Старт 2018.11.
1) чверть
Веб-технології: уразливості та безпека
1 місяць, 2 рази на тиждень
- URL. З чого складається, це фічі. URL Parsers. URL encode
- HTTP. Синтаксис, заголовки, HTTPS
- HTML. HTML Parser. HTML-эскейпинг. Форми, фрейми
- JavaScript. Script Processing Model
- інші типи файлів. XML, аудіо/відео/картинки
- ізоляція сторінок. Same Origin Policy: DOM, XHR, Web storage
- успадкування Origin в браузерах
- CORS, PostMessage, WebSocket. Застосування, як зробити безпечно
1 місяць, 2 рази на тиждень
- XSS. Основи: причини виникнення, базові механізми захисту (ескейпінг, CSP)
- XSS. Reflected XSS, Stored XSS, Blind XSS, Self XSS
- XSS. Експлуатація
- WAF. Обходи WAF при XSS
- CSRF. Причини виникнення, способи захисту, JWT
- CSP in depth
- інші уразливості на клієнті: clickjacking, HTML injection, Open Redirect
1 місяць, 2 рази на тиждень
- OWASP TOP 10 Mobile
- незахищеність двійкового файлу
- недостатній захист на транспортному рівні
- ненавмисний витік інформації
- захист In-App покупок
- LVL Ліцензія і DRM захист
- Certificate Pinning
Комп'ютерні мережі
2 місяці, 1 раз на тиждень
Відеокурс
Server-Side: Частина 1
1 місяць, 2 рази на тиждень
1 місяць, 2 рази на тиждень
1 місяць, 2 рази на тиждень
2 місяці, 1 раз на тиждень
1 місяць, 2 рази на тиждень
Безпека в мережі
1 місяць, 2 рази на тиждень
1 місяць, 2 рази на тиждень
2 місяці, 1 раз на тиждень
1 місяць, 1 раз на тиждень
Криптографія
1 місяць, 2 рази на тиждень
1 місяць, 2 рази на тиждень
1 місяць, 2 рази на тиждень
2 місяці, 1 раз на тиждень
1 місяць, 2 рази на тиждень
2 місяці, 1 раз на тиждень
- Стек TCP/IP і модель OSI/ISO
- навички роботи в Cisco CLI
- Робота з мережевими утилітами
- L1 і L2 на прикладі Ethernet
- L3: IPv4, IPX, IPv6, статична та динамічна маршрутизація
- L4: TCP, UDP.
- NAT, DHCP, DNS, WiFi
- SMTP, HTTP, HTTPS, TLS, RSA
Відеокурс
- реляційні бази даних
- Установка СУБД MySql і графічного додатка Mysql Workbench.
- проектування бази даних, нормальні форми
- SQL-команда CREATE
- SQL-команда INSERT
- SQL-команди SELECT і WHERE
- SQL-команди DISTINCT, ORDER BY, LIMIT
- SQL-команди DELETE і UPDATE
- поняття узгодженості або консистентності даних.
- поняття зовнішнього ключа і обмежень на значення стовпців; FOREIGN KEY CONSTRAINTS.
- Створення таблиць з відношенням "багато до багатьох"
- Використання складеного первинного ключа при проектуванні таблиці з відношенням "багато до багатьох".
- отримання даних з декількох взаємопов'язаних таблиць; неспроможність підходу з використанням декількох SELECT-ів.
- Об'єднання даних з декількох таблиць за допомогою оператора INNER Об'єднання даних з декількох таблиць за допомогою операторів LEFT JOIN і RIGHT JOIN.
- Об'єднання результатів декількох SQL-запитів за допомогою оператора Агрегуючі функції COUNT, SUM, MIN, MAX.
- групування вибраного набору рядків за допомогою оператора GROUP
- індекси. Фільтрація в GROUP BY з використанням HAVING; збільшення швидкості виконання запитів з використанням індексів.
- поняття транзакції; оператор TRANSACTION; вимоги ACID до транзакційної системи.
Server-Side: Частина 1
1 місяць, 2 рази на тиждень
- Атаки на сховища даних (SQLi). Як шукати, експлуатувати та захищатися
- Основи PHP
- RCE (віддалене виконання коду)
- уразливості в логіці роботи програми
- уразливості пов'язані з ACL (контролем доступу). IDOR
- brutforce, captcha
- burp intruder
1 місяць, 2 рази на тиждень
- sqli експлуатація (звичайна; blind; sqlmap)
- RCE експлуатація
- Race Condition
- OAuth уразливості
- XXE
- Path Traversal, LFI, RFI
- SSRF
- методи експлуатації (xss, port scan, internal api, ...)
- SSTI
- subdomain takeover
1 місяць, 2 рази на тиждень
- OWASP TOP 10 Mobile
- незахищеність двійкового файлу
- недостатній захист на транспортному рівні
- ненавмисний витік інформації
- захист In-App покупок
- LVL Ліцензія і DRM захист
- Certificate Pinning
2 місяці, 1 раз на тиждень
- знайомство з Python
- вбудовані типи та операції з ними
- функції.
- Робота з файлами
- корисні інструменти
- модулі та бібліотеки
1 місяць, 2 рази на тиждень
- Що таке BugBounty, основні платформи, правила і підводні камені
- існуючі підходи до багхантингу (пошуку вразливостей на BugBounty)
- розбір популярних кейсів з bugbounty платформ
- CTF -- що таке, які бувають. Приклади CTF для початківців
- розбір декількох завдань з CTF
Безпека в мережі
1 місяць, 2 рази на тиждень
- Сніффінг і спуффінг
- захоплення трафіку за допомогою Wireshark і tcpdump
- дослідження трафіку в Wireshark
- Kali Linux, DVL
- уразливості мережевих протоколів
- Пасивні мережеві атаки
- активні мережеві атаки
- експлуатація вразливостей, metasploit
- технології бездротових мереж і методологія їх злому.
- інструменти хакінгу бездротових мереж.
- Атаки на Bluetooth. Заходи протидії атакам на бездротові мережі.
- інструменти захисту. Тестування на проникнення в мережу.
- Практична робота: виявлення точок доступу, сніффінг, деаутентифікація, злом ключів WEP, WPA, WPA2 і розшифрування Wi-Fi трафіку.
1 місяць, 2 рази на тиждень
- машинний код, асемблер, дизассемблер
- Потоки, процеси
- пристрій ОС Linux
- управління пам'яттю
- файлові системи
- віртуалізація
2 місяці, 1 раз на тиждень
- підготовка робочого середовища. Cisco packet tracer 7.1.1. Wireshark. Побудова Wan логічної і фізичної топології.
- технологія WAN. Динамічна маршрутизація. BGP.
- технологія WAN. Система DNS. Root servers. DNS-зони.
- технології локальних мереж. STP. Агрегування каналів. LACP. Побудова топології мережі провайдера.
- технологія VLAN. Протокол 802.1 Q.
- динамічна маршрутизація. OSPF. DHCP. DHCP-relay. Налаштування офісної мережі. RIPv2. NAT.
- технології VPN. GRE. RIPv2 over GRE.
1 місяць, 1 раз на тиждень
- GNU/Linux
- основи пристрою Linux
- Робота з рядками і файлами
- написання скриптів
- GNU/Linux
- Мережа та безпека
- веб-сервер Apache2
- прикладне ПЗ
Криптографія
1 місяць, 2 рази на тиждень
- шифри: симетричні (блокові і потокові), асиметричні
- хешування: sha2, sha3, md5, sha1 (sha0)
- криптографія з відкритим ключем
- Атаки на криптографічні схеми
- пристрій криптографічних алгоритмів
- уразливості при використанні криптографічних засобів
- хеші для паролів: Argon2, bcrypt, scrypt
1 місяць, 2 рази на тиждень
- внутрішній пристрій і принципи процесора і пам'яті
- переповнення буфера. Механізм атаки, експлуатація, захист
- уразливість форматного рядка
- Return to libc attack
- Integer overflow
- IDA, застосування для реверсу додатків
1 місяць, 2 рази на тиждень
- Соціальна інженерія. Методи, кейси, способи застосування отриманих результатів при подальшому аудиті
- RFC і криптографічні стандарти
- гости по ІБ. Навіщо потрібні, як застосовувати і не померти
2 місяці, 1 раз на тиждень
- розвідка при аудиті. Способи, як кожен із способів працює, програми для автоматизації
- розвідка на мережевому рівні і рівні доменів. Nmap, subbrute, sublist3r
- розвідка на рівні програми. Web-spiders, eye-witness, dirsearch
- збір відбитків сервісів, пошук відомих вразливостей для них
- Пошук вразливостей руками, збір всіх отриманих раніше знань в єдиний процес дослідження
- експлуатація вразливостей, пошук максимального імпакту від уразливості
1 місяць, 2 рази на тиждень
- Підготовка до співбесіди на посаду спеціаліста з інформаційної безпеки
- Завдання і питання на співбесідах
https://privatelink.de/?https://geekbrains.ru/geek_university/security