Этичный хакер

В этом модуле студенты научатся основам информационной безопасности, разберутся в процессах тестирования на проникновение, научатся устанавливать и настраивать виртуализационные среды и Kali Linux для проведения безопасных тестов, а также освоят необходимые инструменты для пентестинга.

• Основы информационной безопасности
• Введение в тестирование на проникновение
• Основы виртуализации и установка тестовой среды
• Установка и настройка Kali Linux
• CheatSheet

Студенты научатся использовать инструменты для пассивной разведки, такие как Whois, nslookup, Shodan, Google Dorks, а также для поиска уязвимостей, утечек данных и анализа DNS-запросов, сертификатов и доменных зон с помощью различных сервисов и утилит.

• Whois, nslookup, Email Harvesting
• Shodan, Google Dorks
• Dig, ZONE Transfer
• Asset discovery с использованием crt.sh и других сертификатных баз данных
• Обнаружение утечек данных: Have I Been Pwned, Dehashed, exposed.lol

Студенты научатся использовать Nmap для сканирования сетей, анализировать различные типы сканирования, применять NSE скрипты для поиска уязвимостей, а также выявлять поддомены и скрытые директории с помощью инструментов Subdomain enum, gobuster, ffuf и dirbuster.

• Введение в Nmap: сканирование и анализ сетей
• Типы сканирования в Nmap: TCP connect, SYN, UDP, ICMP, NULL, FIN, Xmas сканирование
• Расширенные возможности Nmap: использование NSE скриптов для уязвимостей
• Subdomain enumeration (Subdomain enum)
• Перебор директорий (gobuster, ffuf, dirbuster)

Студенты научатся устанавливать и настраивать Metasploit Framework, использовать модули эксплойтов для поиска и эксплуатации уязвимостей, а также управлять удаленной системой через Meterpreter для постэксплуатации, выполняя команды и анализируя системы.

• Metasploit: Introduction
• Metasploit: Exploitation
• Metasploit: Meterpreter

Студенты научатся выявлять уязвимости в FTP, SMB и SQL-серверах, использовать инструменты, такие как Metasploit, для проведения атак, включая брутфорс и SQL-инъекции, а также изучат методы защиты и эксплуатации этих уязвимостей.

• Атака на FTP
• Атака на SMB
• Атака на SQL Базы Данных
• Атака на RDP (Remote Desktop Protocol)
• Атака на DNS (Domain Name System)
• Атака на Email Сервисы

Студенты научатся устанавливать и настраивать Burp Suite для перехвата и анализа HTTP/HTTPS трафика, а также использовать инструменты, такие как Repeater и Intruder, для тестирования безопасности веб-приложений, выявления уязвимостей и автоматизации запросов.

• Установка Burp Suite
• Настройка прокси
• Настройка браузера
• Перехват трафика
• Анализ запросов и ответов
• Использование инструментов

Студенты научатся выявлять и защищать от уязвимостей веб-приложений, таких как XSS, SQL инъекции, IDOR, CSRF и другие. Они освоят методы тестирования безопасности, включая fuzzing, обход аутентификации и загрузку файлов, а также решения реальных кейсов.

• OWASP Top 10 — Критические риски безопасности веб-приложений
• Fuzzing web приложений
• IDOR (Insecure Direct Object References)
• Cross-Site Scripting (XSS)
• Clickjacking
• CSRF
• Directory Traversal
• File Inclusion (LFI и RFI)
• Upload Vulnerabilities
• SQL Injection (SQLi) часть 1
• SQL Injection (SQLi) часть 2
• Authentication Bypass
• Решение реального бизнес кейса

Студенты освоят методы обнаружения и защиты от сложных уязвимостей, таких как SSRF, XXE, JWT, SSTI и десериализация. Они научатся защищать приложения от атак через анализ уязвимостей и выполнения практических заданий на платформе TryHackMe.

• Server-Side Request Forgery (SSRF)
• XML External Entity (XXE) Injection
• Атаки на JSON Web Tokens (JWT)
• Server-Side Template Injection (SSTI)
• Deserialization

Студенты освоят методы пост-эксплуатации и повышения привилегий в Windows и Linux, включая использование различных инструментов и эксплуатацию уязвимостей ядра, конфигураций sudo, планировщиков задач и других сервисов для получения повышенных прав и доступа.

• Пост-эксплуатация Инструменты для пост-эксплуатации и повышения привилегий:
• Повышение привилегий в Windows
• Повышение привилегий в Linux

Студенты освоят методы анализа и тестирования безопасности Android-приложений, включая декомпиляцию APK, использование инструментов как Frida, Burp Suite и APKTool, а также анализ поверхностей атаки и обход SSL-пиннинга для повышения безопасности мобильных приложений.

• Основы Android Настройка рабочей среды (genymotion+AndroidStudio)
• Базовые инструменты для тестирования
• Reverse engineering Статический анализ
• Поверхность атаки Android
• Обход ssl для пенетста API AI for frida scripts

Студенты научатся эффективно писать отчеты о найденных уязвимостях, классифицировать их по степени риска, предоставлять рекомендации по устранению и использовать шаблоны для структурирования отчетов. Также они освоят практические аспекты написания понятных отчетов для технических и нетехнических специалистов.

• Рекомендации по написанию отчетов о найденных уязвимостях

В этом модуле студенты выполнят финальные проекты, решая реальные задачи с уязвимыми машинами, используя весь ранее изученный материал. Также они получат советы по написанию отчетов, участию в CTF, поиску работы и сертификации в кибербезопасности.

• Выдача финальных проектов, критериев оценивания.
• Консультации по финальному проекту
• CTF
• Где искать работу?
• Bug Bounty
• Профессиональная сертификация в области кибербезопасности
• Конференции