i чверть
Веб-технології: уразливості та безпека
1 місяць, 2 рази на тиждень
URL. З чого складається, security-related фічі. URL Parsers. URL encode
HTTP. Синтаксис, заголовки, HTTPS
HTML. HTML Parser. HTML-эскейпинг. Форми, фрейми
JavaScript. Script Processing Model
Інші типи файлів. XML, аудіо/відео/картинки
Ізоляція сторінок. Same Origin Policy: DOM, XHR, Web storage
Успадкування Origin в браузерах
CORS, PostMessage, WebSocket. Застосування, як зробити безпечно
Client-side-уразливості
1 місяць, 2 рази на тиждень
XSS. Основи: причини виникнення, базові механізми захисту (ескейпінг, CSP)
XSS. Reflected XSS, Stored XSS, Blind XSS, Self XSS
XSS. Експлуатація
WAF. Обходи WAF при XSS
CSRF. Причини виникнення, способи захисту, JWT
CSP in depth
Інші уразливості на клієнті: clickjacking, HTML injection, Open Redirect
Безпека мобільних додатків
1 місяць, 2 рази на тиждень
OWASP TOP 10 Mobile
Веб-технології: уразливості та безпека
1 місяць, 2 рази на тиждень
URL. З чого складається, security-related фічі. URL Parsers. URL encode
HTTP. Синтаксис, заголовки, HTTPS
HTML. HTML Parser. HTML-эскейпинг. Форми, фрейми
JavaScript. Script Processing Model
Інші типи файлів. XML, аудіо/відео/картинки
Ізоляція сторінок. Same Origin Policy: DOM, XHR, Web storage
Успадкування Origin в браузерах
CORS, PostMessage, WebSocket. Застосування, як зробити безпечно
Client-side-уразливості
1 місяць, 2 рази на тиждень
XSS. Основи: причини виникнення, базові механізми захисту (ескейпінг, CSP)
XSS. Reflected XSS, Stored XSS, Blind XSS, Self XSS
XSS. Експлуатація
WAF. Обходи WAF при XSS
CSRF. Причини виникнення, способи захисту, JWT
CSP in depth
Інші уразливості на клієнті: clickjacking, HTML injection, Open Redirect
Безпека мобільних додатків
1 місяць, 2 рази на тиждень
OWASP TOP 10 Mobile
незахищеність двійкового файлу
Недостатній захист на транспортному рівні
Ненавмисний витік інформації
Захист In-App покупок
LVL Ліцензія і DRM захист
Certificate Pinning
Комп'ютерні мережі
2 місяці, 1 раз на тиждень
Стек TCP/IP і модель OSI/ISO
Навички роботи в Cisco CLI
Робота з мережевими утилітами
L1 і L2 на прикладі Ethernet
L3: IPv4, IPX, IPv6, статична та динамічна маршрутизація
L4: TCP, UDP.
NAT, DHCP, DNS, WiFi
SMTP, HTTP, HTTPS, TLS, RSA
Відеокурс "основи баз даних"
Відеокурс
Реляційні бази даних
Встановлення СУБД MySql та графічного додатка Mysql Workbench.
Проектування бази даних, нормальні форми
SQL - команда CREATE
SQL - команда INSERT
SQL - команди SELECT і WHERE
SQL-команди DISTINCT, ORDER BY, LIMIT
SQL - команди DELETE і UPDATE
Поняття узгодженості або консистентності даних.
Поняття зовнішнього ключа і обмежень на значення стовпців; FOREIGN KEY CONSTRAINTS.
Створення таблиць із відношенням"багато до багатьох"
Використання складеного первинного ключа при проектуванні таблиці з відношенням"багато до багатьох".
Отримання даних з декількох взаємопов'язаних таблиць; неспроможність підходу з використанням декількох SELECT-ів.
Об'єднання даних з декількох таблиць за допомогою оператора INNER Об'єднання даних з декількох таблиць за допомогою операторів LEFT JOIN і RIGHT JOIN.
Об'єднання результатів декількох SQL-запитів за допомогою оператора Агрегуючі функції COUNT, SUM, MIN, MAX.
Групування вибраного набору рядків за допомогою оператора GROUP
Індекс. Фільтрація в GROUP BY за допомогою HAVING; збільшення швидкості виконання запитів за допомогою індексів.
Поняття транзакції; оператор TRANSACTION; вимоги ACID до транзакційної системи.
II чверть
Server-Side: Частина 1
1 місяць, 2 рази на тиждень
Атаки на сховища даних (SQLi). Як шукати, експлуатувати і захищатися
Основи PHP
RCE (віддалене виконання коду)
Уразливості в логіці роботи програми
Уразливості пов'язані з ACL (контролем доступу). IDOR
brutforce, captcha
burp intruder
Server-Side: Частина 2
1 місяць, 2 рази на тиждень
Sqli експлуатація (звичайна; blind; sqlmap)
RCE експлуатація
Race Condition
OAuth уразливості
XXE
Path Traversal, LFI, RFI
SSRF
Методи експлуатації (xss, Port scan, internal api,...)
SSTI
subdomain takeover
Безпека мобільних додатків
1 місяць, 2 рази на тиждень
OWASP TOP 10 Mobile
Незахищеність двійкового файлу
Недостатній захист на транспортному рівні
Ненавмисний витік інформації
Захист In-App покупок
LVL Ліцензія і DRM захист
Certificate Pinning
Програмування на Python
2 місяці, 1 раз на тиждень
Знайомство з Python
Вбудовані типи та операції з ними
Функція.
Робота з файлами
Корисні інструменти
Модулі та бібліотеки
BugBounty, CTF
1 місяць, 2 рази на тиждень
Що таке BugBounty, основні платформи, правила та підводні камені
Існуючі підходи до багхантингу (пошуку вразливостей на BugBounty)
Розбір популярних кейсів з bugbounty платформ
CTF - що таке, які бувають. Приклади CTF для початківців
Розбір декількох завдань з CTF
III чверть
Безпека в мережі
1 місяць, 2 рази на тиждень
Сніффінг і спуффінг
Захоплення трафіку за допомогою Wireshark і tcpdump
Дослідження трафіку в Wireshark
Kali Linux, DVL
Уразливості мережевих протоколів
Пасивні мережеві атаки
Активні мережеві атаки
Експлуатація вразливостей, metasploit
Технології бездротових мереж і методологія їх злому.
Інструменти хакінгу бездротових мереж.
Атаки на Bluetooth. Заходи протидії атакам на бездротові мережі.
Інструменти захисту. Тестування на проникнення в мережу.
Практична робота: виявлення точок доступу, сніффінг, деаутентифікація, злом ключів WEP, WPA, WPA2 і розшифровування Wi-Fi трафіку.
Операційні системи
1 місяць, 2 рази на тиждень
Машинний код, асемблер, дизасемблер
Потоки, процеси
Пристрій ОС Linux
Управління пам'яттю
Файлові системи
Віртуалізація
Комп'ютерні мережі-факультатив від МГТУ ім. Баумана (комп'ютерні мережі 2)
2 місяці, 1 раз на тиждень
Підготовка робочого середовища. Cisco packet tracer 7.1.1. Wireshark. Побудова Wan логічної і фізичної топології.
Технологія WAN. Динамічна маршрутизація. BGP.
Технологія WAN. Система DNS. Root servers. DNS-зони.
Технології локальних мереж. STP. Агрегування каналів. LACP. Побудова топології мережі провайдера.
Технологія VLAN. Протокол 802.1 Q.
Динамічна маршрутизація. OSPF. DHCP. DHCP-relay. Налаштування офісної мережі. RIPv2. NAT.
Технології VPN. GRE. RIPv2 over GRE.
Linux 2 Сервер
1 місяць, 1 раз на тиждень
GNU/Linux
Основи пристрою Linux
Робота з рядками і файлами
Написання скриптів
GNU/Linux
Мережа та безпека
Веб-сервер Apache2
Прикладне ПЗ
IV чверть
Криптографія
1 місяць, 2 рази на тиждень
Шифри: симетричні (блокові і потокові), асиметричні
Хешування: sha2, sha3, md5, sha1 (sha0)
Криптографія з відкритим ключем
Атаки на криптографічні схеми
Пристрій криптографічних алгоритмів
Уразливості при використанні криптографічних засобів
Хеші для паролів: Argon2, bcrypt, scrypt
Бінарні вразливості, reverse engineering
1 місяць, 2 рази на тиждень
Внутрішній устрій і принципи процесора і пам'яті
Переповнення буфера. Механізм атаки, експлуатація, захист
Уразливість форматного рядка
Return to libc attack
Integer overflow
IDA, застосування для реверсу додатків
Соціальна інженерія, стандарти інформаційної безпеки
1 місяць, 2 рази на тиждень
Соціальна інженерія. Методи, кейси, способи застосування отриманих результатів при подальшому аудиті
RFC та криптографічні стандарти
Гости по ІБ. Навіщо потрібні, як застосовувати і не померти
Факультатив: методологія аудиту веб-сервісів
2 місяці, 1 раз на тиждень
Розвідка при аудиті. Способи, як кожен із способів працює, програми для автоматизації
Розвідка на мережевому рівні і рівні доменів. Nmap, subbrute, sublist3r
Розвідка на рівні додатка. Web-spiders, eye-witness, dirsearch
Збір відбитків сервісів, пошук відомих вразливостей для них
Пошук вразливостей руками, збір всіх отриманих раніше знань в єдиний процес дослідження
Експлуатація вразливостей, пошук максимального імпакту від уразливості
Підготовка до співбесіди
1 місяць, 2 рази на тиждень
Підготовка до співбесіди на посаду спеціаліста з інформаційної безпеки
Завдання та питання на співбесідах
Недостатній захист на транспортному рівні
Ненавмисний витік інформації
Захист In-App покупок
LVL Ліцензія і DRM захист
Certificate Pinning
Комп'ютерні мережі
2 місяці, 1 раз на тиждень
Стек TCP/IP і модель OSI/ISO
Навички роботи в Cisco CLI
Робота з мережевими утилітами
L1 і L2 на прикладі Ethernet
L3: IPv4, IPX, IPv6, статична та динамічна маршрутизація
L4: TCP, UDP.
NAT, DHCP, DNS, WiFi
SMTP, HTTP, HTTPS, TLS, RSA
Відеокурс "основи баз даних"
Відеокурс
Реляційні бази даних
Встановлення СУБД MySql та графічного додатка Mysql Workbench.
Проектування бази даних, нормальні форми
SQL - команда CREATE
SQL - команда INSERT
SQL - команди SELECT і WHERE
SQL-команди DISTINCT, ORDER BY, LIMIT
SQL - команди DELETE і UPDATE
Поняття узгодженості або консистентності даних.
Поняття зовнішнього ключа і обмежень на значення стовпців; FOREIGN KEY CONSTRAINTS.
Створення таблиць із відношенням"багато до багатьох"
Використання складеного первинного ключа при проектуванні таблиці з відношенням"багато до багатьох".
Отримання даних з декількох взаємопов'язаних таблиць; неспроможність підходу з використанням декількох SELECT-ів.
Об'єднання даних з декількох таблиць за допомогою оператора INNER Об'єднання даних з декількох таблиць за допомогою операторів LEFT JOIN і RIGHT JOIN.
Об'єднання результатів декількох SQL-запитів за допомогою оператора Агрегуючі функції COUNT, SUM, MIN, MAX.
Групування вибраного набору рядків за допомогою оператора GROUP
Індекс. Фільтрація в GROUP BY за допомогою HAVING; збільшення швидкості виконання запитів за допомогою індексів.
Поняття транзакції; оператор TRANSACTION; вимоги ACID до транзакційної системи.
II чверть
Server-Side: Частина 1
1 місяць, 2 рази на тиждень
Атаки на сховища даних (SQLi). Як шукати, експлуатувати і захищатися
Основи PHP
RCE (віддалене виконання коду)
Уразливості в логіці роботи програми
Уразливості пов'язані з ACL (контролем доступу). IDOR
brutforce, captcha
burp intruder
Server-Side: Частина 2
1 місяць, 2 рази на тиждень
Sqli експлуатація (звичайна; blind; sqlmap)
RCE експлуатація
Race Condition
OAuth уразливості
XXE
Path Traversal, LFI, RFI
SSRF
Методи експлуатації (xss, Port scan, internal api,...)
SSTI
subdomain takeover
Безпека мобільних додатків
1 місяць, 2 рази на тиждень
OWASP TOP 10 Mobile
Незахищеність двійкового файлу
Недостатній захист на транспортному рівні
Ненавмисний витік інформації
Захист In-App покупок
LVL Ліцензія і DRM захист
Certificate Pinning
Програмування на Python
2 місяці, 1 раз на тиждень
Знайомство з Python
Вбудовані типи та операції з ними
Функція.
Робота з файлами
Корисні інструменти
Модулі та бібліотеки
BugBounty, CTF
1 місяць, 2 рази на тиждень
Що таке BugBounty, основні платформи, правила та підводні камені
Існуючі підходи до багхантингу (пошуку вразливостей на BugBounty)
Розбір популярних кейсів з bugbounty платформ
CTF - що таке, які бувають. Приклади CTF для початківців
Розбір декількох завдань з CTF
III чверть
Безпека в мережі
1 місяць, 2 рази на тиждень
Сніффінг і спуффінг
Захоплення трафіку за допомогою Wireshark і tcpdump
Дослідження трафіку в Wireshark
Kali Linux, DVL
Уразливості мережевих протоколів
Пасивні мережеві атаки
Активні мережеві атаки
Експлуатація вразливостей, metasploit
Технології бездротових мереж і методологія їх злому.
Інструменти хакінгу бездротових мереж.
Атаки на Bluetooth. Заходи протидії атакам на бездротові мережі.
Інструменти захисту. Тестування на проникнення в мережу.
Практична робота: виявлення точок доступу, сніффінг, деаутентифікація, злом ключів WEP, WPA, WPA2 і розшифровування Wi-Fi трафіку.
Операційні системи
1 місяць, 2 рази на тиждень
Машинний код, асемблер, дизасемблер
Потоки, процеси
Пристрій ОС Linux
Управління пам'яттю
Файлові системи
Віртуалізація
Комп'ютерні мережі-факультатив від МГТУ ім. Баумана (комп'ютерні мережі 2)
2 місяці, 1 раз на тиждень
Підготовка робочого середовища. Cisco packet tracer 7.1.1. Wireshark. Побудова Wan логічної і фізичної топології.
Технологія WAN. Динамічна маршрутизація. BGP.
Технологія WAN. Система DNS. Root servers. DNS-зони.
Технології локальних мереж. STP. Агрегування каналів. LACP. Побудова топології мережі провайдера.
Технологія VLAN. Протокол 802.1 Q.
Динамічна маршрутизація. OSPF. DHCP. DHCP-relay. Налаштування офісної мережі. RIPv2. NAT.
Технології VPN. GRE. RIPv2 over GRE.
Linux 2 Сервер
1 місяць, 1 раз на тиждень
GNU/Linux
Основи пристрою Linux
Робота з рядками і файлами
Написання скриптів
GNU/Linux
Мережа та безпека
Веб-сервер Apache2
Прикладне ПЗ
IV чверть
Криптографія
1 місяць, 2 рази на тиждень
Шифри: симетричні (блокові і потокові), асиметричні
Хешування: sha2, sha3, md5, sha1 (sha0)
Криптографія з відкритим ключем
Атаки на криптографічні схеми
Пристрій криптографічних алгоритмів
Уразливості при використанні криптографічних засобів
Хеші для паролів: Argon2, bcrypt, scrypt
Бінарні вразливості, reverse engineering
1 місяць, 2 рази на тиждень
Внутрішній устрій і принципи процесора і пам'яті
Переповнення буфера. Механізм атаки, експлуатація, захист
Уразливість форматного рядка
Return to libc attack
Integer overflow
IDA, застосування для реверсу додатків
Соціальна інженерія, стандарти інформаційної безпеки
1 місяць, 2 рази на тиждень
Соціальна інженерія. Методи, кейси, способи застосування отриманих результатів при подальшому аудиті
RFC та криптографічні стандарти
Гости по ІБ. Навіщо потрібні, як застосовувати і не померти
Факультатив: методологія аудиту веб-сервісів
2 місяці, 1 раз на тиждень
Розвідка при аудиті. Способи, як кожен із способів працює, програми для автоматизації
Розвідка на мережевому рівні і рівні доменів. Nmap, subbrute, sublist3r
Розвідка на рівні додатка. Web-spiders, eye-witness, dirsearch
Збір відбитків сервісів, пошук відомих вразливостей для них
Пошук вразливостей руками, збір всіх отриманих раніше знань в єдиний процес дослідження
Експлуатація вразливостей, пошук максимального імпакту від уразливості
Підготовка до співбесіди
1 місяць, 2 рази на тиждень
Підготовка до співбесіди на посаду спеціаліста з інформаційної безпеки
Завдання та питання на співбесідах
https://privatelink.de/?https://geekbrains.ru/geek_university/security