Курс на Stepic.org "Анализ безопасности веб-проектов"
Это командная цель
Задача цели - обсуждение, мотивация и прохождение курса по безопасности веб-проектов.
Вниманию всех начинающих разработчиков, желающих создавать не только красивые и интересные, но и защищённые сервисы: 9 марта на Stepic открылся новый курс по программе Технопарка Mail.Ru «Анализ безопасности веб-проектов». Преподаватель Технопарка Ярослав Рабоволюк рассказывает о том, как злоумышленники подходят ко взлому сервисов и как не дать им этого сделать. Также студенты под чутким руководством преподавателя сами попробуют свои силы во взломе сервера. Чтобы поймать преступника, нужно думать как преступник. В общем, скучно не будет!
Для успешного прохождения курса студенты должны обладать некоторыми базовыми знаниями:
- что представляет собой язык гипертекстовой разметки;
- как реализуется клиент-серверное взаимодействие;
- что такое TCP/IP.
Goal Accomplishment Criteria
Все прошли курс и помогли, если кому-то что-то не понятно.
-
Сбор информации
Start date: March 9, 2016 7:00 AM
Soft deadline: March 23, 2016 7:00 AM
Hard deadline: April 1, 2016 7:00 AM
-
Знакомство со Stepic
-
Введение
-
Dns/whois
-
Search engines
-
Контент
-
Активный анализ: port scanning
-
-
Точки входа
Start date: March 17, 2016 2:00 PM
Soft deadline: April 1, 2016 7:00 AM
Hard deadline: April 8, 2016 7:00 AM
-
Введение
-
HTTP-параметры
-
Инструменты - анализ запросов
-
Инструменты - создание запросов
-
Представление данных
-
-
Уязвимости веб
Start date: March 23, 2016 7:00 AM
Soft deadline: April 8, 2016 7:00 AM
Hard deadline: April 15, 2016 7:00 AM
-
Цикл анализа
-
Раскрытие данных
-
Локальное включение файлов
-
Инъекция команд
-
SQL инъекции
-
-
Сlient side
Start date: April 1, 2016 4:00 PM
Soft deadline: April 15, 2016 7:00 AM
Hard deadline: April 22, 2016 7:00 AM
-
Введение
-
Same-Origin Policy
-
CSRF
-
XSS
-
xss: использование
-
Headers, sessions
-
-
Пост-эксплуатация
Start date: April 8, 2016 7:00 AM
Soft deadline: April 22, 2016 7:00 AM
Hard deadline: April 29, 2016 7:00 AM
-
Введение
-
Сбор информации: подбор паролей оффлайн
-
Окружение
-
Перманентный доступ
-
Перманентный доступ 2: backdoors
-
Заключительный урок
-
Team
Conclusion
To be continued
Сегодня итоговый Soft Deadline курса, так что можно подвести итоги.
Курс получился интересным и содержал много полезной информации.
Всем тем, кто принимал участие в цели, хочу сказать спасибо и пожелать удачи! Если будут еще какие-то идеи по созданию совместных целей, то говорите, не стесняйтесь)) Делать что-то вместе всегда больше мотивации.
Goal diary
Прошел! Отличный курс :) Вот в комментариях что интересного нашел:
- The Web Application Hacker's Handbook, 2nd Edition
- Positive Hack Days (очень круто): http://www.phdays.ru/broadcast/
- SQL Injection от А до Я в PDF: http://www.ptsecurity.ru/download/PT-devteev-Adva...
- http://habrahabr.ru/post/261491/
- "PHP глазами хакера" http://www.ozon.ru/context/detail/id/28298932/
У кого какие успехи с 3 модулем? Особенно последняя задача интересует = )
Смог решить через перебор аккаунтов, пока не дошел до нужного, есть ли способы сразу получить список пользователей?
Для тех кто уже все посмотрел и хочет еще - старые лекции курса Безопасность интернет приложений с тем же преподавателем
Прошел первый и второй модули, отличный конечно курс - супер хакером может и не станешь, но в голове много полезностей останется.
Ну хорошо.. смотрите.. вот пробую я из виртуальной машины nslookup -q=ns zonetransfer.me и получаю:
Server: 10.0.2.3
Address: 10.0.2.3#53
Name: zonetransfer.me
Address: 217.147.177.157
А если не из виртуальной, получаю
Non-authoritative answer:
Server: UnKnown
Address: 172.18.1.252
zonetransfer.me nameserver = nsztm1.digi.ninja
zonetransfer.me nameserver = nsztm2.digi.ninja
И как мне из виртуальной получить то же что из локальной ?:)
Светлана, Ubuntu 14.04. Конфигурация сети:
-eth0 Link encap:Ethernet HWaddr 08:00:27:c1:ed:6d
inet addr:10.0.2.15 Bcast:10.0.2.255 Mask:255.255.255.0
inet6 addr: fe80::a00:27ff:fec1:ed6d/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3613 errors:0 dropped:0 overruns:0 frame:0
TX packets:3123 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:280096 (280.0 KB) TX bytes:263246 (263.2 KB)
-eth1 Link encap:Ethernet HWaddr 08:00:27:64:24:7e
inet addr:33.33.33.5 Bcast:33.33.33.255 Mask:255.255.255.0
inet6 addr: fe80::a00:27ff:fe64:247e/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:27397 errors:0 dropped:0 overruns:0 frame:0
TX packets:13717 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:8819593 (8.8 MB) TX bytes:17200184 (17.2 MB)
-lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:194 errors:0 dropped:0 overruns:0 frame:0
TX packets:194 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:19212 (19.2 KB) TX bytes:19212 (19.2 KB)
Comments
Добавьте меня тоже в цель, пожалуйста.
Закончил первый модуль - довольно простой и короткий, интересующимся с ограниченным ресурсом времени вполне может хорошо зайти.
