная версия предлагает доступ только к “живым” (актуальным) машинам, старые машины и пошаговые руководства доступны по платной подписке.
Это место очень известно среди хакеров, вероятно, потому, что его основатель был арестован за незаконную кибердеятельность. Негативная слава хорошо помогла в маркетинге хакерского сайта без значительных усилий.
HackThisSite универсален. Хакерские задачи на этом сайте называются “миссиями” и классифицируются следующим образом:
Основные миссии
Реалистичные миссии
Прикладные миссии
Миссии по программированию
Миссии по фрикингу телефонов
Задания по JavaScript
Криминалистические миссии
Базовые миссии
Стего миссии
Irc-миссии
Как указано на hackthissite.org:
“Вы должны настроиться на хакерское подполье и принять участие в проекте”.
PnetesterLabs — это одна из крупнейших платформ, которая содержит учебные пособия и практику по очень широкому спектру уязвимостей (XSS, SQLi, XXE, CSRF, SAML, межсайтовой утечке и т.д.).
Однако, доступ к качественному контенту на площадке обойдется вам в кругленькую сумму. Во время определенных промо-акций курсы можно приобрести всего за 25% от первоначальной цены.
Я не советую вам тратиться на первых этапах, начните с бесплатных аналогов.
Название звучит круто, да и сайт его оправдывает.
Сайт содержит различные статьи, учебные пособия, имеется собственный форум.
Здесь вы сможете попрактиковаться во взломе сайтов, электронной почты и различного ПО. Так же можно изучить стеганографию и даже социальную инженерию.
Бонус
🌐 Vulnhub — старинный дамп образов уязвимых виртуальных машин, поддерживаемый энтузиастами. Это полностью бесплатный источник, откуда любой желающий может загрузить понравившуюся ему виртуалку и приступить к поиску флагов.
Одно из самых крупных преимуществ VulnHub — огромное количество райтапов по виртуалкам, доступных в сети, и отсутствие каких-либо ограничений на их публикацию (Hack The Box, например, накладывает временные рамки, в течении которых действует запрет на размещение прохождений в сети — в противном случае есть риск схватить бан, если публикуешься под своим никнеймом).
⚡️ Большой выбор машин и райтапов делают VulnHub отличной отправной точкой для людей, которые совсем не знают, с чего начать свои первые шаги в области хакерства.
На этом все. Желаю вам профитных взломов. Практикуйтесь, прокачивайте свой скилл и у вас обязательно все получится ❤️