этичный хакинг обучение бесплатно
Как стать этичным хакером в 2021 году
Добрый день, друзья. Я достаточно долго шёл к этому посту, перелопатил немало форумов, телеграм каналов, ютуб каналов, прочитал комментариев, изучил слитых курсов и я думаю что теперь я готов написать данный пост. Путь я свой начал вообще не из хакинга и даже не из тестирования и сетевого администрирования а самого обычного digitial маркетинга, поэтому объяснять все буду достаточно прозрачно даже для людей не в теме.
Часть материала я взял у Codeby здесь и тут, которые я считаю обязательными к изучению, часть позаимствовал из своего личного XMIND, часть из телеграм каналов
Начну с того, что Хакинг делится на следующие области:
Wi-FI Hacking взлом беспроводных сетей
Я боюсь я перечислил здесь далеко не все, но со временем вы поймете какую ветку развития своего персонажа вы выберете и что Вам ближе. Но есть базовые скиллы с которых Вам нужно начать. Просто необходимо и которые нужно отработать в первую очередь.
Также для меня большим удивлением было когда я начал въезжать в тему что специалисты по информационной безопасности занимаются далеко не тестированием а по большому счету бумажной работой. Что отбило у меня интерес идти в классическую информационную безопасность, так как я не увидел там того хакинга в чистом виде которого я жаждал.
Linux. Базовое знание системы
Следующий пункт в нашем списке
Знание сетей, TCP/IP и модели OSI
Английский Язык
Языки программирования
Ресурсы по Python я приводить не буду их море, и это тема отдельной статьи
После освоения данного материала пора выбирать специализацию. На самом деле к моменту изучения всего этого вы уже найдете ресурсы для дальнейшего кача я все таки выложу лучшие ресурсы
Этичный Хакинг
Перевод курса Ermin Kreponic от команды Codeby — отличное погружение в этичный хакинг, всего по чуть-чуть и вы уже в теме
Лучшее видео этого года на тему хакинга. Must see всем начинающим и немного понимающим английский язык
Ontol про пентест и этичное хакерство: подборка лучших бесплатных курсов на YouTube
Анджелина как бы намекает, что пора стать этичным хакером.
Чтобы YouTube не банил обучающие курсы по хакерству, их назвали курсами этичного хакерства.
Этичный хакер — это добрый и пушистый, очень законопослушный высококвалифицированный специалист, который с письменного разрешения заказчика проверяет защищенность информационных систем этого же заказчика. Потом пишет отчет о выявленных уязвимостях и больше никому ничего не рассказывает, даже если очень хочется. Если хакер вдруг перестал быть этичным, его тут же ловят другие этичные хакеры, потому что сила в правде.
Есть очень дорогие курсы, есть не очень дорогие, а есть бесплатные. Вообще-то, тру хакер всё должен выучить самостоятельно по книгам, но иногда можно и на YouTube подсмотреть.
Предлагаем вашему вниманию подборку 20+ самых популярных обучающих видеокурсов на YouTube.
freeCodeCamp
4 700 000 просмотров
15 часов
2019 год
Изучаем основы Kali Linux: установка, командная строка, bash, инструменты и функции для этического взлома.
2 700 000 просмотров
2 часа
2019 год
1 100 000 просмотров
3 часа
2018 год
Создаем кейлогер на Python
255 000 просмотров
12 минут
2019 год
Все что нужно знать про Linux для пентеста и этичного хакерства и 20% от вообще всех навыков Linux.
217 000 просмотров
4,5 часа
2021 год
Игры по кибербезопасности Capture The Flag (CTF) — идеальное место для практики и обучения.
208 000 просмотров
5 часов
2018 год
Пентест веб-приложений: Burp Suite, Nikto, Dirbuster, curl, sublist3r, nmap и пр.
181 000 просмотров
5 часов
2020 год
(0:00) Introduction
(0:52) Episode 1 — Enumeration
(1:20:28) Episode 2 — Enumeration, XSS, and UI Bypassing
(2:19:40) Episode 3 — XSS, SQL Injection, and Broken Access Control
(3:13:30) Episode 4 — XXE, Input Validation, Broken Access Control, and More XSS
(4:13:40) Episode 5 — SQL Injections and Live Bug Bounty Hunting
Изучаем пентест. Общие инструменты и методы, используемые этичными хакерами.
141 000 просмотров
9 часов
2020 год
***Session 1***
(3:00) Custom Lab Files For The Course
(4:10) How Enterprise Security Works
(6:45) Enterprise Networking Explained
(11:52) Setup The Enterprise Level Pentest Lab
(19:30) Hacking The Beta Server In DMZ Area
(22:04) Reconnaissance Explained
(24:20) Using WhatWeb To Study Technology Profile
(29:40) Using WPScan For Hacking/Pen-Testing WordPres
(53:40) Using Cewl To Create A Custom Password WordList
(1:01:35) Transmutation Of Passwords With A Python Script
(1:09:22) Boom! We Cracked The Password
(1:22:47) Common Student Questions — FAQs
(1:15:44) Recap — Lab Setup On Student PC — Live
*** Session 2***
(1:34:00) Metasploit Framework Explained
(1:58:00) Search, Rank & Check To Find What You Need
(2:00:58) Use, Info & Show Options To Tune The Exploit
(2:06:19) Boom! We Got The Reverse Shell
(2:13:00) Multi Handler Explained
(2:19:22) Creating Payloads Using MSFvenom
(2:25:13) Manual Exploitation Of WordPress
(2:40:20) Common Student Questions — FAQs
***Session 3***
(2:54:00) Setup For Routing & Pivoting
(3:00:22) Ping Sweep While Routing The Traffic
(3:05:40) Adding A Manual Route To Another Network
(3:08:04) Scanning On Other Network Ranges Via The Route
(3:20:10) SMB Enumeration On Windows Machine
(3:28:00) Exploiting Windows Machine Over The Pivot
(3:37:34) Boom! We Hacked The Windows Machines Too
(3:40:30) Beauty Of Meterpreter Payload
(3:45:30) Persistence Post Exploitation Module
(3:51:30) Auto Route Post Exploitation Module
(3:54:18) Common Student Questions — FAQs
***Session 4***
(3:59:50) Setup For Advance Routing & Pivoting
(4:10:39) Portforwarding Over A Pivot
(4:17:44) Nmap Through Portforwarding
(4:21:50) Pivoting Through Socks4 Proxy Server
(4:22:00) Proxchains To Use Other Tools Over Pivot
(4:34:24) Exploiting Media Server
(4:43:32) Boom! Dummy Shell Uploaded
***Session 5***
(4:45:20) Setting Pivoted Environment With New Class
(4:49:29) Metasploit Version Of ClipBucket Exploit
(5:02:30) My Partial Access Method With Respect To Limited Time
(5:11:13) Common Student Questions — FAQs
Note: Reverse port forward is not a beginner concept so it will be taught in a more advanced course later.
***Session 6***
(5:16:34) Web Hacking Learning Resources
(5:20:00) Setup SBVA — My OSCP Inspired Web App
(5:28:48) Manual SQL Injection In Detail — OSCP Level
(6:04:12) Automated SQL Injection — LPT Level
***Session 7***
(6:15:36) Directory Bursting With DirBuster
(6:27:48`) Directory Bursting With Dirb
(6:31:00) Pen Testing Web Server With Nikto
(6:41:42) NMap Scripting Engine For Remaining Auxiliaries
(6:44:24) My Experience On OpenVas In The LPT Exam
(6:51:26) HTTP Methods Using NSE
(6:58:10) Common Student Questions — FAQs
***Session 8***
(6:59:06) KnowledgeBase Server Lab Explained
(7:02:00) LPT Methodology For Scanning
(7:09:40) Real Project We Did — Inside Look
(7:12:14) Maintain A Target Database Manually
(7:18:24) Dividing Work For A Team In Real Project
(7:24:10) Managing Professional Test In MetaSploit Framework
(7:33:54) Vulnerability Assessment
(7:37:52) Tuning An Exploit
(7:40:56) Boom! We Got The Command Shell
(7:42:04) Upgrading From A Command Shell To Meterpreter Shell
(7:45:28) Public Vs Commercial Exploits In Professional Test
***Session 9***
(7:50:22) Million Dollar Advice For Pentesting Students
(7:59:10) Privilege Escalation — Resources To Learn
(8:01:41) Privilege Escalation Using Manual Exploits
(8:32:30) Privilege Escalation Using MetaSploit Framework
Gophish — это мощный фишинговый фреймворк с открытым исходным кодом, который позволяет легко проверить подверженность вашей организации фишингу. Это важный инструмент для тестировщиков на проникновение и этичных хакеров.
103 000 просмотров
1,5 часа
2019 год
SQL-инъекция — распространенный метод взлома, используемый для извлечения или уничтожения данных из базы данных без разрешения. Это считается одной из главных угроз безопасности веб-приложений.
88 000 просмотров
1,5 часа
2021 год
HackerSploit
700 000 просмотров
150+ уроков по 15-20 минут
2017 год
edureka!
6 745 000 просмотров
10 часов
2019 год
The Cyber Mentor
278 000 просмотров
50 минут
2021 год
Simplilearn
196 000 просмотров
12 часов
2021 год
Aleksa Tamburkovski
370 000 просмотров
4 часа
00:00 Intro
3:00 Teaser
8:40 Install Virtual Box
13:07 Install Kali Linux — download
19:25 Install Kali Linux — setup Virtual Box
25:29 Install pycharm in kali linux
30:44 First Line in Python
33:00 Port Scanner (pt1)
46:35 Port Scanner (pt2)
53:33 Port Scanner (pt3)
1:00:15 Port Scanner (pt4)
1:11:37 Port Scanner (pt5)
1:21:35 Port Scanner (pt6)
1:34:22 Vulnerability Scanner (pt1)
1:38:32 Vulnerability Scanner (pt2)
1:45:41 Vulnerability Scanner (pt3)
2:02:58 Vulnerability Scanner (pt4)
2:17:55 Vulnerability Scanner (pt5)
2:21:41 Install Metasploit as a VM (BONUS VIDEO)
2:26:09 SSH Brute Force (pt1)
2:33:42 SSH Brute Force (pt2)
2:38:56 SSH Brute Force (pt3)
2:44:16 SSH Brute Force (pt4)
2:54:34 SSH Brute Force (pt5)
3:01:13 ARP Spoofing (pt1)
3:09:45 ARP Spoofing (pt2)
3:23:44 ARP Spoofing (pt3)
3:33:00 ARP Spoofing (pt4)
3:43:32 ARP Spoofing (pt5)
3:46:04 Password Sniffer (pt1)
3:51:39 Password Sniffer (pt2)
3:55:50 Password Sniffer (pt3)
4:03:10 Password Sniffer (pt4)
4:09:48 Password Sniffer (pt5)
Joseph Delgadillo
1 053 000 просмотров
8 часов
2018 год
На русском
Курсы по программированию на python (Этичный хакинг)
120 уроков по 10 минут
2020 год
Этичный хакинг: как взламывать системы и при этом зарабатывать легально
Кто такой хакер? Большинство людей, которые далеки от программирования, представляют перед собой злостного преступника, взламывающего системы безопасности банков, чтобы украсть деньги. Что-то вроде героя Хью Джекмана из фильма «Пароль — “Рыба-меч”», который взламывает шифр Вернама, чтобы украсть из правительственного фонда 9,5 млрд. долларов. Здесь сосредоточимся на правовой стороне взлома, а если ваши представления навеяны именно фильмами, для вас мы подготовили подробный обзор профессии специалиста по кибербезопасности.
Хакером можно быть и легально. Легальных хакеров называют пентестеры, или «этичные хакеры». Вот только нужно хорошо знать, что можно делать во время тестирования системы на проникновение, а что — нельзя. Иначе можно получить вполне реальные проблемы с законом. Совсем недавно мы запустили курс «Этичный хакер», и в этой статье мы поговорим, как заниматься хакингом, зарабатывать на этом неплохие деньги и при этом не иметь проблем с законом. Поехали.
Что грозит хакеру по закону РФ
Для начала поговорим о проблемах, которые могут свалиться на хакера. Практически все правонарушения, связанные со взломом систем и получения доступа к ним, касаются трех законов:
Согласно ст. 13. КоАП РФ (Административные правонарушения в области связи и информации), за разглашение информации с ограниченным доступом, нарушение порядка хранения, использования и распространения персональных данных может грозить штраф от 300 до 20 000 рублей. Это для физических лиц. Для юридических лиц размер штрафа гораздо больше.
В основном она касается людей, которые имеют доступ к подобной информации, и организаций, которые собирают персональные данные клиентов.
К примеру, интернет-магазин собирает клиентскую базу с именами, номерами телефонов и email-ами. А ушлый менеджер решает собрать базу и скопировать ее для дальнейшей продажи на сторону.
Если подобное действие не стало причиной серьезного ущерба, а на менеджера не поступило жалоб в правоохранительные органы, то правонарушение может быть квалифицировано по ст. 13.11 п. 8 КоАП РФ. Наказание за него — штраф в размере от 30 000 до 60 000 рублей.
Что касается уголовного законодательства, то хакеру-злоумышленнику в большинстве случаев грозят следующие статьи УК РФ:
Небольшое отступление. Пентестеры также используют сторонние программы для взлома систем безопасности и получения доступа к закрытой информации. Легальных программ для взлома не существует, поэтому компания, которая заказывает пентестинг, должна в письменной форме дать добровольное согласие на использование сторонних программ. Также пентестеры обычно подписывают соглашение о неразглашении сведений, полученных в ходе атак.
Пентестер: отличия от хакера
Пентестер — это хакер, который работает полностью легально и в рамках закона. Суть его работы — поиск уязвимостей в системах безопасности.
Но есть несколько серьезных отличий:
Пентестер работает исключительно по программам Bug Bounty или после заключения контракта с компанией. Из-за того, что сам процесс пентестинга связан со взломом защиты, процедура очень формализованная.
Нельзя просто найти уязвимость в системе защиты и указать на нее владельцу. Потому что за это можно получить вполне реальное обвинение.
В 2017 году 18-летний хакер нашел уязвимость в системе безопасности венгерской транспортной компании BKK. Баг был простой — с помощью инструментов для разработчика в браузере парень изменил исходный код страницы, вписав свою цену на билет (20 центов вместо 30 евро). Валидация цены не проводилась ни на сервере, ни на стороне клиента, поэтому хакер смог купить билет за эту цену.
После этого он обратился к представителям компании, раскрыв всю информацию об уязвимости. Но получил не благодарность, а уголовное дело. Транспортная компания «обиделась» и подала на него в суд. Парня арестовали.
История закончилась хорошо. Она получила большой резонанс в СМИ, пользователи просто обрушили рейтинг компании в Facebook. А с учетом того, что компания якобы тратила свыше миллиона долларов на защиту данных каждый год, обнаружение такого глупого бага, которым мог воспользоваться любой человек, просто уничтожило ее репутацию.
У парня были благородные намерения — он хотел указать на дыру в системе продаж билетов, наглядно продемонстрировав ее. Но при этом его действия все равно можно квалифицировать как взлом системы безопасности. А это уголовное дело.
Формально компания была полностью права, выдвигая ему обвинения. Какими бы ни были намерения парня, он нарушил закон. И от реального срока его спас только общественный резонанс.
Bug Bounty: как участвовать правильно
Большинство крупных компаний ведут Bug Bounty — специальные программы, в которой компании-разработчики ПО или сайтов предлагают вознаграждение за найденные уязвимости. Компаниям выгоднее платить за найденные ошибки, чем разбираться с последствиями, к которым могут привести эксплойты и уязвимости.
Большинство таких программ размещены на сайтах HackerOne и BugCrowd.
К примеру, вот программы Bug Bounty от Google API, Nginx, PayPal, GitHub, Valve. Средний размер премии за каждый найденный баг в этих программах — 1000 долларов. Есть огромное количество компаний поменьше, которые предлагают 50-100 долларов за ошибку.
Даже Пентагон запускал Bug Bounty! Это же просто мечта для хакера — взломать систему защиты Пентагона, да еще и получить деньги за это от правительства США.
Но даже опубликованная Bug Bounty не означает, что можно ломать и искать дырки где попало. В описании программы владельцы прописывают, какие именно уязвимости будут рассматриваться.
К примеру, Uber дает очень подробное объяснение, что входит в их программу Bug Bounty, а что — нет.
Компания хочет найти уязвимости в системах доступа и хранения данных, возможностей фишинга, оплаты и счетов, несанкционированных действий со стороны пользователя и сотрудников компании. Но в программу не входят общие баги приложения, отчеты о мошенничестве, баги в работе с соцсетями и email-рассылкой.
Впрочем, с чувством юмора у них все нормально. Потому что среди неоплаченных действий есть и следующее:
Entering the Uber offices, throwing crisps everywhere, unleashing a bunch of hungry raccoons, and hijacking an abandoned terminal on an unlocked workstation while staff are distracted
Входить в офис Uber, разбрасывая везде чипсы, выпуская кучу голодных енотов и захват свободного терминала или рабочего места, пока сотрудники сбиты с толку.
Чем подробнее описана Bug bounty, тем проще пентестеру понять, что можно «пробовать на зуб», а чего делать не стоит.
При этом есть общие правила, которые нарушать нельзя. К примеру, при обнаружении уязвимостей в базах данных пользователей нельзя пытаться скачать какие-либо личные данные. Даже при участии в программе это может быть расценено как нарушение закона. Потому что здесь нарушаются права именно пользователей, к которым Bug bounty не имеет никакого отношения.
Российский рынок пентестинга тоже активно развивается. На нем уже есть ряд крупных игроков, которые работают с большими корпорациями. К примеру, Digital Security, НТЦ «Вулкан», Group-IB, BI.ZONE, «Лаборатория Касперского». Но конкуренция на рынке еще довольно невысокая, так что можно вполне комфортно работать и индивидуально.
Некоторые крупные компании вроде «Газпрома» или банковских организаций создают отдельные внутренние подразделения пентестеров, чтобы не раскрывать конфиденциальные данные сторонним организациям.
Поэтому для пентестера есть несколько возможностей:
Чтобы подстраховаться от нечестных компаний, рекомендуем работать через сайты HackerOne и BugCrowd. Просто зарегистрируйтесь и подавайте заявки с обнаруженными багами через них.
Единственное правило — очень детально читать описание программы. Если компания пишет, что платит за уязвимости баз данных, то искать нужно только там. Даже если вы найдете баг где-нибудь еще, то за него не заплатят. Даже наоборот — могут начаться проблемы.
Уэсли Вайнберг в 2015 году нашел одну из самых серьезных брешей в защите Instagram. В ходе пентестинга он обнаружил Ruby-уязвимость, которая позволила ему запустить удаленное воспроизведение произвольного кода.
Это позволило ему прочитать файлы конфигурации, которые содержали доступы к базе PostgreSQL. Там были 60 аккаунтов сотрудников Instagram и Facebook. Как утверждает Вайнберг, взломать их не составило труда — большинство паролей были крайне слабыми — вроде «password» или «instagram».
Далее он получил доступ к нескольким ключам Amazon Web Services, которые ассоциировались с 82 бакетами S3. И в этих бакетах было настоящее сокровище для хакера: исходные коды Instagram, SSL-сертификаты, API-ключи, данные email-сервера, ключи подписей для приложений iOS и Android. Можно сказать, что пентестер получил полный доступ ко всем секретным материалам Instagram.
Он честно сообщил об этой находке представителям Facebook. За один баг ему действительно выплатили 2500 долларов. Но также он получил обвинение в несанкционированном доступе к аккаунтам сотрудников, бан в программе Bug bounty от Facebook и угрозу уголовного преследования. Хотя уголовное дело не было возбуждено, нервы пентестеру потрепали изрядно.
Так что следование прописанным пунктам Bug bounty — это просто обязательно. Иначе можно получить не премию, а обвинение.
Что должен уметь пентестер
Пентестер — это одновременно «универсальный солдат» и узконаправленный специалист. Ему нужно обладать широкими знаниями во многих отраслях программирования и при этом глубокими навыками в одной или нескольких сферах.
В целом считается, что Junior-пентестер должен обладать следующими знаниями:
Также нужно научиться использовать программы для пентестинга вроде BurpSuite, SqlMap, Nmap, IP Tools и Acunetix.
Собственно, именно поэтому в пентестинг рекомендуют идти тем специалистам, у которых уже есть определенный бэкграунд в разработке или тестировании. Потому что даже для уровня Junior количество необходимых знаний просто огромно.
Где учиться на пентестера
И напоследок мы собрали несколько популярных ресурсов, на которых можно получить всю необходимую информацию для профессии пентестера:
Если вы хотите стать пентестером — путь открыт. Но вот стать хорошим пентестером, который зарабатывает десятки тысяч долларов в месяц, намного сложнее. Это уже больше похоже на искусство, а не на ремесло. Готовы к такому? Тогда вперед!
А промокод HABR даст вам получить дополнительные 10% к скидке указанной на баннере.
Честный взлом: 10 курсов по этичному хакингу для начинающих и продолжающих
Этичный хакер (white hat hacker, белый хакер), в отличие от «черного» хакера, атакует и взламывает системы только по запросу и с разрешения компаний-владельцев, заинтересованных в проверке безопасности. Крупные компании, например, Twitter и Telegram, регулярно проводят bug bounty — охоту на уязвимости. Задача этичного хакинга — обнаружить слабые места приложений, ПО, сетей и инфраструктуры в целом, которыми могут воспользоваться «черные» хакеры.
Содержание
Сколько зарабатывают этичные хакеры
В методах взлома хорошо ориентируются специалисты по информационной безопасности, но их работа не ограничивается только поиском уязвимостей. У этичных хакеров, наоборот, более узкий фокус — некоторые занимаются только определенными видами взлома и доводят до совершенства одну конкретную методику.
Один из инструментов хакинга — это пентестинг (penetration testing, или пентест), то есть санкционированный взлом системы заказчика для определения ее реальных или потенциальных уязвимостей. Поэтому к категории этичных хакеров можно отнести и пентестеров (в некоторых случаях это синонимы одной профессии).
Зарабатывать этичным хакингом на фрилансе получится не сразу. Хотя в интернете немало историй о 12-летних взломщиках, на достижение Middle-уровня потребуется не меньше года, если заниматься интенсивно. А для победы в крупных баг-баунти конкурсах придется дорасти до Senior-уровня. В любом случае, начать можно с онлайн-курсов — они помогут быстро разобраться в теме и понять, из чего состоит работа этичного взломщика.
Изучите этичный хакинг с нуля (Udemy)
Курс состоит из 135 видеолекций, которые разбирают все аспекты этичного хакинга, в том числе более 30 инструментов, таких как Metasploit, Aircrack-ng и SQLmap. На занятиях вы узнаете, как взламывать и защищать системы разного формата и масштаба — от отдельных приложений до крупных сетей, а также научитесь работать с Linux и использовать разные приемы пентестинга. Кроме того, курс поможет выявлять различные типы уязвимостей и шифровать трафик.
Каждый модуль сопровождается подробными практическими примерами и инструкциями. Автор курса — практикующий пентестер и основатель собственной фирмы в сфере кибербезопасности, который более 10 лет занимается хакингом.
Хотя курс регулярно обновляется, некоторые моменты уже не так актуальны — так, некоторые приведенные в примерах уязвимости уже были устранены компаниями.
Длительность: 15.5 часов видео.
Рейтинг: 4.6.
Хакинг для новичков (Udemy)
Курс, разработанный Hackers Academy, предлагает всего за 5 часов освоить основные принципы этичного хакинга, а также учит искать уязвимости разными методами — вручную, автоматически и полуавтоматически. Вы научитесь работать с Kali Linux, изучите нюансы TCP и HTTP, научитесь искать и выявлять уязвимости, в том числе создавать backdoors для удаленного доступа. Как отмечают в отзывах, курс отлично подойдет для начинающих, которые никогда прежде не интересовались хакингом, но хотят быстро сформировать представление о методах и технологиях.
Длительность: 5 часов.
Рейтинг: 4.7.
Этичный хакинг в реальном мире: практическая кибербезопасность (Udemy)
Оптимальный вариант для тех, кто не планирует стать хакером, но хочет обезопасить свои персональные данные и защитить девайсы от взлома. Автор курса Брайсон Пейн исследует кибербезопаснось и выступает с лекциями на TEDx, поэтому он знает, как простым языком объяснить сложную тему.
На занятиях вы научитесь находить уязвимости в системе безопасности, используя техники «черных» хакеров, и устранять их. Будете знать, как обезопасить свой ПК, сеть, информацию, избежать фишинга, вирусов и онлайн-мошенничества, а также узнаете, как удаленно взламывают автомобили.
Длительность: 11 часов видео.
Рейтинг: 4.8.
Профессия «Специалист по кибербезопасности» (Skillbox)
Программу от Skillbox разработали практикующие сертифицированные специалисты в области информационной безопасности и этичного хакинга. Это не курс, а двухлетняя программа по освоению новой профессии. Вы не только освоите техники этичного взлома, но также познакомитесь с основами веб-верстки и SQL, программированием на Python, системным и сетевым администрированием Linux и Windows.
К концу обучения вы сможете находить уязвимые места ИТ-систем и предотвращать угрозы безопасности, используя разнообразные методы и инструменты хакинга. Плюс программы — фокус на практике: из 300 часов на нее приходится 120.
Длительность: 24 месяца.
Стоимость: ₽2 304 в месяц. Есть рассрочка и скидки.
Научитесь взламывать (HackerOne)
Звучит не очень законопослушно, но на самом деле бесплатный курс от HackerOne посвящен не «черному» взлому, а баг-хантингу. Курс разработан крупнейшим сообществом этичных хакеров, поэтому вы не только освоите принципы взлома, но также сможете присоединиться к коммьюнити на Discord и задать вопросы специалистам. Еще одна привлекательная особенность программы — практика в Capture the Flag (CTF) и участие в реальных хакерских соревнованиях.
Курс подойдет как практикующим хакерам, так и разработчикам, которые хотели бы устранить уязвимости собственных программ и систем.
Длительность: определяете сами.
Стоимость: бесплатно.
Профессия «Этичный хакер» (SkillFactory)
Курс от SkillFactory обещает меньше чем за год превратить человека, далекого от программирования, в профессионального пентестера. Программа обучения, созданная специалистами по информационной безопасности, довольно насыщенная и включает как изучение основ информационных технологий, так и специальных методологий и инструментов этичного хакинга, например, burp suite, mimikatz и powershell empire.
Весь курс разбит на шесть блоков, в которых рассматривается устройство ОС Linux и Windows, программирование на Python, Bash и SQL, пентест сетей (корпоративных, беспроводных), методы атак сайтов и ОС. Без практики тоже не обойдется. Она проходит в двух форматах: в первом вы участвуете в индивидуальных и групповых CTF-соревнованиях, а во втором — работаете на виртуальных стендах от Volga CTF.
К концу обучения студенты смогут уверенно тестировать различные системы, анализировать их степень защищенности, оценивать риски, идентифицировать и устранять уязвимости.
Длительность: 11 месяцев.
Стоимость: ₽6 250 в месяц. Есть скидки и рассрочка.
Тестирование на проникновение, ответ на инцидент и экспертиза (Coursera)
Вводный курс от IBM рассматривает основные этапы проведения пентеста, в том числе сбор данных и выбор подходящих инструментов. При этом вы научитесь не только находить угрозы, но и грамотно документировать находки — это полезный навык для штатного пентестера.
Курс входит в состав нескольких специализаций и профессиональных сертификаций от IBM, так что при желании можно расширить свои знания и получить сертификат специалиста по кибербезопасности.
Длительность: около 17 часов.
Рейтинг: 4.6.