Веб-пентест и взлом современных корпоративных сайтов в 2025 году28.02.2025 11:45

Доброго дня. Сегодня бы хотел максимально подробно изложить своё видение того как можно багхантить корпоративные порталы, на что следует обратить внимание что можно найти даже новичкам.

Recon

И начнём с первого. Разведки. Я не буду здесь писать арсенал про инструменты Project Discovery такие как nuclei, naabu, httpx, findomain и проч. Это уже тема избитая и всем понятная. Кто хочет может найти это в одной из статей. Что я хотел бы подсветить. Огромное количество уязвимостей в этом году было найдено за счёт Shodan-а.

b78d0cbc53b42e32574726958cd5dd54.png

Т.к. именно Shodan позволяет найти неочевидные ресурсы без доменных имен принадлежащих организации, именно Shodan даёт наиболее максимально полную картину. Вы должны понимать когда организации выставляют свои проекты на Bug-Bounty и проч.

Что мы можем изучить касательно Shodan? Достаточно хорошая инфа есть у Бена

Они уже прошли свои сайты такими проектами как nuclei, прочими динамическими анализаторами вроде ScanFactory и MetaScan, плюс у них работают внутри сканеры типы Nessus и вдобавок сами безопасники ещё балуются nmap-ом сканируя собственные хосты. Но здесь вопрос в полноте проводимых работ. Т.к. даже сами ребята в организации не всегда понимают весь скоуп ресурсов которые у них есть. Что можно посмотреть на эту тему.

Конечно можно глянуть Бена. Бен достаточно глубоко погружает в данный вопрос.

2) Работа с фреймворками

Эра фреймворков. Да ребята, старые сайты с простыми xss ушли на второй план. Сейчас настала пора фреймворков. И то с чем вы столкнётесь это то что фреймворки по дефолту хорошо защищены. И программистам уже не нужно сильно разбираться в механиках какой-то защиты чтобы реализовать ту или иную защиту. Максимум что они могут это выстрелить себе в ногу не настроив данную защиту, или попросту отключив её. И вот здесь уже очень важно понимать — с каким фреймворком вы работаете.

Какие у него есть важные моменты в безопасности. Если это Spring — Вам нужно идти и разбирать всю безопасность Spring, как она устроена смотреть как устроена аутентификация и авторизация, защита от CSRF и так далее и думать где ребята могли ошибиться. По факту в сегодняшних реалиях всем пентестерам нужно стать AppSec специалистами и глубоко понимать как работает реализация той или иной защиты.

Здесь Вам нужно погрузиться в веб-технологии и понять какие технологии вообще существуют.

3) IDOR

Да старый добрый IDOR. Это по прежнему главный хит и топ всех рейтингов по поиску ошибок. Он не находится автоматическими инструментами. И поэтому его так много. Очень много отчетов по ББ которые я видел в последнее время в компаниях которыми я занимался были связаны именно с IDOR. Поэтому копайте как можно глубже в эту тему.

4) Уязвимости API

Это золотая жила для тех кто понимает что это. Это отдельный вид специализации которую можно занять и работать только в ней. Изучайте взлом API т.к. он таит в себе огромную пользу ведь API проектируется с 0 и там ребята по-прежнему допускают огромное количество уязвимостей.

Но перед этим настоятельно рекомендую немного научиться писать свои API чтобы глубоко понять как это все работает. Этот парень просто великолепен для этих целей

5) SSRF

Одна из топовых уязвимостей которые есть на сегодня в крупном корпоративном сегменте. Изучайте SSRF пройдите все возможные лабораторные на Portswigger на эту тему. Вообще пройдите весь Portswigger если до сих пор этого не сделали. Да это трудно. Да нудно. Но оно того стоит. По прежнему это один из лучших ресурсов для самообучения

6) Аутентификация и авторизация

По прежнему встречаются ошибки в логике Race Condition, Oauth, SSO в логике работы JWT токенов, очень часто встречаются уязвимости бизнес-логики которые также не тестятся инструментами автоматической проверки.

6) Как учиться то вообще? После прохождения всех лабораторных на PortSwigger

БЕСПЛАТНО:

1) PORTSWIGGER- В любое свободное время проходите его пока изучаете ресурсы приложенные снизу

Это пока один из топовых бесплатных курсов на Youtube для погружения

Как смотреть курсы на английском языке — просто устанавливайте Яндекс Браузер и на ютубе будет кнопка перевести

Бомбический курс с каждым уроком длительностью по 2 часа

0d30be7a7836eb8a9d7544522cdd53b0.png

До 2000 рублей:

Только Udemy- просто топ за свои деньги. Берите когда есть скидки, учитесь и получайте удовольствие. Дешево не значит плохо. Эти курсы за 1000 рублей намного лучше чем курсы от именитых школ от 60 000 рублей и выше.

0c06b76a194b488b216dec5fa07b5a75.png

До 20 000 рублей:

TryHackme

Отличный Path для раскачки именно в Веб-Пентесте. Очень рекомендую

4a99050f1fb807aa3e3eb2e6c7620a75.png

Punkration.ru

Российский ресурс ребята проходят как лабораторные на PortSwigger + свои лабораторные плюс дают многое по разведке

e4ec6365ac4f46cc0c28ff3772d3a23f.png

PentesterLab

ПентестерЛаб всегда даёт отличное обучение — это по прежнему один из лучших ресурсов за свои деньги

PentesterLab.com
PentesterLab.com

Обучение веб-разработке

Реалии таковы что если Вы хотите быть хорошим веб-пентестером Вам нужно ей учиться. Хорошие варианты это CodeCademy и JavaRush оба варианта стоят менее 20 000 рублей в Год.

1ee32bf82e00189c6823893196ea604b.png4ecb7611cf7868e902640af4cdd72ed4.png

Выше 50 000 рублей:

https://web-pentest.codeby.school/

https://practicum.yandex.ru/web-pentest/

https://www.pentestit.ru/websecops/

Тут я оставлю без комментариев — есть деньги, выбирайте что по душе. Но я постарался показать Все варианты и обучаться можно отлично вообще не вкладывая денег.

© Habrahabr.ru