Веб-запросы

В этом модуле рассматривается тема веб-запросов HTTP и то, как различные веб-приложения используют их для взаимодействия со своими внутренними модулями.

Введение в веб-приложения

В модуле "Введение в веб-приложения" вы узнаете все основы работы веб-приложений и начнете рассматривать их с точки зрения информационной безопасности.

Взлом паролей с помощью Hashcat

В этом модуле рассматриваются основы взлома паролей с помощью инструмента Hashcat.

Что такое сети?

Этот модуль предоставляет фундаментальные знания о сетевых технологиях, которые являются основой для многих аспектов кибербезопасности и тестирования на проникновение (пентестинга).

Введение в локальные сети (LAN)

Изучите основы локальных сетей, включая топологии, подсети, и протоколы ARP и DHCP. Узнайте, как топологии влияют на производительность сети, как подсетирование оптимизирует использование IP-адресов, и как протоколы ARP и DHCP обеспечивают эффективное управление адресами и настройками устройств.

Модель OSI

Откройте для себя модель OSI и её уровни, от физического до прикладного. Поймите, как каждый уровень — от передачи битов до взаимодействия приложений — играет ключевую роль в обеспечении сетевых коммуникаций и взаимодействий.

Пакеты и фреймы

Изучите, как данные упаковываются в пакеты и фреймы для передачи по сети. Разберитесь в принципах TCP/IP и трехстороннего рукопожатия, узнайте, как работает UDP/IP и как порты управляют сетевыми соединениями. Этот модуль обеспечит вас основами, необходимыми для понимания сетевой передачи данных.

Введение в веб-прокси

Веб-приложения — это обширное поле для атак, и как профессионалы в области информационной безопасности, вы должны быть готовы к ним. Понимание распространённых атак на различные фреймворки и серверные языки, а также умение эффективно использовать инструменты, такие как веб-прокси, — это основа успешного тестирования.

Сбор информации

Этот модуль поможет вам освоить ключевые навыки веб-разведки, которые необходимы для этичного хакерства и тестирования на проникновение. Вы изучите как активные, так и пассивные методы, включая перечисление DNS, веб-сканирование, анализ веб-архивов и HTTP-заголовков, а также определение веб-технологий. Эти знания станут основой для успешного проведения тестов на безопасность и защиты информации.

Атаки на веб-приложения с FFUF

В этом модуле вы освоите ключевые навыки веб-фаззинга и брутфорсинга директорий с использованием инструмента Ffuf. Вы узнаете, как эффективно искать скрытые страницы, каталоги и параметры в веб-приложениях. Эти техники помогут вам в выявлении уязвимостей и улучшении безопасности ваших проектов.

Деобфускация JavaScript

В этом модуле вы поэтапно освоите основы деобфускации JavaScript. К концу курса вы научитесь распознавать и разбирать запутанный код, понимая его назначение и структуру.

Межсайтовый скриптинг (XSS)

Уязвимости Cross-Site Scripting (XSS) — одни из самых распространённых в веб-приложениях. Такие уязвимости могут позволить злоумышленнику выполнить произвольный JavaScript-код в браузере жертвы, что может привести к полной компрометации веб-приложения, особенно при сочетании с другими уязвимостями. В этом модуле вы научитесь находить и эксплуатировать XSS-уязвимости, шаг за шагом овладевая необходимыми навыками.

Основы SQL-Инъекций

Базы данных являются важной частью инфраструктуры веб-приложений, и для работы с ними используется язык SQL (Structured Query Language) — структурированный язык запросов. SQL-инъекция — это метод внедрения кода, который использует уязвимости в коде приложения. С помощью этого метода можно вводить SQL-запросы через приложение, обходить аутентификацию, извлекать данные из базы данных или даже выполнять код на сервере, где хранится база.

Основы SQLMap

Модуль «Основы SQLMap» научит вас основам использования SQLMap для обнаружения различных типов уязвимостей SQL-инъекций, а также позволит вам освоить более сложные методы перечисления баз данных для извлечения всей интересующей информации.

John the Ripper

Изучите John the Ripper — мощный инструмент для взлома паролей, который используется для анализа хэшированных паролей и их расшифровки. В этом модуле вы познакомитесь с принципами работы алгоритмов хеширования и методами атаки на пароли. Узнайте, как использовать John the Ripper для оптимизации поиска и атаки на хеши с использованием различных словарей и правил. Этот модуль даст вам необходимые навыки для эффективного применения John the Ripper в задачах по безопасности и тестированию на проникновение.

Volatility

Volatility – это один из самых мощных инструментов для криминалистического анализа оперативной памяти, используемый исследователями безопасности, пентестерами и цифровыми криминалистами. Этот модуль научит вас работать с Volatility, анализировать дампы памяти и извлекать критически важные артефакты, которые могут помочь в расследовании инцидентов и обнаружении вредоносной активности.

(Практика в разработке)

Карьера в кибербезопасности

Этот бесплатный модуль предназначен для тех, кто хочет войти в динамичную и перспективную сферу информационной безопасности. Вы узнаете о ключевых направлениях кибербезопасности и популярных профессиях.

DNS в деталях

Этот модуль вам даст общее предоставление и понимание работы системы доменных имен (DNS), ее структуры, протоколов и роли в интернете. Вы изучите основы DNS, типы записей, процессы разрешения имен. Модуль включает теорию и практические вопросы, позволяя усвоить общую информацию.

HTTP в деталях

Узнайте, как ваш браузер общается с веб-сервером с помощью протокола HTTP.

Командные инъекции

Инъекции команд являются одной из самых критических уязвимостей в веб-приложениях, поскольку они позволяют выполнять команды напрямую на хост-сервере, что может привести к компрометации сервера и, возможно, всей сети. Именно поэтому важно выявлять такие уязвимости с помощью пентестинга и анализа безопасности кода. 

(Практика в разработке)

Атаки на загрузку файлов

Многие современные веб-приложения обладают функцией загрузки файлов, которая обычно необходима для их работы, например, для прикрепления документов или изменения изображения профиля пользователя. Однако, если функционал загрузки файлов реализован небезопасно, злоумышленники могут использовать его для загрузки произвольных файлов на сервер, что в конечном итоге может привести к его компрометации.

Если атакующий может загружать произвольные файлы на сервер, он может загрузить вредоносные файлы, такие как веб-шеллы, которые позволят ему выполнять произвольные команды на сервере. Это, в свою очередь, даёт злоумышленнику полный контроль над сервером и всеми веб-приложениями, размещёнными на нём. Именно поэтому атаки на загрузку файлов являются одной из самых критических уязвимостей веб-приложений. 

(Практика в разработке)

Autopsy

Autopsy — это мощная платформа для цифровой криминалистики и расследования инцидентов безопасности. В этом курсе вы освоите использование Autopsy для анализа дисков, восстановления удалённых файлов, выявления подозрительной активности и сбора доказательств в рамках киберрасследований. Вы научитесь анализировать временные метки файлов, исследовать веб-активность, восстанавливать данные из повреждённых разделов и выявлять артефакты, связанные с вредоносным ПО.

Основы Linux

В этом модуле вы изучите фундаментальные знания, необходимые для комфортной работы с операционной системой Linux и ее оболочкой (Shell). Вы познакомитесь с базовыми командами, принципами работы системы и освоите навыки, которые помогут эффективно взаимодействовать с Linux.

Принципы безопасности

Этот бесплатный модуль познакомит вас с ключевыми концепциями информационной безопасности, необходимыми для построения надежной системы защиты данных и инфраструктуры. Вы изучите, как анализировать угрозы, управлять рисками и применять современные подходы к защите информации.

Nessus

В этом бесплатном модуле вы изучите основы работы с Nessus, настройку сканирования и анализ результатов для повышения безопасности ваших систем.

OpenVAS

В этом модуле ты освоишь OpenVAS – инструмент для сканирования уязвимостей. Каждый специалист использует различные инструменты для работы, это один из тех, что входит в топы специалистов по всему миру.

Форензика реестра Windows

В этом модуле вы научитесь работать с реестром как с полноценным криминалистическим источником данных, выявлять подозрительную активность и находить улики, которые помогут восстановить картину произошедшего. Так же подготовите себя к реальным кейсам цифровых расследований и укрепите свои навыки в сфере кибербезопасности.

Атаки на стороне сервера

Небезопасная обработка пользовательского ввода на стороне сервера может привести к серьёзным уязвимостям безопасности, таким как раскрытие конфиденциальной информации и удалённое выполнение кода. В этом модуле рассматривается, как выявлять и эксплуатировать ошибки на стороне сервера, включая атаки типа SSRF (Server-Side Request Forgery — подделка серверных запросов), SSTI (Server-Side Template Injection — инъекция на стороне серверных шаблонов) и SSI (Server-Side Includes — инъекция через серверные включения).

(Практика в разработке)

Сценарии Bаsh Введение

Этот модуль охватывает основы, необходимые для работы с Bash-скриптами для автоматизации задач в системах Linux. Хорошее знание Bash является фундаментальным навыком для всех, кто работает в сфере информационной безопасности. Благодаря силе автоматизации мы можем раскрыть полный потенциал операционной системы Linux и эффективно выполнять повседневные задачи.

(Практика в разработке)

Основы Windows

Этот модуль охватывает основные понятия, необходимые для комфортной работы с операционной системой Windows.

(Модуль находится в разработке)

Атаки на формы входа

Модуль содержит исследование методов перебора паролей, включая использование таких инструментов, как Hydra и Medusa, а также важность практики создания надежных паролей. Он охватывает различные сценарии атак, такие как нацеливание на SSH, FTP и веб-формы авторизации.

(Модуль находится в разработке)