Web araçları veya pentester olarak nereden başlamalı?

Devam etmek Pentester'lar için faydalı araçlar hakkında konuşun. Yeni makalede web uygulamalarının güvenliğini analiz etmeye yönelik araçlara bakacağız.

Meslektaşımız beAşk Zaten böyle bir şey yaptım derleme yaklaşık yedi yıl önce. Hangi araçların konumlarını koruduğunu ve güçlendirdiğini, hangilerinin ise arka planda kaybolup artık nadiren kullanıldığını görmek ilginçtir.


Bunun Burp Suite'i de içerdiğini ancak bu paket ve faydalı eklentileri hakkında ayrı bir yayın olacağını unutmayın.

İçindekiler:

• biriktirmek
• Altdn'ler
• akuaton
• KütleDNS
• nsec3map
• Acunetix
• Arama
• ne saçma
• vay be
• gobuster
• Arjun
• Bağlantı Bulucu
• JSParser
• sqlmap
• SQL Haritası yok
• oxml_xxe
• tplmap
• CeWL
• Zayıf geçiş
• AEM_hacker
• JoomTarama
• WPScan

biriktirmek

biriktirmek - DNS alt alan adlarını aramak ve numaralandırmak ve harici ağı haritalamak için bir Go aracı. Amass, internetteki kuruluşların dışarıdan birine nasıl göründüğünü göstermek için tasarlanmış bir OWASP projesidir. Amass, alt alan adlarını çeşitli yollarla elde eder; araç, hem alt alan adlarının yinelemeli numaralandırmasını hem de açık kaynak aramalarını kullanır.

Amass, birbirine bağlı ağ bölümlerini ve otonom sistem numaralarını keşfetmek için çalışma sırasında elde edilen IP adreslerini kullanır. Bulunan tüm bilgiler bir ağ haritası oluşturmak için kullanılır.

Artıları:

• Bilgi toplama teknikleri şunları içerir:
  * DNS - alt alan adlarının sözlük araması, kaba kuvvet alt alan adları, bulunan alt alan adlarına dayalı mutasyonları kullanan akıllı arama, ters DNS sorguları ve bölge aktarım isteği (AXFR) yapmanın mümkün olduğu DNS sunucularını arama;

  * Açık kaynak arama - Ask, Baidu, Bing, CommonCrawl, DNSDB, DNSDumpster, DNSTable, Dogpile, Exalead, FindSubdomains, Google, IPv4Info, Netcraft, PTRArchive, Riddler, SiteDossier, ThreatCrowd, VirusTotal, Yahoo;

  * TLS sertifika veritabanlarında arama yapın - Censys, CertDB, CertSpotter, Crtsh, Entrust;

  * Arama motoru API'lerini kullanma - BinaryEdge, BufferOver, CIRCL, HackerTarget, PassiveTotal, Robtex, SecurityTrails, Shodan, Twitter, Umbrella, URLScan;

  * İnternet web arşivlerinde arama yapın: ArchiveIt, ArchiveToday, Arquivo, LoCArchive, OpenUKArchive, UKGovArchive, Wayback;

• Maltego ile entegrasyon;
• DNS alt alan adlarını arama görevinin en eksiksiz kapsamını sağlar.

Eksileri:

• amass.netdomains konusunda dikkatli olun; belirlenen altyapıdaki her IP adresiyle iletişim kurmaya ve ters DNS aramalarından ve TLS sertifikalarından alan adları almaya çalışacaktır. Bu "yüksek profilli" bir tekniktir, soruşturma altındaki organizasyondaki istihbarat faaliyetlerinizi ortaya çıkarabilir.
• Yüksek bellek tüketimi, farklı ayarlarda 2 GB'a kadar RAM tüketebilir, bu da bu aracı bulutta ucuz bir VDS üzerinde çalıştırmanıza izin vermez.

Altdn'ler

Altdn'ler — DNS alt alan adlarının numaralandırılmasına yönelik sözlüklerin derlenmesine yönelik bir Python aracı. Mutasyonları ve permütasyonları kullanarak birçok alt alan çeşidi oluşturmanıza olanak tanır. Bunun için alt alanlarda sıklıkla bulunan kelimeler kullanılır (örneğin: test, geliştirme, evreleme), tüm mutasyonlar ve permütasyonlar, Altdns girişine gönderilebilen, zaten bilinen alt alanlara uygulanır. Çıktı, mevcut olabilecek alt alan adlarının varyasyonlarının bir listesidir ve bu liste daha sonra DNS kaba kuvvet için kullanılabilir.

Artıları:

• Büyük veri kümeleriyle iyi çalışır.

akuaton

akuaton - daha önce alt alan adlarını aramak için başka bir araç olarak daha iyi biliniyordu, ancak yazarın kendisi yukarıda bahsedilen Amass lehine bundan vazgeçti. Artık aquatone Go'da yeniden yazıldı ve daha çok web sitelerinde ön keşif yapmaya yönelik. Bunu yapmak için aquatone belirtilen alan adlarından geçerek farklı bağlantı noktalarındaki web sitelerini arar, ardından site hakkındaki tüm bilgileri toplar ve ekran görüntüsünü alır. Web sitelerinin hızlı ön keşfi için uygundur, ardından saldırılar için öncelikli hedefleri seçebilirsiniz.

Artıları:

• Çıktı, diğer araçlarla daha fazla çalışırken kullanıma uygun bir grup dosya ve klasör oluşturur:
  * Toplanan ekran görüntülerini ve benzerliğe göre gruplandırılmış yanıt başlıklarını içeren HTML raporu;

  * Web sitelerinin bulunduğu tüm URL'leri içeren bir dosya;

  * İstatistikleri ve sayfa verilerini içeren dosya;

  * Bulunan hedeflerden gelen yanıt başlıklarını içeren dosyaların bulunduğu bir klasör;

  * Bulunan hedeflerden gelen yanıtların metnini içeren dosyaların bulunduğu klasör;

  * Bulunan web sitelerinin ekran görüntüleri;

• Nmap ve Masscan'den XML raporlarıyla çalışmayı destekler;
• Ekran görüntülerini oluşturmak için başsız Chrome/Chromium kullanır.

Eksileri:

• Saldırı tespit sistemlerinin dikkatini çekebileceğinden konfigürasyon gerektirir.

Ekran görüntüsü, DNS alt alan adı aramasının uygulandığı aquatone'un (v0.5.0) eski sürümlerinden biri için alınmıştır. Daha eski sürümlere şuradan ulaşılabilir: sürümler sayfası.

KütleDNS

KütleDNS DNS alt alan adlarını bulmak için başka bir araçtır. Temel farkı, DNS sorgularını doğrudan birçok farklı DNS çözümleyiciye yapması ve bunu oldukça hızlı yapmasıdır.

Artıları:

• Hızlı - saniyede 350 binden fazla adı çözümleme kapasitesine sahiptir.

Eksileri:

• MassDNS, kullanılan DNS çözümleyiciler üzerinde önemli bir yüke neden olabilir ve bu da bu sunucuların yasaklanmasına veya İSS'nize şikayette bulunulmasına yol açabilir. Ayrıca, eğer varsa ve çözmeye çalıştığınız alan adlarından sorumlularsa şirketin DNS sunucularına büyük bir yük bindirecektir.
• Çözümleyicilerin listesi şu anda güncel değil, ancak bozuk DNS çözümleyicileri seçip yeni bilinenleri eklerseniz her şey yoluna girecek.

Aquatone v0.5.0'in ekran görüntüsü

nsec3map

nsec3map DNSSEC korumalı alan adlarının tam listesini elde etmeye yönelik bir Python aracıdır.

Artıları:

• Bölgede DNSSEC desteği etkinse, DNS bölgelerindeki ana bilgisayarları minimum sayıda sorguyla hızlı bir şekilde keşfeder;
• Ortaya çıkan NSEC3 karmalarını kırmak için kullanılabilecek Karındeşen John için bir eklenti içerir.

Eksileri:

• Birçok DNS hatası doğru şekilde işlenmez;
• NSEC kayıtlarının işlenmesinde otomatik paralelleştirme yoktur; ad alanını manuel olarak bölmeniz gerekir;
• Yüksek bellek tüketimi.

Acunetix

Acunetix — web uygulamalarının güvenliğini kontrol etme sürecini otomatikleştiren bir web güvenlik açığı tarayıcısı. Uygulamayı SQL enjeksiyonları, XSS, XXE, SSRF ve diğer birçok web güvenlik açığı açısından test eder. Bununla birlikte, diğer herhangi bir tarayıcı gibi, çeşitli web güvenlik açıkları bir pentester'ın yerini almaz çünkü mantıktaki karmaşık güvenlik açıkları veya güvenlik açıkları zincirlerini bulamaz. Ancak pentester'ın unutmuş olabileceği çeşitli CVE'ler de dahil olmak üzere birçok farklı güvenlik açığını kapsar, bu nedenle sizi rutin kontrollerden kurtarmak için çok uygundur.

Artıları:

• Düşük düzeyde yanlış pozitifler;
• Sonuçlar rapor olarak dışa aktarılabilir;
• Çeşitli güvenlik açıklarına karşı çok sayıda kontrol gerçekleştirir;
• Birden fazla ana bilgisayarın paralel taranması.

Eksileri:

• Tekilleştirme algoritması yoktur (Acunetix, farklı URL'lere yönlendirdikleri için işlevsellik açısından aynı olan sayfaları farklı olarak değerlendirecektir), ancak geliştiriciler bunun üzerinde çalışmaktadır;
• Ayrı bir web sunucusuna kurulum gerektirir; bu, istemci sistemlerinin bir VPN bağlantısıyla test edilmesini ve tarayıcının yerel istemci ağının yalıtılmış bir bölümünde kullanılmasını zorlaştırır;
• İncelenmekte olan hizmet, örneğin sitedeki iletişim formuna çok fazla saldırı vektörü göndererek gürültü yapabilir ve böylece iş süreçlerini büyük ölçüde karmaşık hale getirebilir;
• Bu, tescilli bir çözümdür ve dolayısıyla ücretsiz bir çözüm değildir.

Arama

Arama — web sitelerindeki dizinleri ve dosyaları kaba zorlamaya yönelik bir Python aracı.

Artıları:

• Gerçek “200 OK” sayfalarını “200 OK” sayfalarından ayırt edebilir, ancak “sayfa bulunamadı” metniyle;
• Boyut ve arama verimliliği arasında iyi bir denge kuran kullanışlı bir sözlükle birlikte gelir. Birçok CMS ve teknoloji yığınında ortak olan standart yolları içerir;
• Dosya ve dizinlerin numaralandırılmasında iyi bir verimlilik ve esneklik elde etmenizi sağlayan kendi sözlük formatı;
• Kullanışlı çıktı - düz metin, JSON;
• Herhangi bir zayıf hizmet için hayati önem taşıyan istekler arasında bir duraklama olan kısıtlamayı yapabilir.

Eksileri:

• Uzantılar bir dize olarak iletilmelidir; bu, aynı anda birçok uzantıyı iletmeniz gerekiyorsa sakıncalıdır;
• Sözlüğünüzü kullanabilmeniz için, maksimum verimlilik sağlamak amacıyla az da olsa Dirsearch sözlük formatına dönüştürülmesi gerekecektir.

ne saçma

ne saçma - Python web uygulaması fuzzer'ı. Muhtemelen en ünlü web fazerlerinden biri. Prensip basittir: wfuzz, bir HTTP isteğindeki herhangi bir yeri aşamalandırmanıza olanak tanır; bu da GET/POST parametrelerini, Cookie ve diğer kimlik doğrulama başlıkları da dahil olmak üzere HTTP başlıklarını aşamalandırmayı mümkün kılar. Aynı zamanda, iyi bir sözlüğe ihtiyaç duyduğunuz dizinlerin ve dosyaların basit kaba kuvveti için de uygundur. Ayrıca web sitesinden gelen yanıtları farklı parametrelere göre filtreleyebileceğiniz, etkili sonuçlar elde etmenizi sağlayan esnek bir filtre sistemine sahiptir.

Artıları:

• Çok işlevli - modüler yapı, montaj birkaç dakika sürer;
• Kullanışlı filtreleme ve tüylenme mekanizması;
• Herhangi bir HTTP yöntemini ve ayrıca bir HTTP isteğindeki herhangi bir yeri aşamalandırabilirsiniz.

Eksileri:

• Geliştiriliyor.

vay be

vay be — Go'da wfuzz'un "görüntüsü ve benzerliğinde" oluşturulan bir web fuzzer, kaba kuvvet için Ana Bilgisayar başlığı da dahil olmak üzere dosyaları, dizinleri, URL yollarını, GET/POST parametrelerinin adlarını ve değerlerini, HTTP başlıklarını kaba kuvvetle işlemenize olanak tanır sanal ana bilgisayarların sayısı. wfuzz, kardeşinden daha yüksek hız ve bazı yeni özellikler açısından farklılık gösteriyor; örneğin, Dirsearch formatındaki sözlükleri destekliyor.

Artıları:

• Filtreler wfuzz filtrelerine benzer; kaba kuvveti esnek bir şekilde yapılandırmanıza olanak tanır;
• GET parametrelerinin adları ve değerleri de dahil olmak üzere HTTP başlık değerlerini, POST istek verilerini ve URL'nin çeşitli bölümlerini bulanıklaştırmanıza olanak tanır;
• Herhangi bir HTTP yöntemini belirtebilirsiniz.

Eksileri:

• Geliştiriliyor.

gobuster

gobuster - Keşif amaçlı bir Go aracı, iki çalışma moduna sahiptir. Birincisi bir web sitesindeki dosya ve dizinleri kaba kuvvetle kullanmak için kullanılır, ikincisi ise DNS alt alan adlarını kaba kuvvetle zorlamak için kullanılır. Araç başlangıçta dosya ve dizinlerin yinelemeli numaralandırılmasını desteklemez, bu da elbette zaman kazandırır, ancak diğer yandan web sitesindeki her yeni uç noktanın kaba kuvvetinin ayrı olarak başlatılması gerekir.

Artıları:

• Hem DNS alt etki alanlarının kaba kuvvetle aranması hem de dosya ve dizinlerin kaba kuvvetle aranması için yüksek çalışma hızı.

Eksileri:

• Geçerli sürüm, HTTP üstbilgilerinin ayarlanmasını desteklemiyor;
• Varsayılan olarak yalnızca bazı HTTP durum kodları (200,204,301,302,307) geçerli kabul edilir.

Arjun

Arjun - GET/POST parametrelerinde ve JSON'da gizli HTTP parametrelerinin kaba kuvvetine yönelik bir araç. Yerleşik sözlükte 25 kelime var ve Ajrun bunu neredeyse 980 saniyede kontrol ediyor. İşin püf noktası, Ajrun'un her parametreyi ayrı ayrı kontrol etmemesi, ancak bir seferde ~30 parametreyi kontrol etmesi ve cevabın değişip değişmediğini görmesidir. Cevap değiştiyse bu 1000 parametreyi iki parçaya böler ve bu parçalardan hangisinin cevabı etkilediğini kontrol eder. Böylece, basit bir ikili arama kullanılarak, cevabı etkileyen ve dolayısıyla mevcut olabilecek bir parametre veya birkaç gizli parametre bulunur.

Artıları:

• İkili arama nedeniyle yüksek hız;
• GET/POST parametrelerinin yanı sıra JSON biçimindeki parametreler için destek;

Burp Suite eklentisi de benzer prensipte çalışır: param madenciBu aynı zamanda gizli HTTP parametrelerini bulmada da çok iyidir. Burp ve eklentileri hakkında gelecek bir makalede size bu konuda daha fazla bilgi vereceğiz.

Bağlantı Bulucu

Bağlantı Bulucu — JavaScript dosyalarındaki bağlantıları aramak için kullanılan bir Python betiği. Bir web uygulamasında gizli veya unutulmuş uç noktaları/URL'leri bulmak için kullanışlıdır.

Artıları:

• Hızlı;
• LinkFinder'ı temel alan Chrome için özel bir eklenti var.

.

Eksileri:

• Uygunsuz nihai sonuç;
• JavaScript'i zaman içinde analiz etmez;
• Bağlantıları aramak için oldukça basit bir mantık - eğer JavaScript bir şekilde karmaşıksa veya bağlantılar başlangıçta eksikse ve dinamik olarak oluşturulmuşsa, o zaman hiçbir şey bulamaz.

JSParser

JSParser kullanan bir Python betiğidir Kasırga и JSB Güzelleştirici Göreli URL'leri JavaScript dosyalarından ayrıştırmak için. AJAX isteklerini tespit etmek ve uygulamanın etkileşime girdiği API yöntemlerinin bir listesini derlemek için çok kullanışlıdır. LinkFinder ile birlikte etkili bir şekilde çalışır.

Artıları:

• JavaScript dosyalarının hızlı ayrıştırılması.

sqlmap

sqlmap muhtemelen web uygulamalarını analiz etmek için en ünlü araçlardan biridir. Sqlmap, SQL enjeksiyonlarının aramasını ve çalışmasını otomatikleştirir, çeşitli SQL lehçeleriyle çalışır ve cephaneliğinde düz alıntılardan zamana dayalı SQL enjeksiyonları için karmaşık vektörlere kadar çok sayıda farklı teknik bulunur. Ek olarak, çeşitli DBMS'lerden daha fazla yararlanmak için birçok tekniğe sahiptir, bu nedenle yalnızca SQL enjeksiyonları için bir tarayıcı olarak değil, aynı zamanda halihazırda bulunan SQL enjeksiyonlarından yararlanmak için güçlü bir araç olarak da faydalıdır.

Artıları:

• Çok sayıda farklı teknik ve vektör;
• Düşük sayıda yanlış pozitif;
• Çok sayıda ince ayar seçeneği, çeşitli teknikler, hedef veritabanı, WAF'ı atlamak için kurcalama komut dosyaları;
• Çıktı dökümü oluşturma yeteneği;
• Birçok farklı operasyonel yetenek, örneğin bazı veritabanları için - dosyaların otomatik olarak yüklenmesi/boşaltılması, komutları yürütme yeteneğinin elde edilmesi (RCE) ve diğerleri;
• Saldırı sırasında elde edilen verileri kullanarak veritabanına doğrudan bağlantı desteği;
• Burp sonuçlarını girdi olarak içeren bir metin dosyası gönderebilirsiniz; tüm komut satırı niteliklerini manuel olarak oluşturmanıza gerek yoktur.

Eksileri:

• Bunun için gerekli belgelerin kıt olması nedeniyle, örneğin kendi çeklerinizden bazılarını yazmak için özelleştirme yapmak zordur;
• Uygun ayarlar olmadan, eksik bir dizi kontrol gerçekleştirir ve bu da yanıltıcı olabilir.

SQL Haritası yok

SQL Haritası yok — NoSQL enjeksiyonlarının aranmasını ve kullanılmasını otomatikleştirmek için bir Python aracı. Yalnızca NoSQL veritabanlarında değil, doğrudan NoSQL kullanan web uygulamalarını denetlerken de kullanılması uygundur.

Artıları:

• Sqlmap gibi, yalnızca potansiyel bir güvenlik açığını bulmakla kalmaz, aynı zamanda MongoDB ve CouchDB için istismar edilme olasılığını da kontrol eder.

Eksileri:

• Redis, Cassandra için NoSQL'i desteklememektedir, bu yönde geliştirmeler devam etmektedir.

oxml_xxe

oxml_xxe — XXE XML istismarlarını, bir biçimde XML formatını kullanan çeşitli dosya türlerine yerleştirmeye yönelik bir araç.

Artıları:

• DOCX, ODT, SVG, XML gibi birçok yaygın formatı destekler.

Eksileri:

• PDF, JPEG, GIF desteği tam olarak uygulanmamıştır;
• Yalnızca bir dosya oluşturur. Bu sorunu çözmek için aracı kullanabilirsiniz. belgefarklı yerlerde çok sayıda veri dosyası oluşturabilen.

Yukarıdaki yardımcı programlar, XML içeren belgeleri yüklerken XXE'yi test etme konusunda harika bir iş çıkarır. Ancak XML formatı işleyicilerinin başka birçok durumda da bulunabileceğini unutmayın; örneğin, XML, JSON yerine veri formatı olarak kullanılabilir.

Bu nedenle çok sayıda farklı veri içeren aşağıdaki depoya dikkat etmenizi öneririz: YüklerAllTheThings.

tplmap

tplmap - Sunucu Tarafı Şablon Enjeksiyonu güvenlik açıklarını otomatik olarak tanımlamak ve kullanmak için bir Python aracı; sqlmap'e benzer ayarlara ve işaretlere sahiptir. Kör enjeksiyon da dahil olmak üzere birçok farklı teknik ve vektör kullanır ve ayrıca kod yürütme ve rastgele dosyaları yükleme/karşıya yükleme tekniklerine de sahiptir. Buna ek olarak, cephaneliğinde bir düzine farklı şablon motoruna yönelik teknikler ve Python, Ruby, PHP ve JavaScript'te eval() benzeri kod enjeksiyonlarını aramak için bazı teknikler bulunmaktadır. Başarılı olursa etkileşimli bir konsol açar.

Artıları:

• Çok sayıda farklı teknik ve vektör;
• Birçok şablon oluşturma motorunu destekler;
• Çok sayıda işletim tekniği.

CeWL

CeWL - Belirli bir web sitesinden benzersiz kelimeleri çıkarmak için oluşturulan Ruby'deki bir sözlük oluşturucu, sitedeki bağlantıları belirli bir derinliğe kadar takip eder. Benzersiz kelimelerden oluşan derlenmiş sözlük daha sonra hizmetlerde kaba kuvvet parolaları oluşturmak veya aynı web sitesindeki dosya ve dizinleri kaba kuvvetle kullanmak veya hashcat veya Karındeşen John kullanarak ortaya çıkan karmalara saldırmak için kullanılabilir. Potansiyel şifrelerin bir "hedef" listesini derlerken kullanışlıdır.

Artıları:

• Kullanımı kolay.

Eksileri:

• Fazladan bir alan adı yakalamamak için arama derinliğine dikkat etmeniz gerekir.

Zayıf geçiş

Zayıf geçiş - benzersiz şifrelere sahip birçok sözlük içeren bir hizmet. Hedef hizmetlerdeki hesapların basit çevrimiçi kaba kuvvetinden, alınan karmaların çevrimdışı kaba kuvvetine kadar, şifre kırmayla ilgili çeşitli görevler için son derece kullanışlıdır. hashcat veya John Ripper. Uzunluğu 8 ila 4 karakter arasında değişen yaklaşık 25 milyar şifre içerir.

Artıları:

• Hem belirli sözlükleri hem de en yaygın parolaları içeren sözlükleri içerir; kendi ihtiyaçlarınıza göre belirli bir sözlük seçebilirsiniz;
• Sözlükler güncellenir ve yeni şifrelerle doldurulur;
• Sözlükler verimliliğe göre sıralanır. Hem hızlı çevrimiçi kaba kuvvet hem de en son sızıntıların yer aldığı hacimli bir sözlükten ayrıntılı şifre seçimi seçeneğini seçebilirsiniz;
• Ekipmanınızda kaba şifrelerin işlenmesi için gereken süreyi gösteren bir hesap makinesi vardır.

CMS kontrollerine yönelik araçları ayrı bir gruba dahil etmek istiyoruz: WPScan, JoomScan ve AEM hacker.

AEM_hacker

AEM korsanı Adobe Experience Manager (AEM) uygulamalarındaki güvenlik açıklarını belirlemeye yönelik bir araçtır.

Artıları:

• Girişine gönderilen URL'ler listesinden AEM uygulamalarını tanımlayabilir;
• Bir JSP kabuğu yükleyerek veya SSRF'den yararlanarak RCE'yi elde etmek için komut dosyaları içerir.

JoomTarama

JoomTarama — Joomla CMS'yi dağıtırken güvenlik açıklarının tespitini otomatikleştirmek için bir Perl aracı.

Artıları:

• Yönetim ayarlarıyla ilgili yapılandırma kusurlarını ve sorunlarını bulabilir;
• Tek tek bileşenler için benzer şekilde Joomla sürümlerini ve ilgili güvenlik açıklarını listeler;
• Joomla bileşenleri için 1000'den fazla istismar içerir;
• Nihai raporların metin ve HTML formatlarında çıktısı.

WPScan

WPScan - WordPress sitelerini taramak için bir araç, cephaneliğinde hem WordPress motorunun kendisi hem de bazı eklentiler için güvenlik açıkları var.

Artıları:

• Yalnızca güvenli olmayan WordPress eklentilerini ve temalarını listelemekle kalmaz, aynı zamanda kullanıcıların ve TimThumb dosyalarının bir listesini de alabilir;
• WordPress sitelerine kaba kuvvet saldırıları gerçekleştirebilir.

Eksileri:

• Uygun ayarlar olmadan, eksik bir dizi kontrol gerçekleştirir ve bu da yanıltıcı olabilir.

Genel olarak, farklı insanlar iş için farklı araçları tercih ederler: hepsi kendi açılarından iyidir ve bir kişinin sevdiği şey diğerine hiç uymayabilir. Bazı iyi faydaları haksız yere göz ardı ettiğimizi düşünüyorsanız, yorumlarda bunun hakkında yazın!

Kaynak: habr.com