この投稿に一部触発されて、私はなぜ私の都市で似たようなことをしないのか考え、少しサブカルチャーを追加し、さまざまな攻撃の実演を行いました。
全体として、すべての人のために無料のInfoSecクラスを編成して知識を共有することが決定されました。 クラスと詳細のkatプログラムの下。
トムスクから来ていない人のために-あなたは選択したトピックにコメントすることができ、おそらくあなた自身のものを提供することができます。
I. Webアプリケーションおよびセキュリティ技術への攻撃 1)クロスサイトスクリプティング XSS、XSSの種類、それらの検出とは何ですか? スニファーおよびハイジャックCookieの実装例。 フィルターについて少し。 キーワード:投稿、Cookieの取得、html、javascript、web-dev lang(php) 2)クロスサイトリクエストフォージェリ クロスサイトリクエストを偽造するアイデアの説明。 なぜ実用的な例であるPOSTがGETと同じくらい簡単なのか。 CSRF +パッシブXSS->再び「ハイジャック」Cookie。 私たちはトークンの助けを借りて身を守ります。 キーワード:post、get、cookies、html(frame)、javascript、web-dev lang(php) 3)リモート/ローカルファイルの包含 脆弱なコードのサンプル ログ/環境変数などによるLFI ヌルバイト キーワード:web-dev lang(php) 4)SQL inj 不十分なフィルタリングの結果としてのSQLインジェクション。 任意のリクエストの実装スキームのシーケンシャル分析; 異なるデータベースでの注入の違い。 練習:サーバーでのコマンドの注入から任意の実行まで。 キーワード:sql、php、unix 5)Webアプリケーションでのサービス拒否 DDoSとDoSの違い; インジェクションによるDBサーバーDoS、実用例; DoS Webサーバー。 TCPフラッディングを使用したDoS(?)。 キーワード:sql、tcp、RFC 2616 6)ソフトウェアの概要 Webスクリプティング脆弱性スキャナー。 SQLインジェクションの「プロモーション」のためのユーティリティ。 デバッガー、ローカルプロキシ; キーワード:Webスキャナー、デバッグ、プロキシ、SQL II。 ネットワーク攻撃。 OS攻撃 1)ネットワークソフトウェアの構成エラーとその使用 2)エクスプロイト。 Metasploit Framework(使用+自動活用) 3)システムの特権の増加 4)スニッフィング、なりすまし。 真ん中の男 5)ネットワークワーム、ボットネット。 Stuxnetについて
これまでのところ、クラスの最初の「章」の内容のみを描いてきましたが、実際、それはまだ概要です。
キーワードは、あなたが少なくとも考えている必要がある重要な用語と概念のリストです、さもなければ、レッスンは理解できないプロットである種のスリラーだけになります。
コースの内容によると:60%の練習、40%の理論/ 70%の攻撃、30%の防御。 つまり 各レッスンでは、攻撃のライブデモまたは詳細なスクリーンキャストが行われます。
- 重要ではない大学/年齢/性別/肌の色
- どこでも登録または適用する必要はありません
- 誰にも支払う必要はありません
予定時間:土曜日の午後5時から7時までのどこかで、私がリードします。 もちろん、あなたがこの問題で助けたいなら-書いてください。 すべてがうまくいけば、リバースエンジニアリングに関する章(Olly、IDAなど)も必要です。
UPD1:今週の 土曜日、友好 保安サービス (南側)の106人の聴衆に対して15:00に最初のレッスンを開催
プロジェクター+スピーカー+すべてのSBIには外部の無線LANがあります。これはライブデモにも必要です。 おそらく、実際の攻撃に来た人たちをつなぐでしょう。
最大収容人数は約80人です。 もっと来るとは思わない)もっと来る-椅子を持ってきます:)
PS問題はビデオ録画でも同じように解決されます、私たちはそれを整理すると思います。 助けたいという願望があります-私はうれしいです。
PPS少し後でここで、集中情報と関連ニュースを含むサイトへのリンクを公開します。
UPD2: VKアカウントをお持ちの方は、 vk.com / event30194153で自分の存在を確認してください。
UPD3: oisd.sergeybelove.ru