Бесплатные занятия по InfoSec в Томске

    image Частично вдохновленный этим постом задумался, почему бы не сделать что-то похожее у себя в городе, добавив немного субкультуры и лайв-демонстраций различных атак.

    Итого было решено поделиться знаниями, организовав бесплатные занятия по InfoSec для всех желающих. Под катом программа занятий и подробности.
    Для тех, кто не из Томска — можете просто прокомментировать выбранные темы и возможно предложить свои.

    I. Атаки на веб-приложения и методы защиты
    	1) Cross-Site Scripting
    		Что такое XSS, виды XSS, их обнаружение; 
    		Пример внедрения сниффера и угона cookies;
    		Немного о фильтрах.
    		key words: post, get cookies, html, javascript, web-dev lang (php)
    
    	2) Cross-site request forgery
    		Пояснение идеи подделки межсайтовых запросов;
    		Почему POST так же легок, как GET, практический пример;
    		CSRF + passive XSS -> снова "угоним" cookies;
    		Защищаемся с помощью токенов.
    		key words: post, get, cookies, html(frame), javascript, web-dev lang (php)
    
    	3) Remote/Local File Inclusion
    		Пример уязвимого кода
    		LFI через логи/переменные окружения и др.
    		Нулл-байты
    		key words: web-dev lang (php)
    
    	4) SQL inj
    		SQL инъекции как следствие недостаточной фильтрации;
    		Последовательный разбор схемы внедрения произвольного запроса;
    		Отличие инъекций в разных БД;
    		Практика: от инъекции до произвольного выполнения команд на сервере.
    		key words: sql, php, unix
    
    	5) Denial of Service в веб-приложениях
    		Отличия DDoS от DoS;
    		DoS сервера БД через инъекцию, практический пример;
    		DoS веб-сервера;
    		DoS с помощью TCP-flood'инга (?).
    		key words: sql, tcp, RFC 2616
    		
    	6) Обзор софта
    		Сканеры брешей в веб-скриптах;
    		Утилиты для "раскрутки" sql-инъекций;
    		Дебаггеры, локальные прокси;
    		key words: web scanner, debug, proxy, sql
    		
    II. Сетевые атаки. Атаки на ОС
    
    	1) Ошибки конфигурации сетевого ПО и их использование
    	2) Эксплойты. Metasploit Framework (использование + автоматический эксплоитнг)
    	3) Повышение привелегий в системе
    	4) Снифинг, спуфинг. Man in the Middle
    	5) Сетевые черви, ботнеты. Немного о Stuxnet
    


    Пока расписал содержание только первой «главы» занятий, да и вообще, это пока наброски.
    Key words — это список ключевых терминов и понятий, о которых надо иметь хотя бы представление, иначе занятие будет лишь каким-то триллером с непонятным сюжетом.

    По содержимому курса: 60% практики, 40% теории / 70% атак, 30% защиты. Т.е. на каждом занятии будет лайв-демонстрация атаки или подробный скринкаст.
    • Не важен университет/возраст/пол/цвет кожи
    • Не надо нигде регистрироваться или подавать заявки
    • Не надо ничего никому платить
    На следующей неделе решится вопрос с местом проведения, скорее всего это будет корпус ФЭТ ТУСУРа, или СБИ «Дружба», в общем так или иначе район Южной. Если везде «обломается» (хотя очень маловероятно), то думаю попросим какую-нибудь компанию предоставить зал. Нужно только просторное помещение + проектор + желательно колонки.

    Планируемое время: где-то ~ с 5 ~ с 7 вечера по субботам, вести буду я. Конечно же, если есть желающие помочь в этом деле — пишите. Если все пойдет успешно, еще бы хотелось главу по reverse-инженерингу (Olly, IDA и т.д.)

    UPD1: Первое занятие состоится в эту субботу, в 15:00 в 106 аудитории СБИ «Дружба» (на Южной)
    Будет проектор + колонки + во всем СБИ есть wifi с внешкой, который тоже будет нужен для лайв-демонстраций. Возможно к реальным атакам будем подключать тех, кто придет.
    Вместимость около ~ 80 человек. Я не думаю, что придет больше) придет больше — принесем стулья :)
    P.S. Решается вопрос так же и с видео записью, думаю организуем. Есть желание помочь — буду рад.
    P.P.S. Чуть позже здесь же опубликую ссылку на сайт с централизованной информацией и актуальными новостями.

    UPD2: Просьба имеющим аккаунты ВКонтакте отметить свое присутствие тут: vk.com/event30194153, чтобы знать, сколько народу ожидать

    UPD3: oisd.sergeybelove.ru
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 33
    • 0
      Интересно, жду подробностей :)
      • +1
        Я буду приду, но сомневаюсь, что вы сможете вместить желающих если это новость получит распространение)
        • 0
          А на сколько часов рассчитан ваш курс?
          Будет ли вестись аудио/видео запись для возможности поделиться с жителями отдаленных регионов?
          • +1
            одна тема — одно занятие ~ 1,5-2 часа, думаю вполне реально, так как рассчитывается на тех, у кого есть уже хоть какие-то фундаментальные знания. В принципе все темы — это «сливки» и самое вкусное в выбранных технологиях.
            Записывать возможности нет. С техникой в принципе проблемы, у меня на данный момент нет даже ноутбука. Буду все время у кого-нибудь брать и коннектится по vlc/ssh до серверов для лайв демонстраций.
            • +1
              Думаю, что, если лекции будут по 3-4 часа (с перерывом), то вы сможете найти себе слушателей, к примеру, из Новосибирска =)
              • 0
                можете-можете) можем помочь с этим.
          • 0
            Так как я нахожусь далеко от Томска, возникает вопрос.
            Как можно получить запись происходящего или поприсутствовать на онлайн трансляции?

            Готов заплатить денежку.
            • +2
              не в деньгах дело абсолютно) мне личного профита в денежном или каким-либо в эквиваленте тоже не будет, не это мотиватор :)
              будет все успешно, возможно повторю в текстовом виде или виде скринкастов.
              • 0
                Понятно, что для тебя важнее поделится опытом, пообщается. Это здорово!
                Очень хочется побывать.
                Надеюсь, что будут скринкасты =)! Удачи!
            • 0
              Кстати в ТУСУРе хороший канал, стоит поговорить со всея-админом ТУСУРа, возможно будет и онлайн трансляция ;).
              • 0
                канал хороший, но насколько знаю тот же форум Innovus не мало отвалил денег за онлайн-трансляцию) сейчас бы просто аудиторию на месяц-другой с проектором выбить :)
                здесь просто студенческая (моя личная) инициатива и не более, никакой организации за мной.
                • 0
                  Ну я просто сообщил ;), админа сами найдёте, это не сложно, ТУСУР не так уж и велик ;).
              • 0
                Привет, Сергей! Я тоже хочу прийти, интересно будет пообщаться.
                • 0
                  привет! Обязательно будет корпоративная рассылка на эту тему. Завтра после 5 вечера буду решать вопрос с аудиторией, во вторник-среду думаю будут подробности.
                • 0
                  Мне интересно. В чём для Вас выгода?
                  • 0
                    Не всегда стоит искать выгоду.
                    Курс в некоторой степени уникален и мне это интересно.
                  • 0
                    Где следить за новостями? Хочу прийти.
                    • 0
                      до среды, максимум в четверг здесь будет указана точная дата и/или ресурс, где можно будет мониторить новости занятий.
                    • 0
                      Даже несмотря на то, что конкретно эти темы не слишком интересны — очень постараюсь прийти. Может, хоть какое-никакое программистское комьюнити появится…
                      • 0
                        Есть желение посещать. Жду новостей.
                        • 0
                          Обязательно приду.
                          • +1
                            Может быть хоть кто-то из комментирующих хабралюдей, обещавших прийти, посодействует автору видео аппаратурой? Было бы очень много благодарных. И по-моему автору всё таки стоит повесить где-то кнопку Donate. Не смотря на то, что денег он не хочет, возможно собранные средства помогут ему с помещением или той же аппаратурой.
                            • 0
                              с видеосъемкой было бы да, интересно помочь :)
                              Донат может после занятий. Сначала — дело.
                            • +4
                              Помог вопрос решить университет :-)
                              Первое занятие состоится в эту субботу, в 15:00 в 106 аудитории СБИ «Дружба» (на Южной)
                              Будет проектор + колонки + во всем СБИ есть wifi с внешкой, который тоже будет нужен для лайв-демонстраций. Возможно к реальным атакам будем подключать тех, кто придет.
                              Вместимость около ~ 80 человек. Я не думаю, что придет больше) придет больше — принесем стулья :)
                              P.S. Решается вопрос так же и с видео записью, думаю организуем.
                              P.P.S. Чуть позже здесь же опубликую ссылку на сайт с централизованной информацией и актуальными новостями.
                              • 0
                                Наблюдаю внимательно за этим. Мы у себя тоже организуем нечто подобное, только для команды из 10 человек. Ваш опыт может помочь и нам расшириться.
                                В любом случае полезное дело это :)
                                • +1
                                  Буду рад поделиться опытом, как только у нас начнутся занятия :)
                              • 0
                                нетбук+веб-камера+ ustream или youtube live — можно как так )
                                • 0
                                  Если реально кто-то готов помочь с этим — буду рад, так как у меня нет ни нет/ноут бука, а время до конца недели забито другими делами.
                                  • 0
                                    Есть web-камера Logitech HD webcam C510. Не фонтан, но могу предложить на мероприятие.
                                    • +1
                                      по сравнению с моей Logitech webcam C200, прямо горяченький гейзер!
                                • 0
                                  Хм, может филиал сделать в своем городе?
                                  • 0
                                    было бы интересно.
                                    Читал, кстати, Ваш блог ;]
                                  • 0
                                    Сайт для занятий: oisd.sergeybelove.ru/
                                    Событие на hh: habrahabr.ru/events/118/

                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.