Отношения никакого к занятиям не имею. Это просто репост темы
http://habrahabr.ru/blogs/infosecurity/128170/ Подробности смотрите там.
I. Атаки на веб-приложения и методы защиты
1) Cross-Site Scripting
Что такое XSS, виды XSS, их обнаружение;
Пример внедрения сниффера и угона cookies;
Немного о фильтрах.
key words: post, get cookies, html, javascript, web-dev lang (php)
2) Cross-site request forgery
Пояснение идеи подделки межсайтовых запросов;
Почему POST так же легок, как GET, практический пример;
CSRF + passive XSS -> снова "угоним" cookies;
Защищаемся с помощью токенов.
key words: post, get, cookies, html(frame), javascript, web-dev lang (php)
3) Remote/Local File Inclusion
Пример уязвимого кода
LFI через логи/переменные окружения и др.
Нулл-байты
key words: web-dev lang (php)
4) SQL inj
SQL инъекции как следствие недостаточной фильтрации;
Последовательный разбор схемы внедрения произвольного запроса;
Отличие инъекций в разных БД;
Практика: от инъекции до произвольного выполнения команд на сервере.
key words: sql, php, unix
5) Denial of Service в веб-приложениях
Отличия DDoS от DoS;
DoS сервера БД через инъекцию, практический пример;
DoS веб-сервера;
DoS с помощью TCP-flood'инга (?).
key words: sql, tcp, RFC 2616
6) Обзор софта
Сканеры брешей в веб-скриптах;
Утилиты для "раскрутки" sql-инъекций;
Дебаггеры, локальные прокси;
key words: web scanner, debug, proxy, sql
II. Сетевые атаки. Атаки на ОС
1) Ошибки конфигурации сетевого ПО и их использование
2) Эксплойты. Metasploit Framework (использование + автоматический эксплоитнг)
3) Повышение привелегий в системе
4) Снифинг, спуфинг. Man in the Middle
5) Сетевые черви, ботнеты. Немного о Stuxnet
На следующей неделе решится вопрос с местом проведения, скорее всего это будет корпус ФЭТ ТУСУРа, или СБИ «Дружба», в общем так или иначе район Южной. Если везде «обломается» (хотя очень маловероятно), то думаю попросим какую-нибудь компанию предоставить зал. Нужно только просторное помещение + проектор + желательно колонки.
Планируемое время: где-то ~ с 5 ~ с 7 вечера по субботам, вести буду я. Конечно же, если есть желающие помочь в этом деле — пишите. Если все пойдет успешно, еще бы хотелось главу по reverse-инженерингу (Olly, IDA и т.д.)
