Sans má testování penetrace webu a etické hackerství: Zachyťte třídu Flag, která by vás mohla zajímat, na https://www.sans.org/security-training/web-penetration-testing-ethical-hacking-capture -flag-day-6-13632-cid

Některá zachycují vlajkové weby, ze kterých se můžete poučit

• http: / /hax.tor.hu/
• https://pwn0.com/
• http: //www.smashthestack .org /
• http://www.hellboundhackers.org/
• http://www.overthewire.org / wargames /
• http://counterhack.net/Counter_Hack/Challenges.html
• http: // www. hackthissite.org/

Větší seznam naleznete na http://captf.com/practice-ctf/

Provedl jsem jednu z certifikací na http://www.securitytube.net/ a shledal jsem to velmi užitečným. Mají také k dispozici videa, která vás naučí různé dovednosti.

Také bych doporučil získat nějaké kredity na http://www.safaribooksonline.com/ a použít je k procházení několik dobrých knih.

například Hacking the art of exploitationShell coders handbookReversingMetasploit: The Penetration Tester's Guide

Jak již bylo zmíněno dříve, CTF jsou úžasné a protože jsem je provozoval sám, vidím, že lidé se od nich tolik učí.

SANS jsou vynikající, ale stejně jako většina lidí je považujete za drahé. Jak jsem řekl zde, OSCP má několik vynikajících penetračních testů, které pokrývají různé úrovně a prvky (síť, o / s & a konkrétní kurz webových aplikací nyní také). Je to docela intenzivní a slyšel jsem o nich jen dobré věci (já sám jsem měl to štěstí, že jsem dělal kurzy SANS, které jsou úžasné, ale drahé). OSCP je mnohem levnější a více si můžete přečíst zde.

Navíc si nejsem jistý, kde sídlíte, ale podívejte se na místní komunitu ohledně CTF nebo podobného bezpečnostního vzdělávání události, protože jsou obvykle zdarma nebo vyžadují pouze nominální poplatek.

Například Owasp pravidelně pořádá školení na svých konferencích AppSec, jako je tato, v Irsku a je levnější než Sans. Možná se podívejte na nejbližší kapitolu / konferenci Owasp (kapitola také často pořádá takové události, jako je tato nedávná v Dublinu).

Další možností by mohly být místní skupiny zabezpečení, například ISSA. Vím, že lidé v USA organizovali CTF (kde poskytují pokyny a vzdělávání), jako je tento jeden a náklady jsou obvykle pouze členství v ISSA.

Školení a zkušenosti s webovým zabezpečením
Pokud hledáte konkrétní školení o webových aplikacích, vyzkoušejte Koloseum. Naučí vás, jak prolomit WebGoat, je levný a začíná od základů.

Můžete také vyzkoušet dostupné „hackovatelné“ aplikace ( Mutillidae) a jejich výuková videa.

Jako bonus si můžete prohlédnout videa lidí, kteří hackují servery ( g0tmilk). Existuje několik velmi užitečných technik, které jsem si osvojil sledováním toho, jak ostatní přistupují k problému.

Network PenTesting
Pokud hledáte školení v penetraci hostitele / sítě testování, osobně doporučuji OSCP. Není to snadné, i když je to určeno pro začátečníky.

Pokud hledáte informace o testování webových aplikací, existuje několik potenciálních tras.

• Příručka pro hackery webových aplikací. Tuto knihu bych důkladně doporučil pro testování webových aplikací. Pokrývá většinu základen a kluci, kteří to napsali, vědí, co dělají. Nezkoušel jsem přístup k laboratořím, které poskytují, ale je to pravděpodobně také dobré.
• Jak @schroeder zmínil, laboratoře jako Coliseum a zranitelné aplikace jsou užitečné pro trénink. OWASP má projekt Broken Web Apps, který poskytuje předkonfigurovaný virtuální počítač pro školení.
• Materiál OWASP. Průvodce testováním (i když v současné době poněkud zastaralý) pokrývá to, na co WebGoat pohlíží ..

Nedávno jsem se zaregistroval do The Hacker Academy poté, co jsem s nimi promluvil v jejich stánku v DefConu a přečetl jsem si o nich recenze online. Jejich formát je, že si koupíte roční členství, které vám umožní přístup ke všemu, co mají. Na všechny předměty se vztahuje video přednáška s doprovodnou laboratoří, která je pro vás připravena ve virtuálním prostředí. Sotva jsem začal sledovat videa, takže zatím nemohu vůbec komentovat laboratoře. Ale zatím se mi to líbí.

Souhlasím také s předchozí odpovědí, která říká, že k pochopení konceptů využití webových aplikací musíte udělat nějaké skutečné webové programování, front-end JavaScript a backend programování (PHP, ASP .NET, Ruby, cokoli) včetně alespoň základního čtení & zapisuje do databáze.

Hodně štěstí!