Безопасность компьютерных систем 20/21 — различия между версиями

Материал из Wiki - Факультет компьютерных наук
Перейти к: навигация, поиск
Строка 151: Строка 151:
  
 
c) Attacking Network Protocols, James Forshaw
 
c) Attacking Network Protocols, James Forshaw
 +
 +
2. Stanford: Crypto (https://ru.coursera.org/learn/crypto, https://ru.coursera.org/learn/crypto2, https://cryptopals.com)
 +
 +
3. Linux
 +
 +
a) Shell Scripting Step by Step (https://likegeeks.com/bash-script-easy-guide/)
 +
 +
b) Командная строка Linux, Уильям Шоттс
 +
 +
c) Внутреннее устройство Linux, Брайан Уорд
 +
 +
4. Web AppSec
 +
 +
a) OWASP Web Top 10
 +
 +
b) Bug Bounty Hunting for Web Security
 +
 +
c) The Web Application Hacker's Handbook. 2 edition.
 +
 +
d) Web-Hacking-101 How To Make A Money
 +
 +
e) Mastering Modern Web Penetration Testing
 +
 +
f) Practical Web Penetration Testing

Версия 15:47, 27 августа 2020

О курсе

Курс по выбору для студентов для студентов 3 и 4 курса в 1-2 модулях.

Полезные ссылки

Телеграм-чат курса:

Гитхаб курса:

Anytask курса:

План курса

Лекции

1. Вводная лекция. Введение в информационную безопасность

2. Уязвимости типа injection

3. Контроль доступа

4. Криптографические уязвимости

5. Уязвимости в мобильных приложениях

6. Уязвимости в сторонних компонентах

7. Безопасность сетевой инфраструктуры

8. Безопасность ОС Linux

9. Безопасность ОС Windows

10. Безопасность облачных технологий

11. Разведка и сбор информации о цели

12. Инфраструктурные уязвимости и их эксплуатация

13. Эксплуатация бинарных уязвимостей

Семинары

1. Установка и настройка окружения, необходимого ПО и тестовых стендов

2. Нахождение и эксплуатация уязвимостей типа injection

3. Нахождение и эксплуатация уязвимостей контроля доступа

4. Эксплуатация криптографических уязвимостей

5. Нахождение и эксплуатация уязвимостей в мобильных приложениях

6. Нахождение и эксплуатация уязвимостей в сторонних компонентах

7. Нахождение и эксплуатация уязвимостей сетевых протоколов. Защита от атак

8. Эксплуатация уязвимостей в ОС Linux

9. Эксплуатация уязвимостей в ОС Windows и домене Windows

10. Нахождение и эксплуатация уязвимостей в современных облачных инфраструктурах. Защита от атак

11. Приёмы, сервисы и утилиты для получения информации о цели. Сбор расширенной информации

12. Нахождение инфраструктурных уязвимостей и их эксплуатация с/без применения специализированных инструментов

13. Инструменты для нахождения бинарных уязвимостей. Эксплуатация бинарных уязвимостей

Домашние задания

Домашнее задание 1 Установка и настройка окружения, необходимого ПО и тестовых стендов Дедлайн: до следующего занятия

Домашнее задание 2 Эксплуатация уязвимости типа injection Дедлайн:

Домашнее задание 3 Эксплуатация уязвимости контроля доступа Дедлайн:

Домашнее задание 4 Эксплуатация криптографической уязвимости Дедлайн:

Домашнее задание 5 Эксплуатация уязвимостей в мобильном приложении Дедлайн:

Домашнее задание 6 Эксплуатация уязвимости в стороннем компоненте Дедлайн:

Домашнее задание 7 Безопасность сетевой инфраструктуры Дедлайн:

Домашнее задание 8 Безопасность ОС Linux Дедлайн:

Домашнее задание 9 Безопасность ОС Windows Дедлайн:

Домашнее задание 10 Безопасность облачных технологий Дедлайн:

Домашнее задание 11 Сбор информации о компании X из открытых источников и с помощью утилит сканирования. Дедлайн:

Домашнее задание 12 Сбор информации о потенциально уязвимых windows/linux хостах. Эксплуатация уязвимостей. Фиксирование факта компрометации системы. Дедлайн:

Домашнее задание 13 Эмуляция атаки типа Buffer overflow, написание шелла. Дедлайн:

Экзамен

Экзамен состоит из 2 частей: теория и практика. Ответ на теоретический вопрос - устно. Практика - демонстрация выполнения задания в режиме реального времени. Проходит в аудитории. Можно пользоваться ноутбуком, интернетом и материалами с курса. Вопросы выдаются в конце курса. Экзамен проходит после окончания всех модулей.

Итоговая оценка за курс

Итог = Округление(0.7 * (среднее за дз) + 0.3 * экзамен), где ДЗ — средняя оценка за все домашние задания, Э — оценка за экзамен. Округление арифметическое.

Литература

1. Network

a) Сети для самых маленьких

i. https://habr.com/ru/post/134892/

ii. https://www.youtube.com/watch?v=6YWX2i-izNk

iii.https://linkmeup.ru/blog/11.html

iv. https://www.youtube.com/playlist?list=PLcDkQ2Au8aVNYsqGsxRQxYyQijILa94T9

b) CCNA Routing & Switching

c) Attacking Network Protocols, James Forshaw

2. Stanford: Crypto (https://ru.coursera.org/learn/crypto, https://ru.coursera.org/learn/crypto2, https://cryptopals.com)

3. Linux

a) Shell Scripting Step by Step (https://likegeeks.com/bash-script-easy-guide/)

b) Командная строка Linux, Уильям Шоттс

c) Внутреннее устройство Linux, Брайан Уорд

4. Web AppSec

a) OWASP Web Top 10

b) Bug Bounty Hunting for Web Security

c) The Web Application Hacker's Handbook. 2 edition.

d) Web-Hacking-101 How To Make A Money

e) Mastering Modern Web Penetration Testing

f) Practical Web Penetration Testing