Selamlar. Ben Selçuk Tatar. Şu an Bilişim Güvenliği bölümü, ilk sınıf öğrencisiyim. Bundan 4 ay önce Web Güvenliğine ilgi duymaya başladım…
Web Güvenliği Yol Haritası
Selamlar. Ben Selçuk Tatar. Şu an Bilişim Güvenliği bölümü, ilk sınıf öğrencisiyim. Bundan 4 ay önce Web Güvenliğine ilgi duymaya başladım. Şuan bir amatör olarak size neler öğrendiğimi ve nereden başlayıp şuan nereye doğru ilerlediğimi anlatıyor olucağım. Düzeltmemi istediğiniz birşey olursa Twitterdan bana ulaşabilirsiniz. Not: İngilizce kaynaklar içerir.
Level 0: Hazırlık
İlk önce eyleme geçmeden bazı kavramları bilmeliyiz. Bunun için Zafiyet Araştırmacısı olan Mehmet İncenin Web Securiy 101 serisini şiddetle tavsiye ediyorum.
Devam niteliğinde olan Stanford’un Computer Science 253 Ders kaynağını önerebilirim.
HTTP anlamak içinse Hacker101’in Web In Depth adlı eğitimini izleyebilirsiniz.
Level 1: Programlama
Web Güvenliğini anlamak için ilk başta nasıl kodlandığı ve nasıl çalıştığını anlamak gerekir. Bunun içinse ilk başta HTML biçimlendirme dilini bilmek gerekir. HTML dilini öğrenmenin en kolay yollarından biride W3Schools sitesidir. Buradaki konu akışını anladıktan sonra sizlere verilen etkinlikleri tamamlayabilirsiniz.
Ama HTML ile yapabilecekleriniz sınırlıdır. Javascript ile web sayfalarına resmen can verirsiniz. Javascript öğrenmek içinse sizlere iki kaynak vereceğim. Learn X in Y minutes ile Javascript dilinin işlevlerini öğrenebilirsiniz. İkinci önereceğim site ise Freecodecamp Bu site sizlere yapmanız gerekenleri veriyor ve sizlerde online olarak kodları yazıyorsunuz.
Level 2: Sanal Makinelerle Antremanlar
Programlama ve basit kavramları öğrendiğimize göre artık yavaş yavaş olarak nereleri hackleyebiliriz. Kolaydan zora doğru gidecegiz. Not: Sanal makinelere saldırmak için başlangıç seviyesi Linux bilginiz olmalıdır.
Tryhackme
Tryhackme, başlangıç için ideal bir site. Buradaki kolay odalardan başlayarak yetenek setlerinizi geliştirebilirsiniz. Ayrıca buradaki bazı Toolları(araç) odalardan nasıl çalıştığını öğrenebilirsiniz. Bu toollar arasında Burp Suite kesinlikle olmalıdır. Çünkü bir sonraki site sırf bu tool üzerinedir.
Port Swigger-Web Security
Burp Suite, Port Swigger adlı şirketin bir ürünüdür. Bu ürünün ücretli olan Professional ve ücretsiz olan Community versiyonları vardır. Dilediğinizi bilgisayarınıza kurabilirsiniz. Port Swigger, hem kendinizi geliştirmek hemde Burp Suite toolunu daha iyi kullanmanız için Web Security adlı portalını kurdu. Burayı dileğiniz kadar kullanabilirsiniz.
Hacker 101-CTF
Hackerone adlı Güvenlik Şirketinin hazırladığı bu site sizleri diğer odalara göre biraz daha zorluyacak.
CTF 101 Hackerone destekli olduğu için avantaj olarak bir süre sonra Hackerone üzerinden sizlere private bounty programları getirebilir.
Level 3: Son olarak Tavsiyelerim
Sonraki adım olarak bol bol raporlar okumak veya blog yazıları okuyup yazabilirsiniz. Peki blog yazıları veya raporları okumak için nereleri ziyaret etmeliyiz?
Twitter ve Medium bunun için en güzel yerler. Twitterda güvenlik araştırıcılarını veya bazı blog sayfalarını takip edebilirsiniz. Bu konuda TR Bug Hunterı takip edebilirsiniz. Medium içinse Bug Bounty WriteUp üzerinden çok güzel yazılar yayınlanıyor. Rapor okumak içinse Hackeronedaki bölümüne bakabilirsiniz. Bu yazılık bu kadar.
Stay Safe.
KAYNAKLAR VE EKSTRA YAZILAR
Resources for Beginner Bug Bounty Hunters
LiveOverflow’un YouTube Kanalı
Originally published at https://selcuk.live.
By Selcuk TATAR on December 23, 2020.
Exported from Medium on January 18, 2022.