Domanda Analisi di un sito web: efficienza del server, pen testing, linguaggi utilizzati, front end & back end.

blackWindow01

Utente Silver
3 Novembre 2017
92
28
1
54
Ciaooo! E' possibile attraverso strumenti riuscire a carpire tutte le informazioni che ho elencato su.
Principalmente per "sporcarmi le mani" e capire come ottenere rapidamente risultati (2 anni) per saperci fare in questo campo.
Wireshark e Metasploit li introdurrò per ottobre , e non so assolutamente nulla.
Essendoci tanta roba cosa consigliate di introdurre? Al momento sto studiando HTML e CSS.
Tornando alla domanda iniziale, se considero un sito web non di mia proprietà, è possibile riuscire a carpire gran parte delle info (lo so mi direte studia studia studia, e lo faccio) ma voglio avere il quadro più chiaro.

Grazie :)
 

0xbro

Moderatore
24 Febbraio 2017
3,602
137
2,337
1,360
Per identificare le diverse componenti di un sito manualmente basta guardare in linea di massima gli header delle risposte del server. Spesso si troverà che tipo di Web Server viene usato e ogni tanto addirittura se utilizza ASP, PHP con le rispettive versioni.
Per capire le componenti basta in utilizzo (librerie, framework, ecc.) in genere si guardano i file javascript oppure i commenti dei siti.
Esistono comunque strumenti specifici per fare questo genere di recon: uno tra tutti è il plugin "Wappalyzer" (di sotto un esempio dell'output del plugin)
2021-08-25 17_53_40-Window.png

ma ci sono anche estensioni fatte appositamente per burpsuite.

Ti consiglio di dare un'occhiata anche a burpsuite tra l'altro, è il tool usato per la maggiore per quanto riguardi il web hacking e il test di applicazioni web e mobile.

Per il resto ti linko altre guide utili:
 
  • Mi piace
Reazioni: blackWindow01

blackWindow01

Utente Silver
3 Novembre 2017
92
28
1
54

0xbro

Moderatore
24 Febbraio 2017
3,602
137
2,337
1,360
Grazie! Ma per quanto riguarda il sistema operativo da utilizzare per avviare questi strumenti e prenderci confidenza quale è consigliabile? E' possibile trovare un'alternativa tra uno più user friendly inizialmente o uno più da smanettone ( ho letto già la storia di Kali Linux qui :D https://www.inforge.net/forum/resources/perché-evitare-kali-linux-come-la-peste.15225/) sentire più pareri è utilissimo per tutti :D
La cosa migliore è installarti una VM con una distro linux classica tipo Ubuntu o Debian e iniziare così a prenderci la mano senza rischiare di fare danni. Volendo puoi anche installarti Kali, le ultime versioni non hanno più i problemi delle vecchie distro, non monta più di default tutti i tools possibili e immaginabili e non usa più root come utente di default. Il mio consiglio se comunque non hai mai usato linux è comunque quello di partire con una Ubuntu/Debian
 

blackWindow01

Utente Silver
3 Novembre 2017
92
28
1
54
ok! quindi con una macchina windows su cui ci installo una VM su cui gira Debian posso effettuare le prime prove creando anche altre VM su cui provare in futuro vari attacchi (la faccio semplice) . Che differenza cè tra una macchina Windows su cui ho una VM con installato Debian ( si posso effettuare simulazione tra VM) e una su cui ho solo ed esclusivamente Debian? Che sul secondo devo conoscere Linux piuttosto bene per poter incappare problemi o è user-friendly se dovessi installare unicamente quella distro ? Grazie :)
 

0xbro

Moderatore
24 Febbraio 2017
3,602
137
2,337
1,360
ok! quindi con una macchina windows su cui ci installo una VM su cui gira Debian posso effettuare le prime prove creando anche altre VM su cui provare in futuro vari attacchi (la faccio semplice) . Che differenza cè tra una macchina Windows su cui ho una VM con installato Debian ( si posso effettuare simulazione tra VM) e una su cui ho solo ed esclusivamente Debian? Che sul secondo devo conoscere Linux piuttosto bene per poter incappare problemi o è user-friendly se dovessi installare unicamente quella distro ? Grazie :)
Come detto da @Zeus4 la differenza principale è quella. La macchina è appunto virtuale, questo significa che non va a intaccare in nessun modo il sistema operativo principale. Se per caso elimini dei file che non dovrebbero essere eliminati, oppure ti imbatti in un malware o cose del genere, elimini la macchina virtuale e sei a posto. Inoltre con le VM puoi creare come hai detto diverse reti, anche con OS e distro diverse, che comunichino tra loro, in modo da crearti un mini lab o fare le prove di cui necessiti.

Ovviamente a differenza dei SO installati direttamente sulla macchina, una VM ha in linea di massima prestazioni più scarse
 

blackWindow01

Utente Silver
3 Novembre 2017
92
28
1
54
Ho letto che cè QUBES OS (ma è gia per livelli avanzati) che è proprio un OS impostato cosi. Applicazioni singole o in gruppi radunate in cube dove ciascuna finestra funziona come VM a se e in caso si volesse aprire una VM per accessi bancari è possibile autodistruggere la VM a termine sessione. Qualcuno l'ha provato?