この
投稿に一部触発されて
、私はなぜ私の都市で似たようなことをしないのか考え、少しサブカルチャーを追加し、さまざまな攻撃の実演を行いました。
全体として、すべての人のために無料のInfoSecクラスを編成して知識を共有することが決定されました。 クラスと詳細のkatプログラムの下。
トムスクから来ていない人のために-あなたは選択したトピックにコメントすることができ、おそらくあなた自身のものを提供することができます。 I. Webアプリケーションおよびセキュリティ技術への攻撃
1)クロスサイトスクリプティング
XSS、XSSの種類、それらの検出とは何ですか?
スニファーおよびハイジャックCookieの実装例。
フィルターについて少し。
キーワード:投稿、Cookieの取得、html、javascript、web-dev lang(php)
2)クロスサイトリクエストフォージェリ
クロスサイトリクエストを偽造するアイデアの説明。
なぜ実用的な例であるPOSTがGETと同じくらい簡単なのか。
CSRF +パッシブXSS->再び「ハイジャック」Cookie。
私たちはトークンの助けを借りて身を守ります。
キーワード:post、get、cookies、html(frame)、javascript、web-dev lang(php)
3)リモート/ローカルファイルの包含
脆弱なコードのサンプル
ログ/環境変数などによるLFI
ヌルバイト
キーワード:web-dev lang(php)
4)SQL inj
不十分なフィルタリングの結果としてのSQLインジェクション。
任意のリクエストの実装スキームのシーケンシャル分析;
異なるデータベースでの注入の違い。
練習:サーバーでのコマンドの注入から任意の実行まで。
キーワード:sql、php、unix
5)Webアプリケーションでのサービス拒否
DDoSとDoSの違い;
インジェクションによるDBサーバーDoS、実用例;
DoS Webサーバー。
TCPフラッディングを使用したDoS(?)。
キーワード:sql、tcp、RFC 2616
6)ソフトウェアの概要
Webスクリプティング脆弱性スキャナー。
SQLインジェクションの「プロモーション」のためのユーティリティ。
デバッガー、ローカルプロキシ;
キーワード:Webスキャナー、デバッグ、プロキシ、SQL
II。 ネットワーク攻撃。 OS攻撃
1)ネットワークソフトウェアの構成エラーとその使用
2)エクスプロイト。 Metasploit Framework(使用+自動活用)
3)システムの特権の増加
4)スニッフィング、なりすまし。 真ん中の男
5)ネットワークワーム、ボットネット。 Stuxnetについて
これまでのところ、クラスの最初の「章」の内容のみを描いてきましたが、実際、それはまだ概要です。
キーワードは、あなたが少なくとも考えている必要がある重要な用語と概念のリストです、さもなければ、レッスンは理解できないプロットである種のスリラーだけになります。
コースの内容によると:60%の練習、40%の理論/ 70%の攻撃、30%の防御。 つまり 各レッスンでは、攻撃のライブデモまたは詳細なスクリーンキャストが行われます。
- 重要ではない大学/年齢/性別/肌の色
- どこでも登録または適用する必要はありません
- 誰にも支払う必要はありません
来週、会場の問題が決定されます。最も一般的なのは、FET TUSURビル、またはDruzhba SBI、一般的には南部地域です。 どこでも「途切れる」場合(非常に可能性は低いですが)、どこかの会社に部屋を提供するように依頼すると思います。 広々とした部屋+プロジェクター+できればスピーカーのみが必要です。
予定時間:土曜日の午後5時から7時までのどこかで、私がリードします。 もちろん、あなたがこの問題で助けたいなら-書いてください。 すべてがうまくいけば、リバースエンジニアリングに関する章(Olly、IDAなど)も必要です。
UPD1:今週の 土曜日、友好 保安サービス (南側)の106人の聴衆に対して15:00に最初のレッスンを開催プロジェクター+スピーカー+すべてのSBIには外部の無線LANがあります。これはライブデモにも必要です。 おそらく、実際の攻撃に来た人たちをつなぐでしょう。
最大収容人数は約80人です。 もっと来るとは思わない)もっと来る-椅子を持ってきます:)
PS問題はビデオ録画でも同じように解決されます、私たちはそれを整理すると思います。 助けたいという願望があります-私はうれしいです。
PPS少し後でここで、集中情報と関連ニュースを含むサイトへのリンクを公開します。
UPD2: VKアカウントをお持ちの方は、
vk.com /
event30194153で自分の存在を確認してください。
UPD3: oisd.sergeybelove.ru