1 блок (0,5 месяца)
Введение в пентест
Введение в проблематику и методологию
2 блок (1 месяц)
Программирование и написание скриптов
Программирование на Python
Содержание:
• Базовые понятия Python. Функции, переменные
• Автоматизация на Python
• Пишем брутфорсер и кейлоггер на Python
Веб-программирование
Содержание:
• Основы веб-программирования и атак на системы управления контентом
• HTML и CSS. Основы JavaScript
• Основы PHP и XAMPP
SQL и работа с базами данных
Содержание:
• Реляционные и нереляционные базы данных. Установка и проектирование баз данных
• Сканирование баз данных. Атаки на базы данных. SQLi
3 блок (1,5 месяца)
Тестирование на проникновение
Основы pentest в вебе
Содержание:
• Методология и ПО для web-pentest
• Применение BurpSuite
• Устройства и приложения для упрощения работы
Client Side Attacks
Содержание:
• Уязвимости клиентской части: XSS, CSRF, CSP
• Проведение client side-атак в вебе
• Противодействие атакам на клиентскую часть
Server Side Attacks
Содержание:
• Уязвимости серверной части
• Security Misconfiguration. Local File Inclusion. Remote Code Execution
• HTTP Parameter Pollution, CRLF Injection
• SQL Injection, Template Injections
4 блок (2,5 месяца)
Операционные системы
OS Linux
Содержание:
• Введение в администрирование и архитектуру Linux
• Управление пакетами
• Bash и написание скриптов
• Аудит безопасности в OS Linux. Сбор логoв и информации
• Linux-сети. Сетевые сервисы. Принципы построения сетей, фильтрация трафика, маршрутизация
OS Windows
Содержание:
• Введение в администрирование и архитектуру Windows
• Active Directory. Аутентификация и сбор данных
• Атаки бокового смещения: Pass the hash, Overpass the hash. Pass the ticket
• Атаки на сетевые сервисы
• Firewall, его настройка и обход
• Администрирование с помощью Powershell. Powershell для пентеста
5 блок (1 месяц)
Сети
Networks Base
Содержание:
• Основы сетевого взаимодействия TCP/IP. Основные сетевые протоколы
• Исследование сетевого трафика. Средства обнаружения вторжения и утечек данных
• Атаки на сетевое оборудование. Сетевые атаки MITM. Спуфинг
Тестирование беспроводных сетей
Содержание:
• Атаки на беспроводные сети. Методология, оборудование
• Атаки на WPS, перехват handshake. Меры по противодействию атакам
• Bluetooth, GSM, RFID
• CTF: Командный зачет по атакам и защите серверов и виртуальных сетей
6 блок (3 месяца)
Тестирование на проникновение сетей
Пентест для корпоративных сетей
• Активный и пассивный сбор информации. Сканирование уязвимостей
• OSINT, приложения, ресурсы, OSINT Frameworks
• Основы вредоносных приложений. Способы детектирования вредоносных приложений
• Обход детектирования
• Атаки «грубой силы». Способы их проведения
• Противодействие атакам на rdp и ssh, настройка безопасного доступа
• Проброс портов и туннелирование при проведении пентеста (Port Redirection and Tunneling)
• Основы работы с Metasploit framework. Популярные уязвимости
• Автоматизация в Metasploit framework
• Использование Powershell Empire framework для генерации полезной нагрузки и ее эксплуатации
Финальный проект
Содержание:
• CTF: Тестирование black-box
