"Практические основы тестирования на проникновение"

Состав курса:

1) Введение. Тестирование на проникновение как род деятельности

2) Базовые понятия ИБ и безопасность корпоративной среды

3) HTTP-протокол. Модель TCP\IP

4) Практикум

5) Веб-приложения. Сервера. PHP

6) Виды атак на веб-приложения

7) Практикум

8) Основы Linux. Повышение привилегий в Linux среде.

9) Сетевые устройства и атаки на них

10) Тестирование на проникновение изнутри. Виды атак на внутренную инфраструктуру. Использование фреймворка Metasploit

11) Практикум

12) Большая "лабораторная"" атака

- Начнем чтение курса с 20.04
- Некоторые занятия будут объединены в одно занятие
- Необходимо, чтобы была возможность проведения некоторых лекций с использованием Zoom
- По необходимости понадобятся некоторые мощности

курс который будут читать сотрудники https://bssys.com/

завтра вводное занятие в 13.00, проводить будем на юго-западной, корпус Е.

Завтра 21 апреля 12:00
Встречаемся опять на Юго-Западной, проспект Вернадского, 78c8
Тему разберём "антиотладка" и таски порешаем

То, что будем делать сегодня

Напоминаю, завтра(сегодня) ревёрса не будет
Встретимся уже после майских 😇

Не забываем, что мы тут ещё и в CTF'ы играем (соревнования по информационной безопасности если кто-то не в курсе))

В воскресенье 16.05 будут проводиться МИРЭАшные соревы
Попробовать свои силы можно тут:
https://ctf.mirea.tech/register (тыц)

Напоминаю и уточняю
💜 Соревы будут онлайн 💙

Ищем стажеров по трем направлениям:

1. Защита Endpoint – OC Windows
2. Защита Endpoint – *nix системы
3. Реагирование на инциденты КБ – OC Windows

Если есть желающие среди студентов, рассмотрим кандидатуры.


От Сбербанка пришёл запрос, есть желающие?

Напоминаю завтра в 13.00 состоится факультатив от БСС, в аудитории Е23. В процессе решим два таска

В 13:00 начало, всех ждем

ема: Zoom meeting invitation - Факультатив Практические основы ИБ
Время: 2 июн. 2021 13:00 Москва

Подключиться к конференции Zoom
https://us02web.zoom.us/j/89083442219?pwd=L1pOblA1M1JSVHBpWk8veHJKTUM1Zz09

Идентификатор конференции: 890 8344 2219
Код доступа: 551791

Начинаем!

https://35.207.108.26:8080 - первая таска на десериалайз объекта в ларавеле
флаг лежит в env variables
скидывать в личку @moderly

https://35.207.108.26:80 - вторая таска на LFI
флаг - имя домена и юзера на машине
флаг тоже в личку @moderly

Если кому-то необходимо собираться, чтобы решать таски, у нас есть сервер в дискорде, бесплатно, без смс и регистрации
залетайте https://discord.gg/SXtsNuV4

Стажировка

Нам в DeteAct нужно быстро расти, поэтому запустили набор стажёров для обучения пентесту.

У нас есть позитивный опыт внутреннего обучения и роста компетенций, хочется попробовать его масштабировать.
Пока планируем провести именно летнее обучение-практику с последующим отбором в штат, но, конечно, итоговый формат будет зависеть от качества и количества собранных анкет.
В анкете есть технические вопросы достаточно творческого характера, ответы на которые мы будем оценивать вручную.

В России всего 10-15 компаний, которые реально делают пентесты, и ещё под сотню тех, кто их продаёт. Мы занимаемся и тем, и другим: стремимся ломать круче всех и получать больше всех хороших клиентов.

Так что ждём всех желающих присоединиться к профильной команде хакеров и заниматься разнообразными проектами для заказчиков, которым это действительно интересно!

UPD
На https://35.207.108.26:8888 подняли сервис, который на лекции показывали, можно повторить и потыкать

https://35.207.108.26:80/ - таск на lfi -> rce
https://35.207.108.26:8888/ - простеньки таск с лекции на легкий десер
https://35.207.108.26:8080/ - ssrf + deser -> rce

1-2 в качестве пруфа ifconfig + hostname + id скидывайте мне в лс

3 - имеется флаг