ZAJĘCIA DLA STUDENTÓW
ZACZNIJ SWOJĄ KARIERĘ W BRANŻY CYBERSECURITY!
Naszym celem jest przekazanie wiedzy oraz doświadczenia dla Ciebie, żebyś po ukończeniu STM Academy mógł rozpocząć swoją pierwszą pracę w branży Cyber Bezpieczeństwa.
W ciągu 26 zajęć przeprowadzimy Cię krok po kroku przez praktyczny kurs z Cybersecurity. Szczegóły programu zobaczysz poniżej.
Nasz kurs odbywa się stacjonarnie w weekendy w Warszawie w Campusie Business Garden przy ul. Żwirki i Wigury 16a.
Zajęcia odbywają się w sali wyposażonej w niezbędny sprzęt dla każdego uczestnika. Na każdą grupę przypada dwóch wykładowców - główny oraz wspomagający. Grupy mogą liczyć nie więcej niż 20 osób.
Zajęcia odbywają się na naszej autorskiej platformie typu cyber range - HackingDept. Będziesz miał do niej dostęp 24h/7 w trakcie szkolenia oraz 30 dni po ukończeniu kursu.
Warunkiem wzięcia udziału w STM Academy jest krótki egzamin wstępny, żebyśmy wiedzieli, że poradzisz sobie na naszych zajęciach.
Po ukończeniu kursu odbędzie się egzamin końcowy, po którym otrzymasz certyfikat ukończenia kursu Cybersecurity w STM Academy.
Jeżeli jeden z naszych partnerów biznesowych albo nasza firma STM Cyber zatrudni Ciebie, to zwracamy koszt szkolenia.
Całkowity koszt szkolenia wynosi 3000 zł.
PLAN ZAJĘĆ KURSU CYBERBEZPIECZEŃSTWA
TYDZIEŃ 1
1. Wstęp
Teoria o testach penetracyjnych. Przykłady z życia pentestera. Nakreślenie celu zajęć.
2. Konfiguracja środowiska, ćwiczenia
Zwykłe narzędzia z punktu widzenia hakera (Na Windowsie brakuje wget'a? Co z tego, skoro jest replace.exe!).
TYDZIEŃ 2
3. Pierwsza krew / Pierwszy pentest
Pierwszy zestaw maszyn do zhackowania. Przejęcie pełnej kontroli nad dwoma serwerami.
4. Jak profesjonalnie podejść do tematu?
Przejęcie kontroli nad serwerami w wyrafinowany sposób. Raportowanie błędów. Wytłumaczenie protokołu HTTP.
TYDZIEŃ 3
5. Bezpieczeństwo aplikacji internetowych cz. 1 Najpopularniejsze metody ataków
Praktyczne przykłady najpopularniejszych ataków. M.in.: Lokalizowanie zasobów, łamanie słabych haseł, wstrzykiwanie komend, upload webshelli, manipulacja danymi client-side, deobfuskacja zaciemnionego kodu.
6. Bezpieczeństwo aplikacji internetowych cz. 2 Najpopularniejsze metody ataków c.d.
Praktyczne przykłady najpopularniejszych ataków. M.in.: SQL Injection, Template Injection, XSS, niezaktualizowany Wordpress.
TYDZIEŃ 4
7. Bezpieczeństwo aplikacji internetowych cz. 3 Uwierzytelnianie i Autoryzacja
Mechanizmy uwierzytelniania oraz autoryzacji. Zarządzanie sesją. Bezpieczeństwo ciasteczek. Nieuprawniony dostęp do zasobów.
8. Bezpieczeństwo aplikacji internetowych cz. 4 Bazy Danych
Bazy danych SQL, NoSQL, usługi katalogowe. Metody ataków na bazy danych.
TYDZIEŃ 5
9. Bezpieczeństwo aplikacji internetowych cz. 5 Bezpieczeństwo client-side
Omówienie Same-Origin Policy, Cross-Origin Resource Sharing, Content Security Policy, nagłówki bezpieczeństwa. Przykłady ataków Cross-Site Scripting, Cross-Site Request Forgery.
10.Network pivoting cz. 1
Praktyczne przykłady wykorzystania socks proxy oraz proxychains w celu uzyskania dostępu do sieci wewnętrznych.
TYDZIEŃ 6
11. Network pivoting cz. 2
Praktycznie przykłady wykorzystania tuneli ssh, routingu, iptables, NAT w celu uzyskania dostępu do sieci wewnętrznych.
12. Linux - lokalna eskalacja uprawnień cz. 1
Omówienie bezpieczeństwa systemów Linux oraz ich najsłabszych punktów. Praktyczne przykłady z wykorzystaniem narzędzi do automatycznego wykrywania błędnej konfiguracji systemu.
TYDZIEŃ 7
13. Linux - lokalna eskalacja uprawnień cz. 2
Szczegółowe omówienie uprawnień procesów (real vs effective vs saved IDs). Praktyczne przykłady z wykorzystaniem aplikacji z ustawionym atrybutem Set-UID lub Set-GID.
14. Linux - lokalna eskalacja uprawnień cz. 3
Praktyczne przykłady z atakowania starych wersji jądra systemu oraz wykorzystywania znanych podatności.
TYDZIEŃ 8
15. Windows - lokalna eskalacja uprawnień cz. 1
Omówienie bezpieczeństwa systemów Windows. Narzędzia do automatycznego wykrywania podatności. Exploity z rodziny "Potatoes".
16. Windows - lokalna eskalacja uprawnień cz. 2
Zaawansowane przykłady wykrywania i wykorzystywania podatności.
TYDZIEŃ 9
17. Windows - eskalacja uprawnień w domenie cz. 1
Omówienie mechanizmu kerberos. Bezpieczeństwo procesu lsass.exe. Praktyczne przykłady z wykorzystaniem narzędzi takich jak m.in.: mimikatz, Invoke-Kerberoast.
18. Windows - eskalacja uprawnień w domenie cz. 2
Praktyczne przykłady znajdywania słabych ogniw bezpieczeństwa domeny za pomocą narzędzia BloodHound.
TYDZIEŃ 10
19. Architektura komputera
Omówienie architektury komputera pod kątem bezpieczeństwa. Pamięć RAM, pamięć wirtualna, pliki wykonywalne, procesy, stos, sterta. Podstawy języka assembly.
20. Eksploitacja binarna - 16 bit
Przykłady eksploitacji aplikacji 16-bitowych. Buffer overflow, nadpisanie adresu powrotu, code reuse, shellcode.
TYDZIEŃ 11
21. Eksploitacja binarna - 32 bit cz. 1
Przykłady eksploitacji aplikacji 32-bitowych. Buffer overflow, nadpisanie adresu powrotu, code reuse, shellcode, ret2libc.
22. Eksploitacja binarna - 32 bit cz. 2
Omówienie zabezpieczeń przed eksploitacją oraz sposobów ich omijania: ASLR, PIE, NX/DEP, Stack Canary.
TYDZIEŃ 12
23. Eksploitacja binarna - 64 bit
Przykłady eksploitacji aplikacji 64-bitowych. Praktyczne wykorzystanie techniki Return-Oriented Programming.
24. Podsumowanie
Podsumowanie zdobytej wiedzy. Dodatkowe przykłady uzupełniające.
TYDZIEŃ 13
25. Final Boss - sprawdzian cz. 1 - Linux
Indywidualne rozwiązywanie finałowych zadań sprawdzających zdobyte umiejętności. Na koniec wspólne rozwiązanie i omówienie.
26. Final Boss - sprawdzian cz. 2 - Windows
Indywidualne rozwiązywanie finałowych zadań sprawdzających zdobyte umiejętności. Na koniec wspólne rozwiązanie i omówienie.
