top of page
dron cyberbezpieczenstwa stm-academy

ZAJĘCIA DLA STUDENTÓW

ZACZNIJ SWOJĄ KARIERĘ W BRANŻY CYBERSECURITY!

Naszym celem jest przekazanie wiedzy oraz doświadczenia dla Ciebie, żebyś po ukończeniu STM Academy mógł rozpocząć swoją pierwszą pracę w branży Cyber Bezpieczeństwa.

W ciągu 26 zajęć przeprowadzimy Cię krok po kroku przez praktyczny kurs z Cybersecurity. Szczegóły programu zobaczysz poniżej.

 

Nasz kurs odbywa się stacjonarnie w weekendy w Warszawie w Campusie Business Garden przy ul. Żwirki i Wigury 16a.

Zajęcia odbywają się w sali wyposażonej w niezbędny sprzęt dla każdego uczestnika. Na każdą grupę przypada dwóch wykładowców - główny oraz wspomagający. Grupy mogą liczyć nie więcej niż 20 osób.

Zajęcia odbywają się na naszej autorskiej platformie typu cyber range - HackingDept. Będziesz miał do niej dostęp 24h/7 w trakcie szkolenia oraz 30 dni po ukończeniu kursu.

Warunkiem wzięcia udziału w STM Academy jest krótki egzamin wstępny, żebyśmy wiedzieli, że poradzisz sobie na naszych zajęciach.

Po ukończeniu kursu odbędzie się egzamin końcowy, po którym otrzymasz certyfikat ukończenia kursu Cybersecurity w STM Academy.

Jeżeli jeden z naszych partnerów biznesowych albo nasza firma STM Cyber zatrudni Ciebie, to  zwracamy koszt szkolenia.

Całkowity koszt szkolenia wynosi 3000 zł.

PLAN ZAJĘĆ KURSU CYBERBEZPIECZEŃSTWA

grafika dron Stm-academy

TYDZIEŃ 1

1. Wstęp

Teoria o testach penetracyjnych. Przykłady z życia pentestera. Nakreślenie celu zajęć.

2. Konfiguracja środowiska, ćwiczenia

Zwykłe narzędzia z punktu widzenia hakera (Na Windowsie brakuje wget'a? Co z tego, skoro jest replace.exe!).

TYDZIEŃ 2

3. Pierwsza krew / Pierwszy pentest

Pierwszy zestaw maszyn do zhackowania. Przejęcie pełnej kontroli nad dwoma serwerami.

4. Jak profesjonalnie podejść do tematu?

Przejęcie kontroli nad serwerami w wyrafinowany sposób. Raportowanie błędów. Wytłumaczenie protokołu HTTP.

TYDZIEŃ 3

5. Bezpieczeństwo aplikacji internetowych cz. 1 Najpopularniejsze metody ataków

Praktyczne przykłady najpopularniejszych ataków. M.in.: Lokalizowanie zasobów, łamanie słabych haseł, wstrzykiwanie komend, upload webshelli, manipulacja danymi client-side, deobfuskacja zaciemnionego kodu.

6. Bezpieczeństwo aplikacji internetowych cz. 2 Najpopularniejsze metody ataków c.d.

Praktyczne przykłady najpopularniejszych ataków. M.in.: SQL Injection, Template Injection, XSS, niezaktualizowany Wordpress.

TYDZIEŃ 4

7. Bezpieczeństwo aplikacji internetowych cz. 3 Uwierzytelnianie i Autoryzacja

Mechanizmy uwierzytelniania oraz autoryzacji. Zarządzanie sesją. Bezpieczeństwo ciasteczek. Nieuprawniony dostęp do zasobów.

8. Bezpieczeństwo aplikacji internetowych cz. 4 Bazy Danych

Bazy danych SQL, NoSQL, usługi katalogowe. Metody ataków na bazy danych.

TYDZIEŃ 5

9. Bezpieczeństwo aplikacji internetowych cz. 5 Bezpieczeństwo client-side

Omówienie Same-Origin Policy, Cross-Origin Resource Sharing, Content Security Policy, nagłówki bezpieczeństwa. Przykłady ataków Cross-Site Scripting, Cross-Site Request Forgery.

10.Network pivoting cz. 1

Praktyczne przykłady wykorzystania socks proxy oraz proxychains w celu uzyskania dostępu do sieci wewnętrznych.

TYDZIEŃ 6

11. Network pivoting cz. 2

Praktycznie przykłady wykorzystania tuneli ssh, routingu, iptables, NAT w celu uzyskania dostępu do sieci wewnętrznych.

12. Linux - lokalna eskalacja uprawnień cz. 1

Omówienie bezpieczeństwa systemów Linux oraz ich najsłabszych punktów. Praktyczne przykłady z wykorzystaniem narzędzi do automatycznego wykrywania błędnej konfiguracji systemu.

TYDZIEŃ 7

13. Linux - lokalna eskalacja uprawnień cz. 2

Szczegółowe omówienie uprawnień procesów (real vs effective vs saved IDs). Praktyczne przykłady z wykorzystaniem aplikacji z ustawionym atrybutem Set-UID lub Set-GID.

14. Linux - lokalna eskalacja uprawnień cz. 3

Praktyczne przykłady z atakowania starych wersji jądra systemu oraz wykorzystywania znanych podatności.

TYDZIEŃ 8

15. Windows - lokalna eskalacja uprawnień cz. 1

Omówienie bezpieczeństwa systemów Windows. Narzędzia do automatycznego wykrywania podatności. Exploity z rodziny "Potatoes".

16. Windows - lokalna eskalacja uprawnień cz. 2

Zaawansowane przykłady wykrywania i wykorzystywania podatności.

TYDZIEŃ 9

17. Windows - eskalacja uprawnień w domenie cz. 1

Omówienie mechanizmu kerberos. Bezpieczeństwo procesu lsass.exe. Praktyczne przykłady z wykorzystaniem narzędzi takich jak m.in.: mimikatz, Invoke-Kerberoast.

18. Windows - eskalacja uprawnień w domenie cz. 2

Praktyczne przykłady znajdywania słabych ogniw bezpieczeństwa domeny za pomocą narzędzia BloodHound.

TYDZIEŃ 10

19. Architektura komputera

Omówienie architektury komputera pod kątem bezpieczeństwa. Pamięć RAM, pamięć wirtualna, pliki wykonywalne, procesy, stos, sterta. Podstawy języka assembly.

20. Eksploitacja binarna - 16 bit

Przykłady eksploitacji aplikacji 16-bitowych. Buffer overflow, nadpisanie adresu powrotu, code reuse, shellcode.

TYDZIEŃ 11

21. Eksploitacja binarna - 32 bit cz. 1

Przykłady eksploitacji aplikacji 32-bitowych. Buffer overflow, nadpisanie adresu powrotu, code reuse, shellcode, ret2libc.

22. Eksploitacja binarna - 32 bit cz. 2

Omówienie zabezpieczeń przed eksploitacją oraz sposobów ich omijania: ASLR, PIE, NX/DEP, Stack Canary.

TYDZIEŃ 12

23. Eksploitacja binarna - 64 bit

Przykłady eksploitacji aplikacji 64-bitowych. Praktyczne wykorzystanie techniki Return-Oriented Programming.

24. Podsumowanie

Podsumowanie zdobytej wiedzy. Dodatkowe przykłady uzupełniające.

TYDZIEŃ 13

25. Final Boss - sprawdzian cz. 1 - Linux

Indywidualne rozwiązywanie finałowych zadań sprawdzających zdobyte umiejętności. Na koniec wspólne rozwiązanie i omówienie.

26. Final Boss - sprawdzian cz. 2 - Windows

Indywidualne rozwiązywanie finałowych zadań sprawdzających zdobyte umiejętności. Na koniec wspólne rozwiązanie i omówienie.

flaga CTF stm-academy
formularz studenci

Dołącz do nas

Dziękujemy za zgłoszenie!

Wyrażam zgodę na przetwarzanie podanych w formularzu danych osobowych zgodnie z ustawą o ochronie danych osobowych w celu:

Zostałam/em poinformowany, że podanie numeru telefonu jest dobrowolne, ale konieczne dla odpowiedzi na zgłoszenie kontaktowe, oraz że przysługuje mi prawo dostępu do danych, ich zmiany, usunięcia i zaprzestania przetwarzania. Administratorem danych osobowych jest STM Academy Sp. zo.o. z siedzibą przy ul. Żwirki i Wigury 16a, 02-092 Warszawa. Klauzulę Informacyjną znajdziesz na stronie

profesor cybersecurity stm-academy
bottom of page