Podczas tego PIĘCIOGODZINNEGO (!)szkolenia uczestnicy dowiedzą, jak wykorzystać Pythona do przeprowadzenia prawdziwego ataku, jak zautomatyzować exploitację wybranych podatności, poznają podstawowe biblioteki, które są wykorzystywane w pracy hakera. A całość zostanie dopełniona eksploitem, który został napisany w trakcie prawdziwego ataku na jedną z aplikacji.
Uwaga!
Szkolenie dostępne jest również w ramach Sekurak Academy 2023! Zamawiając dostęp do akademii, automatycznie zapisujesz się na to szkolenie oraz dostajesz dostęp do kanału na Discordzie, gdzie znajdziesz dziewięć szkoleń w formie zapisu video oraz dostęp do dziewięiu kolejnych szkoleńa "na żywo", które odbędą się do końca tego roku.
Czego dowiesz się podczas szkolenia
- Nauczysz się podstaw Pythona, które pozwolą Ci hackować prawdziwe aplikacje webowe.
- Zaznajomisz się z najbardziej przydatnymi bibliotekami takimi jak: Scapy, Requests, PyCrypto oraz wiele więcej.
- Stworzysz swoje narzędzie AdHoc do szybkiej automatyzacji i łatwego wykorzystywania podatności.
- Stworzysz pełnoprawne narzędzie z wieloma parametrami, którym będziesz mógł się pochwalić na GitHubie.
Co powinieneś wiedzieć przed szkoleniem
- Mieć podstawową znajomość protokołów sieciowych,
- Znać podstawowe klasy podatności (np. SQL Injection, Insecure Deserialization, Oracle Padding Attack, Dependency Confusion).
Do kogo skierowane jest szkolenie
- Szkolenie jest skierowane do osób zaznajomionych z podstawami programowania oraz podstawowymi klasami podatności.
- Warto, żeby uczestnik również posiadał wiedzę nt. działania sieci.
Agenda
1. Wprowadzenie do programowania w Pythonie z wykorzystaniem Jupyter’a (szacunkowo 1h)
a. Poznasz składnię Python’a.
b. Dowiesz się czym są zmienne oraz poznasz operacje na nich.
c. Zgłębisz wyrażenia warunkowe, pętle oraz funkcje.
d. Będziemy operować na plikach.
e. Poznasz dobre praktyki.
2. Tworzenie użytkowych narzędzi do badania bezpieczeństwa (szacunkowo 1,5h).
a. Omówimy scrappowanie stron z Requests vs Selenium.
b. Zbudujemy prosty skaner sieci i podatności z użyciem biblioteki Scapy oraz Selenium.
c. Zautomatyzujemy eksfiltrację danych za pomocą podatności Blind SQL Injection.
d. Przyspieszymy eksploitację Insecure Deserialization w Javie.
e. Przeprowadzimy atak na customowy algorytm hashowania z PRAWDZIWEGO pentestu!
f. Omówimy atak typu Dependency Confusion w menedżerze pakietów PIP.
Przydatne informacje
- Jeżeli chcesz aktywnie uczestniczyć w szkoleniu będziesz potrzebował następujących narzędzi:
- Czysty Kali Linux,
- Python 3,
- Jupyter Notebook,
- Burp Suite Community Edition.
Co zawiera cena szkolenia
- Dostęp do nagrania ze szkolenia przez 60 dni
- Certyfikat uczestnictwa (PDF) dla osób, które kupiły bilet z certyfikatem lub wsparły wydarzenie min. kwotą.
O prowadzącym
Mateusz Lewczak to doświadczony programista, zainteresowany niskopoziomowymi aspektami Security, w wolnym czasie wykorzystuje swoją kreatywność do tworzenia hackerskich narzędzi.
Pierwsze kroki stawiał już w wieku 10 lat, gdy pisał własne gry w C++. Wielokrotnie nagradzany za wybitne osiągnięcia w nauce (w tym Stypendium Prezesa Rady Ministrów).
Obecnie Konsultant ds. bezpieczeństwa IT w firmie SECURITUM, członek międzynarodowego instytutu IEEE zrzeszającego ambitnych specjalistów ze świata IT oraz prelegent na ostatnim Mega Sekurak Hacking Party.