Вниманию всех начинающих разработчиков, желающих создавать не только красивые и интересные, но и защищённые сервисы: 10 сентября на Stepic откроется новый курс по программе Технопарка Mail.Ru «Анализ безопасности веб-проектов». Преподаватель Технопарка Ярослав Рабоволюк расскажет о том, как злоумышленники подходят ко взлому сервисов и как не дать им этого сделать. Также студенты под чутким руководством преподавателя сами попробуют свои силы во взломе сервера. Чтобы поймать преступника, нужно думать как преступник. В общем, скучно не будет!

Общая программа курса:

1. Сбор информации
1.1 Введение
1.2 DNS/Whois
1.3 Поисковые движки
1.4 Контент
1.5 Активный анализ: сканирование портов

2. Точки входа
2.1 U2: введение
2.2 HTTP-параметры
2.3 Инструменты
2.4 Представление данных

3. Уязвимости веб
3.1 Цикл анализа
3.2 Раскрытие данных
3.3 Локальное включение файлов
3.4 Инъекция команд
3.5 SQL-инъекции

Для успешного прохождения курса студенты должны обладать некоторыми базовыми знаниями:

• что представляет собой язык гипертекстовой разметки;
• как реализуется клиент-серверное взаимодействие;
• что такое TCP/IP.

В принципе, для прохождения курса не требуется использовать какое-то специальное ПО. Но возможно, вам захочется выйти за пределы программы курса и поэкспериментировать. Для этого мы рекомендуем использовать лабораторию, настроенную в виртуальной среде. Подробные инструкции по развертыванию лабораторного окружения мы приведем в соответствующем уроке, а пока же можно установить эти инструменты и освоиться с ними:

Дистрибутив Kali Linux. Эта сборка создана для решения задач по аудиту информационной безопасности. Здесь есть практически всё, что может понадобиться во время обучения: инструменты, словари, преднастроенные сервисы. По ссылке доступны ISO-образы для создания загрузочных дисков/носителей usb flash, но их также можно использовать для создания виртуальной машины. Кроме того, можно воспользоваться уже готовыми образами VM. В качестве виртуальной машины можно порекомендовать VirtualBox.

Дистрибутив Metasploitable. Он доступен в виде образа для виртуальной машины, что как бы намекает на то, что выставлять в публичный доступ данную систему крайне не рекомендуется.

Итак, если вы хотите получить знания в области веб-безопасности, чтобы в будущем создавать гораздо более защищённые продукты, — записывайтесь! Ссылка станет доступна 10 сентября.