Модуль 1: Введение в Этичный Хакинг
Охватывает основы ключевых вопросов в мире информационной безопасности, включая базовые принципы этичного хакинга, контроли информационной безопасности, соответствующие законы и стандартные процедуры.
Основные темы, которые будут рассмотрены:
- Элементы Информационной Безопасности
- Методология Cyber Kill Chain
- Фреймворк MITRE ATT&CK
- Классы Хакеров
- Этичный Хакинг
- Обеспечение Информационной Надежности (IA)
- Управление Рисками
- Управление Инцидентами
- PCI DSS
- HIPAA
- SOX
- GDPR
Модуль 2: Сбор Отпечатков и Разведка
Изучите, как использовать последние техники и инструменты для выполнения сбора отпечатков и разведки, критически важной предварительной фазы процесса этичного хакинга.
Практические лабораторные упражнения:
Более 30 практических упражнений с симулированными реальными целями для развития навыков по:
- Выполнению сбора отпечатков целевой сети с использованием поисковых систем, веб-сервисов и социальных сетей
- Выполнению сбора отпечатков веб-сайтов, электронной почты, whois, DNS и сети целевой сети
Модуль 3: Сканирование Сетей
Охватывает основы ключевых вопросов в мире информационной безопасности, включая базовые принципы этичного хакинга, контроли информационной безопасности, соответствующие законы и стандартные процедуры.
Практические лабораторные упражнения:
Более 10 практических упражнений с симулированными реальными целями для развития навыков по:
- Выполнению обнаружения хостов, портов, сервисов и ОС в целевой сети
- Выполнению сканирования целевой сети с обходом IDS и файерволов
Модуль 4: Перечисление
Изучите различные техники перечисления, такие как эксплуатация Border Gateway Protocol (BGP) и Network File Sharing (NFS), а также соответствующие контрмеры.
Практические лабораторные упражнения:
Более 20 практических упражнений с симулированными реальными целями для развития навыков по:
- Выполнению перечисления NetBIOS, SNMP, LDAP, NFS, DNS, SMTP, RPC, SMB и FTP
Модуль 5: Анализ Уязвимостей
Изучите, как определять уязвимости в сети целевой организации, инфраструктуре коммуникаций и конечных системах.
Практические лабораторные упражнения:
Более 5 практических упражнений с симулированными реальными целями для развития навыков по:
- Выполнению исследования уязвимостей с использованием систем оценки уязвимостей и баз данных
- Выполнению оценки уязвимостей с использованием различных инструментов для анализа уязвимостей
Модуль 6: Взлом Системы
Изучите различные методологии взлома систем, включая стеганографию, атаки стеганализа и сокрытие следов.
Практические лабораторные упражнения:
Более 25 практических упражнений с симулированными реальными целями для развития навыков по:
- Выполнению активной онлайн-атаки для взлома пароля системы
- Повышению привилегий с использованием инструментов для эскалации привилегий
- Повышению привилегий в машинах Linux
- Скрытию данных с использованием стеганографии
- Очистке логов машин Windows и Linux с использованием различных утилит
- Сокрытию артефактов в машинах Windows и Linux
Модуль 7: Угрозы Вредоносного ПО
Получите введение в различные типы вредоносного программного обеспечения, такие как трояны, вирусы и черви, а также аудит системы на предмет атак вредоносного ПО, анализ вредоносного ПО и контрмеры.
Практические лабораторные упражнения:
Более 20 практических упражнений с симулированными реальными целями для развития навыков по:
- Получению контроля над машиной жертвы с использованием вредоносного ПО
- Заражению целевой системы вирусом
- Выполнению статического и динамического анализа вредоносного ПО
Основные темы, которые будут рассмотрены:
- Malware, Components of Malware
- APT
- Trojan
- Types of Trojans
- Exploit Kits
- Virus
- Virus Lifecycle
- Types of Viruses
- Ransomware
- Computer Worms
- Fileless Malware
- Malware Analysis
- Static Malware Analysis
- Dynamic Malware Analysis
- Virus Detection Methods
- Trojan Analysis
- Virus Analysis
- Fileless Malware Analysis
- Anti-Trojan Software
- Antivirus Software
- Fileless Malware Detection Tools
Модуль 8: Перехват
Изучите техники перехвата пакетов и как их использовать для выявления уязвимостей сети, а также контрмеры для защиты от атак перехвата.
Практические лабораторные упражнения:
Более 10 практических упражнений с симулированными реальными целями для развития навыков по:
- Выполнению атаки MAC-переполнения, ARP-подмены, атаки человека посередине и истощения DHCP
- Подделке MAC-адреса машины Linux
- Перехвату сетевого трафика с использованием различных инструментов для перехвата
- Обнаружению ARP-подмены в коммутаторной сети
Основные темы, которые будут рассмотрены:
- Network Sniffing
- Wiretapping
- MAC Flooding
- DHCP Starvation Attack
- ARP Spoofing Attack
- ARP Poisoning
- ARP Poisoning Tools
- MAC Spoofing
- STP Attack
- DNS Poisoning
- DNS Poisoning Tools
- Sniffing Tools
- Sniffer Detection Techniques
- Promiscuous Detection Tools
Модуль 9: Социальная Инженерия
Изучите концепции и техники социальной инженерии, включая методы определения попыток кражи, аудита уязвимостей на уровне человека и предложение контрмер против социальной инженерии.
Практические лабораторные упражнения:
Более 4 практических упражнений с симулированными реальными целями для развития навыков по:
- Выполнению социальной инженерии с использованием различных техник
- Подделке MAC-адреса машины Linux
- Обнаружению фишинговой атаки
- Аудиту безопасности организации на предмет фишинговых атак
Основные темы, которые будут рассмотрены:
- Social Engineering
- Types of Social Engineering
- Phishing
- Phishing Tools
- Insider Threats/Insider Attacks
- Identity Theft
Модуль 10: Отказ в Обслуживании
Изучите различные техники атак типа "Отказ в обслуживании" (DoS) и распределенного отказа в обслуживании (DDoS), а также инструменты, используемые для аудита цели и разработки контрмер и защиты от атак DoS и DDoS.
Практические лабораторные упражнения:
Более 5 практических упражнений с симулированными реальными целями для развития навыков по:
- Выполнению атаки DoS и DDoS на целевой хост
- Обнаружению и защите от атак DoS и DDoS
Основные темы, которые будут рассмотрены:
- DoS Attack, DDoS Attack
- Botnets
- DoS/DDoS Attack Techniques
- DoS/DDoS Attack Tools
- DoS/DDoS Attack Detection Techniques
- DoS/DDoS Protection Tools
Модуль 11: Угон Сессии
Поймите различные техники угона сессии, используемые для выявления уровня управления сессиями сети, аутентификации, авторизации и криптографических слабостей, а также соответствующие контрмеры.
Практические лабораторные упражнения:
Более 4 практических упражнений с симулированными реальными целями для развития навыков по:
- Выполнению угона сессии с использованием различных инструментов
- Обнаружению угона сессии
Основные темы, которые будут рассмотрены:
- Session Hijacking
- Types of Session Hijacking
- Spoofing
- Application-Level Session Hijacking
- Man-in-the-Browser Attack
- Client-side Attacks
- Session Replay Attacks
- Session Fixation Attack
- CRIME Attack
- Network Level Session Hijacking
- TCP/IP Hijacking
- Session Hijacking Tools
- Session Hijacking Detection Methods
- Session Hijacking Prevention Tools
Модуль 12: Обход IDS, Брандмауэров и Медовых Горшков
Познакомьтесь с техниками обхода брандмауэров, систем обнаружения вторжений и медовых горшков; инструментами для аудита периметра сети на предмет слабостей; и контрмерами.
Практические лабораторные упражнения:
Более 7 практических упражнений с симулированными реальными целями для развития навыков по:
- Обходу Брандмауэра Windows
- Обходу правил брандмауэра с использованием туннелирования
- Обходу антивируса
Модуль 13: Взлом Веб-Серверов
Изучите атаки на веб-серверы, включая комплексную методологию атак, используемую для аудита уязвимостей в инфраструктуре веб-серверов и контрмер.
Практические лабораторные упражнения:
Более 8 практических упражнений с симулированными реальными целями для развития навыков по:
- Разведке веб-сервера с использованием различных инструментов
- Перечислению информации веб-сервера
- Взлому FTP-учетных данных с использованием атаки по словарю
Основные темы, которые будут рассмотрены:
- Операции Веб-Сервера
- Атаки на Веб-Серверы
- Угон DNS-Сервера
- Дефейсмент Сайта
- Атака Отравления Кэша Веба
- Методология Атак на Веб-Сервер
- Инструменты для Атак на Веб-Сервер
- Инструменты Безопасности Веб-Сервера
- Управление Патчами
- Инструменты Управления Патчами
Модуль 14: Взлом Веб-Приложений
Изучите атаки на веб-приложения, включая комплексную методологию взлома веб-приложений, используемую для аудита уязвимостей в веб-приложениях и контрмер.
Практические лабораторные упражнения:
Более 15 практических упражнений с симулированными реальными целями для развития навыков по:
- Разведке веб-приложений с использованием различных инструментов
- Проведению веб-спайдеринга
- Сканированию уязвимостей веб-приложений
- Выполнению атаки методом грубой силы
- Выполнению атаки Cross-Site Request Forgery (CSRF)
- Выявлению уязвимостей XSS в веб-приложениях
- Обнаружению уязвимостей веб-приложений с использованием различных инструментов безопасности веб-приложений
Основные темы, которые будут рассмотрены:
- Web Application Architecture
- Web Application Threats
- OWASP Top 10 Application Security Risks – 2021
- Web Application Hacking Methodology
- Web API
- Webhooks and Web Shell
- Web API Hacking Methodology
- Web Application Security
Модуль 15: SQL Инъекции
Изучите техники атак SQL инъекций, инструменты для обнаружения инъекций и контрмеры для обнаружения и защиты от попыток SQL инъекций.
Практические лабораторные упражнения:
Более 4 практических упражнений с симулированными реальными целями для развития навыков по:
- Выполнению атаки SQL инъекции для извлечения информации из базы данных
- Обнаружению уязвимостей SQL инъекции с использованием различных инструментов для обнаружения SQL инъекций
Основные темы, которые будут рассмотрены:
- SQL Инъекции
- Типы SQL инъекций
- Слепые SQL Инъекции
- Методология SQL Инъекций
- Инструменты для SQL Инъекций
- Техники Обхода Подписей
- Инструменты Обнаружения SQL Инъекций
Модуль 16: Взлом Беспроводных Сетей
Изучите шифрование беспроводных сетей, методологии и инструменты для взлома беспроводных сетей, а также инструменты безопасности Wi-Fi.
Практические лабораторные упражнения:
Более 3 практических упражнений с симулированными реальными целями для развития навыков по:
- Сбору информации о беспроводной сети
- Анализу беспроводного трафика
- Взлому сетей WEP, WPA и WPA2
- Созданию поддельной точки доступа для перехвата данных
Основные темы, которые будут рассмотрены:
- Терминология Беспроводных Сетей
- Беспроводные Сети
- Шифрование Беспроводных Сетей
- Угрозы Беспроводным Сетям
- Методология Взлома Беспроводных Сетей
- Взлом Шифрования Wi-Fi
- Инструменты для Взлома WEP/WPA/WPA2
- Взлом Bluetooth
- Угрозы Bluetooth
- Инструменты Для Аудита Безопасности Wi-Fi
- Инструменты Безопасности Bluetooth
Модуль 17: Взлом Мобильных Платформ
Изучите векторы атак на мобильные платформы, эксплойты уязвимостей Android и руководства по безопасности и инструменты для мобильных устройств.
Практические лабораторные упражнения:
Более 5 практических упражнений с симулированными реальными целями для развития навыков по:
- Взлому устройства Android с созданием бинарных пэйлоадов
- Эксплойту платформы Android через ADB
- Взлому устройства Android с созданием APK файла
- Защите устройств Android с использованием различных инструментов безопасности Android
Основные темы, которые будут рассмотрены:
- Mobile Platform Attack Vectors
- OWASP Top 10 Mobile Risks
- App Sandboxing
- SMS Phishing Attack (SMiShing)
- Android Rooting
- Hacking Android Devices
- Android Security Tools
- Jailbreaking iOS
- Hacking iOS Devices
- iOS Device Security Tools
- Mobile Device Management (MDM)
- OWASP Top 10 Mobile Controls
- Mobile Security Tools
Модуль 18: Взлом IoT и OT
Изучите техники перехвата пакетов и как их использовать для выявления уязвимостей сети, а также контрмеры для защиты от атак перехвата.
Практические лабораторные упражнения:
Более 2 практических упражнений с симулированными реальными целями для развития навыков по:
- Сбору информации с использованием онлайн-инструментов для сбора отпечатков
- Перехвату и анализу трафика устройств IoT
Основные темы, которые будут рассмотрены:
- IoT Architecture
- IoT Communication Models
- OWASP Top 10 IoT Threats
- IoT Vulnerabilities
- IoT Hacking Methodology
- IoT Hacking Tools
- IoT Security Tools
- IT/OT Convergence (IIOT)
- ICS/SCADA
- OT Vulnerabilities
- OT Attacks
- OT Hacking Methodology
- OT Hacking Tools
- OT Security Tools
Модуль 19: Облачные Вычисления (Cloud Computing)
Изучите различные концепции облачных вычислений, такие как технологии контейнеризации и безсерверное вычисление, различные угрозы и атаки на облачные ресурсы, а также техники и инструменты безопасности в облаке.
Практические лабораторные упражнения:
Более 5 практических упражнений с симулированными реальными целями для развития навыков по:
- Перечислению S3 Bucket с использованием различных инструментов для перечисления S3 Bucket
- Эксплойту открытых S3 Bucket
- Эскалации привилегий пользователя IAM за счет эксплойта неправильно настроенной политики пользователя
Основные темы, которые будут рассмотрены:
- Cloud Computing
- Types of Cloud Computing Services
- Cloud Deployment Models
- Fog and Edge Computing
- Cloud Service Providers
- Container
- Docker
- Kubernetes
- Serverless Computing
- OWASP Top 10 Cloud Security Risks
- Container and Kubernetes Vulnerabilities
- Cloud Attacks
- Cloud Hacking
- Cloud Network Security
- Cloud Security Controls
- Cloud Security Tools
Модуль 20: Криптография
В заключительном модуле изучите криптографию и шифры, инфраструктуру открытых ключей, атаки на криптографию и инструменты криптоанализа.
Практические лабораторные упражнения:
Более 10 практических упражнений с симулированными реальными целями для развития навыков по:
- Вычислению хешей MD5
- Шифрованию файлов и текстовых сообщений
- Созданию и использованию самоподписанных сертификатов
- Шифрованию электронной почты и дисков
- Выполнению криптоанализа с использованием различных инструментов криптоанализа
Основные темы, которые будут рассмотрены:
- Cryptography
- Encryption Algorithms
- MD5 and MD6 Hash Calculators
- Cryptography Tools
- Public Key Infrastructure (PKI)
- Email Encryption
- Disk Encryption
- Cryptanalysis
- Cryptography Attacks
- Key Stretching