Hacking i cyberbezpieczeństwo ONLINE

Wprowadzenie do świata zabezpieczeń, pokazanie możliwości komputera i systemu operacyjnego dzięki którym można zrobić coś więcej niż grać i przeglądać internet i zrozumieć jak działa system operacyjny.

Social Engineering to ciekawy temat, przy minimum umiejętności technicznych jesteśmy w stanie włamywać się do miejsc i komputerów grzecznie o to prosząc. Mistrzem Social Engineeringu w zakresie hakowania jest Kevin Mitnick i poznamy “jak on to robił że ludzie sami oddawali mu hasła”

Dobry wirus to taki, który siedzi w ukryciu i ciężko go znaleźć, aby trudniej było by się go pozbyć. Omówimy tzw. trybie Invisible w systemie operacyjnym, żeby nie było widać w ogóle, że nasza aplikacja jest uruchomiona! Dodatkowo przedstawimy atak typu Folder i File Floading..

Omówienie ataków sieciowych DOS i DDOS - od podstaw, aż po konsekwencje, które są spowodowane, gdy nasza sieć jest atakowana. Na lekcji zostanie przedstawione w praktyce jak się wykonuje takie ataki oraz sposoby na obronę przed DDOS.

Phishing to bardzo niebezpieczny atak na użytkownika, aby ukraść dane. Jakie dane zostają przechwycone przez włamywacza? Tego uczeń się dowie na lekcji o Phishingu oraz dlaczego jest on taki niebezpieczny. Na zajęciach zostanie przygotowana również aplikacja desktopowa imitująca atak phishingowy.

Na tej lekcji zostanie przedstawiony język HTML, który służy do tworzenia stron internetowych. W trakcie zajęć popatrzymy na tworzenie stron z punktu widzenia osoby zajmującej się bezpieczeństwem oraz wykorzystany zostanie do stworzenia niebezpiecznej strony internetowej.

Javascript oraz CSS to nieodłączny partner języka HTML przedstawionego na lekcji 6. Dzisiejsza lekcja zostanie podzielona na 2 części - krótsza związana z CSS gdzie spróbujemy wykonać kopie panelu ucznia oraz dłuższa związana z Javascriptem i jego możliwościami których znajomość bardzo mocno się przydaje w świecie bezpieczeństwa.

Uczniowie wykorzystają wiedzę z wcześniejszych lekcji do stworzenia strony klona wybranej strony internetowej (np. Discord) wzbogaconej nie tylko o warstwę wizualną (tzw. frontend) ale także logikę aplikacji aby dokonać ataku na nieświadomego użytkownika.

Techniczna lekcja przedstawiająca tematy korzystania sieci i w jaki sposób można to robić bardziej świadomie i bezpiecznie oraz wprowadzić do zagadnienia z alternatywnymi sieciami które są ukryte.

Bezpieczeństwo haseł to kluczowa sprawa - na tej lekcji uczeń w praktyce się dowie dlaczego to jest takie ważne i jak to jest realizowane aktualnie.

Przed przystąpieniem do ataku, trzeba zrobić rekonesans, czyli dowiedzieć się jak najwięcej o naszym celu - do tego celu mamy wiele technik, ale także oprogramowania, które się do tego przydają. Dodatkowo zainstalujemy drugi system operacyjny - linux.

Łamanie haseł to trudne, ale ciekawe zajęcie. Mając odpowiednią wiedzę, technikę i oprogramowanie, możemy znacząco ułatwić sobie ten proces. Podczas lekcji poznamy oprogramowanie, różne techniki łamania haseł oraz dodatkowo wykorzystamy kali linux-a.

Omówienie ataku sieciowego, który utrudnia korzystanie z danego komputera lub serwera przez co inni użytkownicy mają problem. Na zajęciach dowiemy się, dlaczego tak się dzieje i jakie oprogramowanie możemy do tego wykorzystać, które znajdziemy w Kali Linux.

Wiesz co to jest Keylogger lub domyślasz się co to może być? Podczas tej lekcji, sam napiszesz swojego keyloggera! Omówimy jak i dlaczego działa oraz przedstawimy trochę historii keyloggera (ciekawej!). Dokładniej jak powstał keylogger, jak się rozwijaja, a także zaprezentujemy kilka ciekawych pomysłów na wykorzystanie keyloggera.

Na zajęciach zapoznamy się z tematem dostępu do komputera, które są od nas oddalone lub po prostu nie mamy do nich klawiatury i myszki. Jest kilka sposobów na dostanie się do takiej maszyny a na dzisiejszej lekcji omówimy ten temat i rozwiążemy problem uzyskiwania dostępu.

Jest takie powiedzenie żeby nie kupować kota w worku, ponieważ nigdy nie wiemy co dostaniemy i jest to dla nas zagadką zupełnie jak hacking, który zawsze jest dla nas niespodzianką i możemy znaleźć bardzo wiele ciekawych rzeczy - lekcja ta jest zaproszeniem do pogłębienia ataków szczególnie na aplikacje webowe i przygotowaniem się pod rozwiązywanie hackingowych zadań.

W nowoczesnych stronach internetowych prócz klasycznej komunikacji przez protokół HTTP występuje coś jeszcze. Tak naprawdę mało kto wie że wiele stron korzysta z dodatkowego mechanizmu który jest nazwany WebSocketem. A do czego go wykorzystamy i jak go można shakować? Tego dowiesz się w dzisiejszej lekcji. Pokażemy też realne zadanie z rekrutacji na Pentestera.

Nadszedł czas wykorzystania zdobytej wiedzy, ale także poznania czegoś nowego i zaproszenia do kontynuowania przygody jako etyczny haker! W dzisiejszej lekcji staniemy przed wyzwaniem jakim są strony z zadaniami które są… różne i z wielu bardzo interesujących tematów.

Omówimy na lekcji techniczne aspekty sposobów ukrywania aplikacji w innych aplikacji, jak to w ogóle działa i jak jest takie oprogramowanie napisane. Na lekcji napiszemy aplikację która zostanie ukryta np w popularnym czytniku plików PDF.

Temat na pierwszy rzut oka wydaje się bardzo skomplikowany i nic nam nie mów. Jest to jedna z metod optymalizacji i przyśpieszania działania kodu pisanego przez programistów, ale także niestety wykorzystywana przez przestępców do utrudnienia analizy kodu wirusa i spowodowaniu, że jest dla oprogramowania antywirusowego nieczytelny (zaciemniony).

Ransomware to jedno z najgroźniejszych zagrożeń w bezpieczeństwie IT. Na lekcji przedstawimy dlaczego jest najgroźniejsze i napiszemy mechanizm, który jest ukryty w każdym ransomeware.

Internet to największa sieć komputerów jaka kiedykolwiek powstała i cały czas rośnie. Podczas zajęć dowiesz się jak to się dzieje, że po wpisaniu strony www.giganciprogramowania.edu.pl trafiasz na odpowiednią stronę. Poznasz całą drogę jaką przebywa twoje żądanie o wyświetlenie strony oraz jak to się dzieje, że przestępcy coś takiego próbują modyfikować i atakować różne elementy tej układanki.

"Ta strona wykorzystuje pliki cookies…" Na tej lekcji omówimy, dlaczego każda strona informuje nas, że używa plików cookie, dlaczego taki komunikat nam się pojawia na stronie, czy pliki cookie są faktycznie tak bardzo niebezpieczne. Ps. Cookie są bezpieczne… no chyba, że ktoś wie jak je ukraść i wie co dalej z nimi zrobić, a to zostanie pokazane na lekcji.

“Bardzo dziurawa aplikacja webowa” - Przedstawienie aplikacji do ćwiczenia (bezpiecznego!) ataków na aplikacje webowe. Zastosowanie wiedzy praktyce i omówienie różnych podatności, które mogą zostać wykryte w stronach i aplikacjach webowych.

Każdy programista czasami popełnia błędy, niektóre są kosztowne jak np. XSS. Uczeń wykorzysta dziurę w oprogramowaniu

Zaawansowane strony "www" korzystają z baz danych do przechowywania treści, a programiści popełniają błędy, które pozwalają na dostęp do bazy bezpośrednio, a przez to do rzeczy, które powinny pozostać ukryte przed zwykłym użytkownikiem.

W aplikacjach webowych powyższa podatność ma 10 na 10 w skali “problematyczności” tzn. Remote code execution (zdalne wykonanie kodu na serwerze) to jest najgorszy błąd jaki może być w aplikacji - uczniowie przećwiczą jak to działa i dlaczego.

Czy potrafisz wymyślić bezpieczne hasło, które jest łatwe do zapamiętania? Jakie hasło jest bezpieczniejsze - TrudneHasloDoZapamietania czy może P@ssw0rd1!@# ? Z tej lekcji dowiesz się i zrozumiesz jak są łamane hasła różnymi metodami a przez to jak bezpiecznie korzystać i zarządzać hasłami.

Posłuchamy co się dzieje w sieci czyli o podsłuchiwaniu sieci komputerowych oraz o różnych technikach Sniffingu i Spoofingu, tak aby móc otrzymywać informacje, które nie są dla nas przeznaczone.

Celem lekcji jest poznanie metody ataku hakerskiego DNS Spoofing

Internet - idąc z duchem czasu zabezpiecza i szyfruje komunikację pomiędzy komputerem, a serwerem, tak aby pośrednicy nie mogli dowiedzieć się co jest aktualnie przesyłane. Na poprzedniej lekcji omówiliśmy techniki na przejęcie ruchu sieciowego, ale teraz jak to odszyfrować? W tym pomoże nam atak MITM ale to tym więcej na lekcji…

Wifi to ciekawy przykład rozwoju technologii i sposobu dostarczania Internetu. To też nowe możliwości na ataki i podsłuchiwanie. Podczas zajęć zostaną omówione dokładnie metody zabezpieczenia sieci oraz jak zrobić trudny niepowołany dostęp. Przedstawimy błąd w implementacji pewnej funkcji, która pozwala na dostęp do sieci w max 10 min.

Dużo korzystacie ze smartphone? Podczas zajęć będziemy analizować jak można dostać się do aplikacji mobilnej i sprawdzić co ma w środku oraz jak działa - podglądniemy kod źródłowy aplikacji na androida i postaramy się zapoznać z różnymi narzędziami tak, aby taką aplikacją rozłożyć na części pierwsze.

Jest robota do zrobienia - dzisiaj wykorzystamy wiedzę z zakresu sieci, wirtualnych maszyn, łamania haseł tak aby zdobyć dostęp do komputera, który czeka na zdobycie. Przejdziemy przez proces analizy wirtualnej maszyny, która została dostarczona i sprawdzimy co da się zrobić żeby uzyskać dostęp.

Kali linux ma wbudowane wiele ciekawych narzędzi które są używane przez pentesterów, ale najciekawsze zawsze pozostawiamy na koniec i jest tym pakiet (framework) metasploit który ma bardzo duże możliwości i swego czasu absolutnie wystarczał do zrobienia z komputerem praktycznie wszystkiego - Windows, Linux czy MacOS nie był dla niego problemem…

Pakiet Metasploit jest bardzo obszerny i zawiera w sobie bardzo wiele ciekawostek, ale też dodatki pisane przez społeczność. Podczas zajęć poznamy 2 nowe elementy metasploit - msfvenom do przygotowania w łatwy sposób payloadów aby łatwo się włamać oraz armitage, który pozwoli nam na łatwiejsze zarządzanie procesem ataku.

Na zajęciach zapoznamy się z konceptem „Capture the flag”. Uczniowie dowiedzą się gdzie można ćwiczyć i rozwijać swoją wiedzę na gotowych zadaniach bezpiecznie i co najważniejsze LEGALNIE.

Przedstawienie narzędzia do ułatwiania analizy i szukania podatności. Znajdziemy podatności, które pozwolą nam na przeprowadzenie nieautoryzowanych operacji. A to wszystko przy pomocy Burp Suite Community

Przeprowadzimy prawdziwy test bezpieczeństwa aplikacji webowych. Znajdziemy podatności, które pozwolą nam na przeprowadzenie nieautoryzowanych operacji. A to wszystko przy pomocy Burp Suite Community

Dokonamy analizy kodu źródłowego aplikacji jedynie przy użyciu przeglądarki oraz narzędzi w nią wbudowanych.

Poznamy mechanizm bezpieczeństwa obecny w popularnych przeglądarkach internetowych. Sprawdzimy jak wdrożyć CSP w nagłówkach HTTP oraz bezpośrednio w kodzie HTML.

Zapoznamy się z podstawowym mechanizmem obrony przeglądarek (SOP) oraz poznamy powody na których CORS jest nam potrzebny. Spróbujemy również obejść oba te zabezpieczenia.

Na lekcji zapoznamy się ze sposobami na pozyskiwanie informacji różnego typu o danym systemie.

Podczas tej lekcji wiedza z zakresu XSS zostanie rozszerzona i poznamy XSS DOM oraz przećwiczymy realne przykłady błędów typu reflected, stored a także DOM w praktyce.

Celem lekcji jest przypomnienie i rozszerzenie wiadomości z SQL Injection i poznanie nowych technik wyszukiwania tej podatności w aplikacjach webowych. Podczas zajęć wykorzystujemy platformę szkoleniową PortSwigger.

Uzyskamy niekontrolowany dostęp do plików oraz katalogów, do których nie powiniśmy mieć dostępu. Będziemy manipulować ścieżka dostępu poprzez dodawanie odpowiednich ciągów znaków.

Celem lekcji jest praktyczne wykorzystanie umiejętności znanych z terminala i wiersza poleceń w celu testowania bezpieczeństwa aplikacji webowych czyli tzw. Path traversal.

Lekcja dotyczy zabezpieczenia dostępu do zasobów (np. plików lub podstron) przed niepowołanym dostępem lub nieodpowiednimi prawami dostępu. Drugim celem lekcji jest poznanie OAuth2.0 i wyjaśnienie jak działa logowanie np “przez Google”