Hackuj strony i systemy: testy penetracyjne w praktyce

1 dzień

1. Wprowadzenie

o Pentester, red teamer a może hacker?

 Kto to jest pentester?

 Kto to jest red teamer?

 Kto to jest hacker?

 Czym różnią się ich profesje?

o Czym są testy penetracyjne?

 Omówienie czym są testy penetracyjne

 Rodzaje testów penetracyjnych

 White Box

 Gray Box

 Black Box

o Czym się różni pentest web aplikacji od pentestu systemów operacyjnych?

 Omówienie zagadnienia

o Dlaczego testy penetracyjne są tak istotne?

 Omówienie zagadnienia

 Cyberataki

 Definicja cyberataku.

 Definicja podatności.

 Najpopularniejsze zagrożenia

 OWASPTOP10

 CWETOP25

 Otwarta dyskusja.

2. Standardy przeprowadzania testów penetracyjnych (i nie tylko)

o Czym jest standard bezpieczeństwa?

 Omówienie zagadnienia

o Omówienie różnic pomiędzy poszczególnymi standardami

 OWASP

 CIS

 PCI

 ISO

 Inne

 Który standard jest najlepszy i dlaczego?

 Otwarta dyskusja

 Który standard wybrać i dlaczego?

 Otwarta dyskusja

3. Narzędzia wykorzystywane podczas testów penetracyjnych

o Skanery podatności, które można wykorzystać do wstępnej analizy bezpieczeństwa badanego systemu operacyjnego:

 Nessus / Tenable / GVM

 NMAP

o Testy penetracyjne systemów operacyjnych

 Narzędzia, które można wykorzystać w systemach operacyjnych z rodziny Linux

 Lynis

 RkHunter

 Chkrootkit

 Ettercap

 Inne

 Narzędzia, które można wykorzystać w systemach operacyjnych z rodziny Windows

 Windows Security

 Microsoft PC Manager

 BloodHound

 GetIf

 RdpThief

 ADRecon

 LIZA

 Inne (gtworek repository)

2 dzień

4. Warsztaty praktyczne z zakresu pentestów systemów operacyjnych

o Jak w bezpieczny sposób można nauczyć się testów penetracyjnych systemów operacyjnych?

 Omówienie poszczególnych zestawów oprogramowania, które można wykorzystać do nauki testów penetracyjnych:

 Metasploitable

 DVL

 Vulnerable-AD

 Gameof Active Directory

 Escalate_Win

 Vulnerable_Machine

 Prezentacja zestawu wykorzystywanego podczas szkolenia;

 Pierwsze próby połączenia do maszyn szkoleniowych.

o Testowanie penetracyjne systemów operacyjnych w praktyce w oparciu o ciekawe narzędzia

 Wykorzystanie w praktyce "podstawowych" funkcjonalności narzędzi;

 Wykorzystanie w praktyce "zaawansowanych" funkcjonalności narzędzi.

o Propozycje poprawek.

 Omówienie zagadnienia

 Otwarta dyskusja

o Podsumowanie dnia warsztatowego

 Pytania i odpowiedzi

3 dzień

5. Testy penetracyjne web aplikacji

o Omówienie popularnych narzędzi i ich zastosowania:

 Burp Suite / ZAP

 Wireshark

 Sqlmap

 Metasploit

 Hydra

 John the Ripper

 Inne

6. Omówienie dodatków do przeglądarek internetowych wykorzystywanych przy testach penetracyjnych:

o OWASPPenetration Testing KIT

o Instant Data Scraper

o EditThisCookie

o Wappalyzer

o Shodan

o FoxyProxy

o Hack-Bar

o HackTouls

o DotGit

7. Omówienie dystrybucji Linuxa przeznaczonych do testów penetracyjnych (i nie tylko):

o Kali Linux

o ParrotOS

o BlackArche

8. Podsumowanie zagadnień teoretycznych

o Krótkie podsumowanie zdobytej wiedzy

o Pytania i odpowiedzi

4 dzień

9. Warsztaty praktyczne z zakresu pentestów web aplikacji

o Jak w bezpieczny sposób można nauczyć się testów penetracyjnych web aplikacji?

 Omówienie poszczególnych zestawów oprogramowania, które można wykorzystać do nauki testów penetracyjnych:

 DVWA

 DVNA

 WebGoat

 Vulnerable-AD

 OWASPVulnerable Web Application

 Prezentacja zestawu wykorzystywanego podczas szkolenia;

 Pierwsze próby połączenia do maszyn szkoleniowych.

o Testowanie penetracyjne web aplikacji w praktyce w oparciu o najpopularniejsze podatności

 Wykorzystanie w praktyce “podstawowych” funkcjonalności narzędzi;

 Wykorzystanie w praktyce “zaawansowanych” funkcjonalności narzędzi.

o Tworzenie raportu po wykonanych testach penetracyjnych web aplikacji

 Elementy niezbędne do stworzenia poprawnego raportu z testów penetracyjnych web aplikacji:

 Tytuł

 Opis

 Komponent, którego dotyczy podatność.

 Potencjalna liczba użytkowników objętych podatnością.

 Krytyczność

 Wpływ

 Prawdopodobieństwo wystąpienia

 Pełne wyjaśnienie

 Ocena wskali Common Vulnerability Scoring System

 Narzędzia użyte do wywołania podatności

 Kroki niezbędne do reprodukcji błędu.

 Sugerowane rozwiązanie

 Inne (CWE)

o Propozycje poprawek.

 Omówienie zagadnienia

 Otwarta dyskusja

o Podsumowanie szkolenia

 Pytania i odpowiedzi

Informacje o materiałach dla uczestników usługi - Uczestnicy otrzymają komplet materiałów PDF. Każdy uczestnik otrzymuje kod dostępu i

dane logowania do platformy ZOOM na 7 dni przed datą rozpoczęcia szkolenia. Dane

przesyłane są na adres e-mail podany podczas rejestracji.

Podstawowa znajomość systemów operacyjnych (Linux i Windows), sieci komputerowych i działania aplikacji webowych. Umiejętność pracy z konsolą oraz chęć pracy warsztatowej. Umiejętność korzystania z komputera

Warunkiem ukończenia szkolenia i otrzymania zaświadczenia jest uzyskanie minimalnej

frekwencji na poziomie 80% całkowitego czasu trwania usługi. Obecność uczestnika będzie

potwierdzana na podstawie codziennych list obecności lub logów z platformy online.

Uczestnik musi dysponować sprzętem i łączem o parametrach:

• Procesor: min. 4-rdzeniowy (np. Intel i5/i7 lub odpowiednik AMD/M1/M2)

• Pamięć RAM: min. 16 GB

• Dysk: min. 20 GB wolnej przestrzeni

• System operacyjny: Windows 10/11 Pro, Linux lub macOS

• Multimedia: Sprawna kamera internetowa oraz mikrofon (wymagane do komunikacji i weryfikacji obecności)

• Łącze internetowe: Stabilne połączenie o minimalnej prędkości 10 Mbps (download) / 5 Mbps (upload)

• Oprogramowanie: Uprawnienia administratora pozwalające na instalację narzędzi