Интенсив Pentesting: Level 0 (HackerU)

Вы научитесь необходимым навыкам для старта в пентесте:
– Разберётесь в типовых уязвимостях веб-приложений и в том, как происходит их эксплуатация;
– Поймете, как работают фреймворки эксплуатации и насколько простым может быть взлом;
– На практике убедитесь в эффективности и опасности фишинга, через имитацию атаки;
– Узнаете, какие уязвимости скрываются в популярных приложениях и как их эксплуатируют атакующие;
– Взлом приложения, доступного в сети, при помощи эксплойта из набора в фреймворке Metasploit;
– Проведете проверку типовых уязвимостей публичных корпоративных сервисов.

Длительность: 3 дня

Занятие 1. Введение в профессию и взлом веб-приложений
4 темы
3 навыка
Содержание:

• Знакомство с деятельностью хакеров.
• Введение в область анализа защищенности.
• Роли в командах пентестеров и компаниях, которые занимаются ИБ.
• Демонстрация процесса взлома приложения.
• Домашнее задание.

Практика:

• Взлом веб-приложения через эксплуатацию нескольких уязвимостей.

Результат:

• Сможете изучать код клиентской части веб-приложения.
• Разберетесь в процессе поиска уязвимостей в приложениях методом «черного ящика».
• Научитесь эксплуатировать уязвимости веб-приложений.

Занятие 2. Атаки на операционные системы и сети
5 тем
4 навыка
Содержание:

• Учимся сканировать и изучать сеть.
• Изучаем Metasploit Framework.
• Запускаем первый эксплоит.
• Получаем доступ к камере чужого компьютера.
• Разговор об эксплойтах и их применении.
• Домашнее задание.

Практика

• Взлом приложения доступного в сети при помощи эксплойта из набора в фреймворке Metasploit.

Результат:

• Сможете проводить сканирование сети и анализировать полученный результат.
• Научитесь подбирать эксплойты к программному обеспечению с целью тестирования безопасности.
• Освоите методы сбора информации о сервисах доступных в сети.
• Начнете работать с эксплуатацией уязвимости через программа для тестирования.

Занятие 3. Внешняя IT-инфраструктура и атаки на компании
6 тем
4 навыка
Содержание:

• RedTeam и BlueTeam специалисты.
• Внешний периметр IT-инфраструктуры компании.
• Атаки на внешнюю инфраструктуру.
• Атаки с применением методов социальной инженерии.
• Атаки на почтовые сервисы.
• Троянские программы и методы закрепления в скомпрометированной системе.
• Работа пентестера, RedTeam/BlueTeam-специалистов.
• Домашнее задание.

Практика:

• Имитация фишинговых атак через почтовые сервисы и атак на клиентские почтовые приложения.

Результат:

• Сможете распознать фишинговое письмо и составить собственное.
• Освоите анализ защищенности почтовых серверов.
• Начнете работать с протоколами электронных почтовых сообщений вручную.
• Определитесь с тем, что вам интересно и чем вы хотели бы заниматься в рамках деятельности связанной с обеспечением ИБ.
• Сможете проводить аналитическую работу в рамках проектов тестирования на проникновение/анализ защищенности.