Что нового

Скачать курс: [GeekUniversity] Факультет информационной безопасности. Годовая программа. Январь-декабрь 2018

Administrator
Команда форума
Регистрация
13.03.2019
Сообщения
34 321

Освойте востребованную профессию с нуля и зарабатывайте в любых условиях




.SpoilerTarget">Спойлер
1) четверть
Веб-технологии: уязвимости и безопасность
1 месяц, 2 раза в неделю

URL. Из чего состоит, security-related фичи. URL Parsers. URL encode
HTTP. Синтаксис, заголовки, HTTPS
HTML. HTML Parser. HTML-эскейпинг. Формы, фреймы
JavaScript. Script Processing Model
Другие типы файлов. XML, аудио/видео/картинки
Изоляция страниц. Same Origin Policy: DOM, XHR, Web storage
Наследование Origin в браузерах
CORS, PostMessage, WebSocket. Применение, как сделать безопасно
Client-Side-уязвимости
1 месяц, 2 раза в неделю

XSS. Основы: причины возникновения, базовые механизмы защиты (эскейпинг, CSP)
XSS. Reflected XSS, Stored XSS, Blind XSS, Self XSS
XSS. Эксплуатация
WAF. Обходы WAF при XSS
CSRF. Причины возникновения, способы защиты, JWT
CSP in depth
Прочие уязвимости на клиенте: clickjacking, HTML injection, Open Redirect
Безопасность мобильных приложений
1 месяц, 2 раза в неделю

OWASP TOP 10 Mobile
Незащищенность двоичного файла
Недостаточная защита на транспортном уровне
Непреднамеренная утечка информации
Защита In-App покупок
LvL лицензия и DRM защита
Certificate Pinning
Компьютерные сети
2 месяца, 1 раз в неделю

Стек TCP/IP и модель OSI/ISO
Навыки работы в Cisco CLI
Работа с сетевыми утилитами
L1 и L2 на примере Ethernet
L3: IPv4, IPX, IPv6, статическая и динамическая маршрутизация
L4: TCP, UDP.
NAT, DHCP, DNS, WiFi
SMTP, HTTP, HTTPS, TLS, RSA
Видеокурс "Основы баз данных"
Видеокурс

Реляционные базы данных
Установка СУБД MySql и графического приложения Mysql Workbench.
Проектирование базы данных, нормальные формы
SQL-команда CREATE
SQL-команда INSERT
SQL-команды SELECT и WHERE
SQL-команды DISTINCT, ORDER BY, LIMIT
SQL-команды DELETE и UPDATE
Понятие согласованности или консистентности данных.
Понятие внешнего ключа и ограничений на значения столбцов; FOREIGN KEY CONSTRAINTS.
Создание таблиц с отношением “многие ко многим”
Использование составного первичного ключа при проектировании таблицы с отношением “многие ко многим”.
Получение данных из нескольких взаимосвязанных таблиц; несостоятельность подхода с использованием нескольких SELECT-ов.
Объединение данных из нескольких таблиц с помощью оператора INNER Объединение данных из нескольких таблиц с помощью операторов LEFT JOIN и RIGHT JOIN.
Объединение результатов нескольких SQL-запросов с помощью оператора Агрегирующие функции COUNT, SUM, MIN, MAX.
Группировка выбранного набора строк с использованием оператора GROUP
Индексы. Фильтрация в GROUP BY с использованием HAVING; увеличение скорости выполнения запросов с использованием индексов.
Понятие транзакции; оператор TRANSACTION; требования ACID к транзакционной системе.
2) четверть
Server-Side: Часть 1
1 месяц, 2 раза в неделю

Атаки на хранилища данных (SQLi). Как искать, эксплуатировать и защищаться
Основы PHP
RCE (удаленное исполнение кода)
Уязвимости в логике работы приложения
Уязвимости связанные с ACL (контролем доступа). IDOR
brutforce, captcha
burp intruder
Server-Side: Часть 2
1 месяц, 2 раза в неделю

SQLi эксплуатация (обычная; blind; sqlmap)
RCE эксплуатация
Race Condition
OAuth уязвимости
XXE
Path Traversal, LFI, RFI
SSRF
Методы эксплуатации (xss, port scan, internal api, ...)
SSTI
subdomain takeover
Безопасность мобильных приложений
1 месяц, 2 раза в неделю

OWASP TOP 10 Mobile
Незащищенность двоичного файла
Недостаточная защита на транспортном уровне
Непреднамеренная утечка информации
Защита In-App покупок
LvL лицензия и DRM защита
Certificate Pinning
Программирование на Python
2 месяца, 1 раз в неделю

Знакомство с Python
Встроенные типы и операции с ними
Функции.
Работа с файлами
Полезные инструменты
Модули и библиотеки
BugBounty, CTF
1 месяц, 2 раза в неделю

Что такое BugBounty, основные платформы, правила и подводные камни
Существующие подходы к багхантингу (поиску уязвимостей на BugBounty)
Разбор популярных кейсов с BugBounty платформ
CTF -- что такое, какие бывают. Примеры CTF для начинающих
Разбор нескольких задач с CTF
3) четверть
Безопасность в сети
1 месяц, 2 раза в неделю

Сниффинг и спуффинг
Захват трафика с помощью Wireshark и tcpdump
Исследование трафика в Wireshark
Kali Linux, DVL
Уязвимости сетевых протоколов
Пассивные сетевые атаки
Активные сетевые атаки
Эксплуатация уязвимостей, metasploit
Технологии беспроводных сетей и методология их взлома.
Инструменты хакинга беспроводных сетей.
Атаки на Bluetooth. Меры противодействия атакам на беспроводные сети.
Инструменты защиты. Тестирование на проникновение в сеть.
Практическая работа: обнаружение точек доступа, сниффинг, деаутентификация, взлом ключей WEP, WPA, WPA2 и расшифровывание Wi-Fi трафика.
Операционные системы
1 месяц, 2 раза в неделю

Машинный код, ассемблер, дизассемблер
Потоки, процессы
Устройство ОС Linux
Управление памятью
Файловые системы
Виртуализация
Компьютерные сети – факультатив от МГТУ им. Баумана (компьютерные сети 2)
2 месяца, 1 раз в неделю

Подготовка рабочей среды. Cisco packet tracer 7.1.1. Wireshark. Построение WAN логической и физической топологии.
Технология WAN. Динамическая маршрутизация. BGP.
Технология WAN. Система DNS. Root servers. DNS-зоны.
Технологии локальных сетей. STP. Агрегирование каналов. LACP. Построение топологии сети провайдера.
Технология VLAN. Протокол 802.1Q.
Динамическая маршрутизация. OSPF. DHCP. DHCP-relay. Настройка офисной сети. RIPv2. NAT.
Технологии VPN. GRE. RIPv2 over GRE.
Linux 2 Сервер
1 месяц, 1 раз в неделю

GNU/Linux
Основы устройства Linux
Работа со строками и файлами
Написание скриптов
GNU/Linux
Сеть и безопасность
Веб-сервер Apache2
Прикладное ПО
4) четверть
Криптография
1 месяц, 2 раза в неделю

Шифры: симметричные (блочные и потоковые), асимметричные
Хеширование: sha2, sha3, md5, sha1 (sha0)
Криптография с открытым ключом
Атаки на криптографические схемы
Устройство криптографических алгоритмов
Уязвимости при использовании криптографических средств
Хеши для паролей: Argon2, bcrypt, scrypt
Бинарные уязвимости, reverse engineering
1 месяц, 2 раза в неделю

Внутреннее устройство и принципы процессора и памяти
Переполнение буфера. Механизм атаки, эксплуатация, защита
Уязвимость форматной строки
Return to libc attack
Integer overflow
IDA, применение для реверса приложений
Социальная инженерия, стандарты информационной безопасности
1 месяц, 2 раза в неделю

Социальная инженерия. Методы, кейсы, способы применения полученных результатов при дальнейшем аудите
RFC и криптографические стандарты
ГОСТы по ИБ. Зачем нужны, как применять и не умереть
Факультатив: методология аудита веб-сервисов
2 месяца, 1 раз в неделю

Разведка при аудите. Способы, как каждый из способов работает, программы для автоматизации
Разведка на сетевом уровне и уровне доменов. Nmap, subbrute, sublist3r
Разведка на уровне приложения. Web-spiders, eye-witness, dirsearch
Сбор отпечатков сервисов, поиск известных уязвимостей для них
Поиск уязвимостей руками, сбор всех полученных ранее знаний в единый процесс исследования
Эксплуатация уязвимостей, поиск максимального импакта от уязвимости
Подготовка к собеседованию
1 месяц, 2 раза в неделю

Подготовка к собеседованию на должность специалиста по информационной безопасности
Задачи и вопросы на собеседованиях












 
Верх