Egy vállalati rendszer érzékeny, értékes adatokat tartalmaz. Ha ezek rossz kezekbe kerülnek akár a cég csődjéhez is vezethetnek. De hogyan juthatnak rossz kezekbe? Mit csinál egy hacker, hogy hozzáférést szerezzen a céges hálózathoz és egy abban futó belső rendszerhez?

Amikor egy alkalmazás nem megfelelően ellenőrzi a kapott adatokat és azt felhasználja adatbázis kéréseknél támadási felületet ad. Ezek sokszor nem triviális hibák és a kihasználásuk sem könnyű, de egy jó hacker számára nem jelent problémát. Ahhoz, hogy ezeket elkerüld ismerned kell a támadási módszereket. A képzésen ehhez kapsz gyakorlati segítséget.

Az SQL-injection (SQLi) támadás egyszerre veszélyezteti a működést és az adatvédelmet. A támadó törölhet és módosíthat adatokat, hozzáférést szerezhet a rendszerhez, vagy személyes adatokat gyűjthet, ami súlyos GDPR incidenshez is vezethet.

A Metapsloit Framweork (MSF) megkerülhetetlen, ha etikus hackerként sérülékenységeket szeretnél keresni és validálni. Az ismerete mindenhol elvárás. A képzésen elsajátítod MSF az alapszintű használatát, így képessé válasz a sérülékenységek vizsgálatára.

A gyakorlati képzésen megtanulsz átjutni a webalkalmazások védelmén adatrejtéssel (steganography, obfuscation) és a feltöltési folyamatok, a feltöltött fájlok ellenőrzésének kijátszásával. A támadók trükkjeinek megértése nagy segítség a saját rendszered biztonságának növeléséhez.

A VirtualBox gyorstalpaló képzésen elsajátítod a VirtualBox használatát, hogy össze tudj rakni zárt tesztkörnyezeteket, melyben ki tudsz próbálni új megoldásokat és el tudsz végezni kockázatos teszteket, melyek után nagy előny az azonnal visszaállítható előző állapot.

A képzésen megtanulod hogyan lehet rávenni egy nem kellő odafigyeléssel elkészített webalkalmazást helyi- (akár a támadó által feltöltött) vagy távoli fájl beolvasására és végrehajtására.

A Balck Hat Project képzésen profi bankrablók, hírszerzők és más fekete kalapos hackerek eszköztárába kapsz betekintést. Lesz szó Social Engineeringről, Shadow IT-ról (árnyékinformatikáról) és az Open Source Intelligence-ről (OSINT) is.

A webalkalmazások munkamenetei (session) egy hasznos dolog, de jelentős támadási felületet is nyújt a hackereknek. A képzésen a session működését és a lehetséges támadásokat (sütik megszerzése és használata, Cross Site Request Forgery) ismered meg. A gyakorlat segítségével megérted a támadás kivitelezhetőségének okait és módszereit, így jobban fogsz tudni védekezni ellene.

Az XSS (Cross Site Scripting) sérülékenység igen gyakori hiba és veszélyes támadási forma. A kihasználásával idegen kódot lehet juttatni a weboldalba, mely a látogatók böngészőjében kerül végrehajtásra.

A képzésen az XSS működését, lehetséges okait, valamint a konkrét sérülékenységek felderítését és kihasználását tanulod meg.

A webalkalmazások authentikációs felületének biztonsági vizsgálata képzésen megismerkedsz a “server based” és “form based” authentikációk működésével és támadásának lehetőségeivel. Képet kapsz a Burp és a ZAP beépített automatizált vizsgálati lehetőségeiről, megtanulod használni az “Intruder” a “Fuzzer” modulokat, valamint elsajátítod az alapvető kriptográfiai műveletek elvégzését lehetővé tévő funkciók használatát.

A képzésen elsajátítod a PortSwigger Burp Suite és az OWASP Zed Attack Proxy (ZAP) gyakorlati használatának alapjait. A Burp iparági sztenderd, ha a manuális vizsgálatokról van szó, míg a ZED egy kiváló nyílt forrású alternatíva, mely egyesíti a korábban önálló OWASP projekteket.

A képzésen elsajátítod a sérülékenységek felderítésének és kihasználásának alapjait. Megtanulod az oldalak bejárást, tartalmak megszerzését és az így szerzett információkkal egyszerű támadások kivitelezését.

A gyakorlati képzésen a forgalom vizsgálatán keresztül megérted hogyan kommunikálnak az alkalmazások HTTP-n keresztül, miként lehet ezeket manipulálni és hogyan használd a parancssori alkalmazásokat weboldalak biztonsági vizsgálatához. Megismerkedsz olyan tipikus sérülékenységek és támadási formák alapjaival mint a crawler, spider, directory bruteforcing, code injection és cross site scripting.

A képzésen elsajátítod a netcat és az ncat használatát az egyszerű sérülékenység-vizsgálattól a fake szerverek létrehozásán át a backdoor és malware készítésig.

A képzésen megismered a rejtett SSID felfedését, megérted miért nem ér semmit a WEP, milyen módszerekkel törhető a WPA, WPA2, WPA3 és miért jelent problémát az olcsó eszközökben lévő WPS.

A képzésen megtanulsz WiFi hálózaton szolgáltatáselterelést-, megtévesztést- és szolgáltatás-megtagadást kivitelezni.

A vezeték nélküli hálózat biztonsági kockázatai képzésen megismerkedsz a WiFi támadhatóságának okaival és a technikai működésének alapelveivel, valamint elsajátítod a biztonsági ellenőrzés lépéseit és tippeket kapsz a biztonság növelésére.

A képzésen elsajátítod a WiFi infrastruktúrák technológiai alapjait és azok auditálását, monitorozását az aircrack-ng, airmon-ng és airodumo-ng alkalmazások használatával.

A képzésen a Wireshark és a tcpdump haladó használatát sajátítod el. Összetett példákon keresztül ismerkedsz meg ezen eszközök használatával, hogy – amikor neked kell velük dolgozni – tudd mit és hogyan csinálj.

A hálózati forgalom gyűjtése és elemzése Wireshark használatával képzésen konkrét feladatok megoldásán keresztül ismerkedsz meg a Wireshark használatával. A tanultak segítségével képes leszel megszerezni és elemezni minden forgalmat, amit a géped “hall”.

Az NMAP tippek és trükkök hackereknek képzésen számos, a profi hacker tárházából kihagyhatatlan funkció gyakorlati használatával ismerkedsz meg.

A sérülékenységvizsgálat nem áll meg a hálózat- és a szolgáltatások felderítésénél. Igazából ezt követően jön a lényeg: ezek vizsgálata, más néven a “penetration test”. Ennek hatékonyan elvégzéséhez ismerned kell az elvi alapokat és pár, az automatizált vizsgálathoz megkerülhetetlen eszközt. A …

Az NMAP haladó használata képzésen újabb szkennelési metódusok, a TCP-n túl további protokollok (UDP, IP, SCTP, stb) mentén végzett vizsgálatok és az nmap beépített scriptjeinek (NSE) használatát tanulod meg. Néhány nem feltétlenül evidens gyakorlati példa, hogy megnézzünk pár dolgot ami …

Az NMAP a hálózat- és szolgáltatás felderítés alapvető eszköze. Segítségével gyorsan jutunk információkhoz: megmondja milyen eszközök érhetők el a hálózatban és azokon milyen szolgáltatások vannak. Kiváló eszköz hibakereséshez és a penteszthez is. Az NMAP használatának alapjai képzésen ennek a szuper …

A sikeres hack megvalósításának egyik kulcsfontosságú lépése a felhasználó forgalmának megszerzése. Ennek egyik módja a középreállásos (MITM) támadás. A képzésen a man-in-the-middle támadás több kivitelezési módját is megismered: ARP poisoning, hálózati forgalom elterelése, felhasználók kéretlen kiszolgálása, DNS spoofing. Megmutatjuk azt …

A sérülékenységvizsgálat egyik fontos eleme megnézni, hogy milyen titkosítatlan adatok mozognak a hálózatban. Ezek a súlyos kockázatot jelentő adatok nekünk, etikus hackereknek sokszor kulcs a további, jobban védett infrastruktúrák támadásához egy vizsgálat során. A képzésen megnézzük, hogyan vadászhatjuk le a …

Itt az ideje, hogy felderítsük, megvizsgáljuk, igazoljuk és adott esetben kihasználjuk az infrastruktúrákon fellelhető szolgáltatásokat és azok sérülékenységeit. A korábbiakhoz képest gyakorlatilag szintet lépünk, és nézelődő “auditorból” a fellelhető eszközök és szolgáltatások után szaglászó, a sebezhetőségeket kereső “etikus hackerré” válunk, …

“Persze, miért pont engem hekkelnének meg…?” – “A cégnél az ájtísok megoldják…” – …és még hosszan sorolhanánk a sajnálatos közvélekedést. Ingyenesen elérhető – és egyben figyelemfelkeltőnek is szánt – tananyagunkban épp ezeket fogjuk egyszerűen, és mégis erőteljesen cáfolni. Mindezt egy …

Az etikus- és nem etikus hackerek minden pillanatban azon dolgoznak, hogy teszteljék informatikai rendszereink biztonságát. Ki-ki saját szemszögéből tekintve le azokra. Mára egy komplex IT- és információbiztonsági szakmarendszer épült fel az infrastruktúrák és az adatok védelmére, melyben együtt dolgozik biztonsági …

A vállalatok azzal bízzák meg az etikus hackereket, hogy betörjenek a számítógépeikbe, hálózatukba vagy eszközeikbe, hogy teszteljék a szervezet védelmét. A sérülékenység vizsgálatot elvégző szemszögéből nézve az aktuális védelmüket teszteled. Lehetőséget adva arra, hogy kijavítsák az általad feltárt hibákat és …