Регулярные выражения: Для чего нужны в пентесте и как выучить

Uladzislau Murashka | 06.12.2018 | Разное | Комментариев нет

Для начала давайте разберемся, зачем нам могут пригодиться регулярные выражения и как их использовать в рамках пентеста.

1. Регулярные выражения очень сильно могут помочь в процессе разведки и сбора данных — чтобы не собирать всякий мусор, мы сможем выделять исключительно ту часть контента, которая будет для нас реально полезной.

2. В процессе разработки вспомогательных тулов для выполнения пентестов (включая этап той же разведки).

3. В случае, если мы получили доступ к целевой системе, базе данных и т.д. — соответственно нам нужно извлечь интересующие нас данные, тут тоже могут пригодиться регулярки.

4. В процессе обработки данных — когда у вас большие массивы данных для обработки и/или сравнения, то тут на помощь приходят разного рода тулы с возможностью использования регулярных выражений, а так же возможность написать вспомогательный скрипт.

5. Если вы работали с BurpSuite — том замечали в том же Intruder возможность извлекать данные со страницы при помощи регулярных выражений (так же к слову о парсинге данных).

Для тех, кто никогда не имел дел с регулярными выражениями это может показаться по началу настоящим адом — какие-то непонятные значения, скбочки, точечки и всякое такое, возникает закономерный вопрос — с чего же всетаки начать ?

Не всем нравится да и просто подходит вариант прочтения кучи книг, по этому мы рассмотрим наименее болезненные и наиболее интересные варианты.

1. Обратимся к шпаргалке по регулярным выражениям:
Rex Egg

2. После того, как изучили (или бегло осмотрели) базовую информацию по регулярным выражениям — давайте попробуем немного порешать задачи:
RegexOne

3. В процессе выполнения задач нам может пригодиться некий вспомогательный инструмент для тестирования:
Regex 101

Смотрите так же Опыт работы в США, часть 3: Выполнение работ и возвращение домой

4. После изучения шпаргалки и решения задач по регулярным выражениям, наверное было бы не плохо попрактиковаться на более реальных примерах и тут нам поможет «Регекс Будды»:
RegexBuddy

Чтобы отработать в РегексБуддий — попробуйте поискать в интернете живые примеры в виде логов из разных источников, либо попробовать распарсить странички и собрать данные по критериям, а в последствии полностью их разобраться с помощь выражений в регексбуддий (там есть возможность разложить все по параметрам).