В этом модуле рассматривается тема веб-запросов HTTP и то, как различные веб-приложения используют их для взаимодействия со своими внутренними модулями.
В модуле "Введение в веб-приложения" вы узнаете все основы работы веб-приложений и начнете рассматривать их с точки зрения информационной безопасности.
В этом модуле рассматриваются основы взлома паролей с помощью инструмента Hashcat.
Этот модуль предоставляет фундаментальные знания о сетевых технологиях, которые являются основой для многих аспектов кибербезопасности и тестирования на проникновение (пентестинга).
Изучите основы локальных сетей, включая топологии, подсети, и протоколы ARP и DHCP. Узнайте, как топологии влияют на производительность сети, как подсетирование оптимизирует использование IP-адресов, и как протоколы ARP и DHCP обеспечивают эффективное управление адресами и настройками устройств.
Откройте для себя модель OSI и её уровни, от физического до прикладного. Поймите, как каждый уровень — от передачи битов до взаимодействия приложений — играет ключевую роль в обеспечении сетевых коммуникаций и взаимодействий.
Изучите, как данные упаковываются в пакеты и фреймы для передачи по сети. Разберитесь в принципах TCP/IP и трехстороннего рукопожатия, узнайте, как работает UDP/IP и как порты управляют сетевыми соединениями. Этот модуль обеспечит вас основами, необходимыми для понимания сетевой передачи данных.
Веб-приложения — это обширное поле для атак, и как профессионалы в области информационной безопасности, вы должны быть готовы к ним. Понимание распространённых атак на различные фреймворки и серверные языки, а также умение эффективно использовать инструменты, такие как веб-прокси, — это основа успешного тестирования.
Этот модуль поможет вам освоить ключевые навыки веб-разведки, которые необходимы для этичного хакерства и тестирования на проникновение. Вы изучите как активные, так и пассивные методы, включая перечисление DNS, веб-сканирование, анализ веб-архивов и HTTP-заголовков, а также определение веб-технологий. Эти знания станут основой для успешного проведения тестов на безопасность и защиты информации.
В этом модуле вы освоите ключевые навыки веб-фаззинга и брутфорсинга директорий с использованием инструмента Ffuf. Вы узнаете, как эффективно искать скрытые страницы, каталоги и параметры в веб-приложениях. Эти техники помогут вам в выявлении уязвимостей и улучшении безопасности ваших проектов.
В этом модуле вы поэтапно освоите основы деобфускации JavaScript. К концу курса вы научитесь распознавать и разбирать запутанный код, понимая его назначение и структуру.
Уязвимости Cross-Site Scripting (XSS) — одни из самых распространённых в веб-приложениях. Такие уязвимости могут позволить злоумышленнику выполнить произвольный JavaScript-код в браузере жертвы, что может привести к полной компрометации веб-приложения, особенно при сочетании с другими уязвимостями. В этом модуле вы научитесь находить и эксплуатировать XSS-уязвимости, шаг за шагом овладевая необходимыми навыками.
Базы данных являются важной частью инфраструктуры веб-приложений, и для работы с ними используется язык SQL (Structured Query Language) — структурированный язык запросов. SQL-инъекция — это метод внедрения кода, который использует уязвимости в коде приложения. С помощью этого метода можно вводить SQL-запросы через приложение, обходить аутентификацию, извлекать данные из базы данных или даже выполнять код на сервере, где хранится база.
Модуль «Основы SQLMap» научит вас основам использования SQLMap для обнаружения различных типов уязвимостей SQL-инъекций, а также позволит вам освоить более сложные методы перечисления баз данных для извлечения всей интересующей информации.
Изучите John the Ripper — мощный инструмент для взлома паролей, который используется для анализа хэшированных паролей и их расшифровки. В этом модуле вы познакомитесь с принципами работы алгоритмов хеширования и методами атаки на пароли. Узнайте, как использовать John the Ripper для оптимизации поиска и атаки на хеши с использованием различных словарей и правил. Этот модуль даст вам необходимые навыки для эффективного применения John the Ripper в задачах по безопасности и тестированию на проникновение.
Volatility – это один из самых мощных инструментов для криминалистического анализа оперативной памяти, используемый исследователями безопасности, пентестерами и цифровыми криминалистами. Этот модуль научит вас работать с Volatility, анализировать дампы памяти и извлекать критически важные артефакты, которые могут помочь в расследовании инцидентов и обнаружении вредоносной активности.(Практика в разработке)
Этот бесплатный модуль предназначен для тех, кто хочет войти в динамичную и перспективную сферу информационной безопасности. Вы узнаете о ключевых направлениях кибербезопасности и популярных профессиях.
Этот модуль вам даст общее предоставление и понимание работы системы доменных имен (DNS), ее структуры, протоколов и роли в интернете. Вы изучите основы DNS, типы записей, процессы разрешения имен. Модуль включает теорию и практические вопросы, позволяя усвоить общую информацию.
Узнайте, как ваш браузер общается с веб-сервером с помощью протокола HTTP.
Инъекции команд являются одной из самых критических уязвимостей в веб-приложениях, поскольку они позволяют выполнять команды напрямую на хост-сервере, что может привести к компрометации сервера и, возможно, всей сети. Именно поэтому важно выявлять такие уязвимости с помощью пентестинга и анализа безопасности кода. (Практика в разработке)
Многие современные веб-приложения обладают функцией загрузки файлов, которая обычно необходима для их работы, например, для прикрепления документов или изменения изображения профиля пользователя. Однако, если функционал загрузки файлов реализован небезопасно, злоумышленники могут использовать его для загрузки произвольных файлов на сервер, что в конечном итоге может привести к его компрометации. Если атакующий может загружать произвольные файлы на сервер, он может загрузить вредоносные файлы, такие как веб-шеллы, которые позволят ему выполнять произвольные команды на сервере. Это, в свою очередь, даёт злоумышленнику полный контроль над сервером и всеми веб-приложениями, размещёнными на нём. Именно поэтому атаки на загрузку файлов являются одной из самых критических уязвимостей веб-приложений. (Практика в разработке)
Autopsy — это мощная платформа для цифровой криминалистики и расследования инцидентов безопасности. В этом курсе вы освоите использование Autopsy для анализа дисков, восстановления удалённых файлов, выявления подозрительной активности и сбора доказательств в рамках киберрасследований. Вы научитесь анализировать временные метки файлов, исследовать веб-активность, восстанавливать данные из повреждённых разделов и выявлять артефакты, связанные с вредоносным ПО.
В этом модуле вы изучите фундаментальные знания, необходимые для комфортной работы с операционной системой Linux и ее оболочкой (Shell). Вы познакомитесь с базовыми командами, принципами работы системы и освоите навыки, которые помогут эффективно взаимодействовать с Linux.
Этот бесплатный модуль познакомит вас с ключевыми концепциями информационной безопасности, необходимыми для построения надежной системы защиты данных и инфраструктуры. Вы изучите, как анализировать угрозы, управлять рисками и применять современные подходы к защите информации.
В этом бесплатном модуле вы изучите основы работы с Nessus, настройку сканирования и анализ результатов для повышения безопасности ваших систем.
В этом модуле ты освоишь OpenVAS – инструмент для сканирования уязвимостей. Каждый специалист использует различные инструменты для работы, это один из тех, что входит в топы специалистов по всему миру.
В этом модуле вы научитесь работать с реестром как с полноценным криминалистическим источником данных, выявлять подозрительную активность и находить улики, которые помогут восстановить картину произошедшего. Так же подготовите себя к реальным кейсам цифровых расследований и укрепите свои навыки в сфере кибербезопасности.
Небезопасная обработка пользовательского ввода на стороне сервера может привести к серьёзным уязвимостям безопасности, таким как раскрытие конфиденциальной информации и удалённое выполнение кода. В этом модуле рассматривается, как выявлять и эксплуатировать ошибки на стороне сервера, включая атаки типа SSRF (Server-Side Request Forgery — подделка серверных запросов), SSTI (Server-Side Template Injection — инъекция на стороне серверных шаблонов) и SSI (Server-Side Includes — инъекция через серверные включения).(Практика в разработке)
Этот модуль охватывает основы, необходимые для работы с Bash-скриптами для автоматизации задач в системах Linux. Хорошее знание Bash является фундаментальным навыком для всех, кто работает в сфере информационной безопасности. Благодаря силе автоматизации мы можем раскрыть полный потенциал операционной системы Linux и эффективно выполнять повседневные задачи.(Практика в разработке)
Этот модуль охватывает основные понятия, необходимые для комфортной работы с операционной системой Windows.(Модуль находится в разработке)
Модуль содержит исследование методов перебора паролей, включая использование таких инструментов, как Hydra и Medusa, а также важность практики создания надежных паролей. Он охватывает различные сценарии атак, такие как нацеливание на SSH, FTP и веб-формы авторизации.(Модуль находится в разработке)
Аутентификация, вероятно, является самым очевидным и широко используемым методом защиты доступа к ресурсам, а также первой линией обороны от несанкционированного доступа. Нарушенная аутентификация занимает 7-е место в списке OWASP Top 10 за 2021 год среди основных рисков безопасности веб-приложений и входит в более широкую категорию сбоев идентификации и аутентификации. Уязвимость или ошибка конфигурации на этапе аутентификации может серьёзно повлиять на общую безопасность приложения.
