Professione Hacker etico - corso RUB 151.200. da SkillFactory, formazione 12 mesi, data 13 agosto 2023.

1 blocco (0,5 mesi)
Introduzione al pentesting

Introduzione ai problemi e alla metodologia

2 blocchi (1 mese)
Programmazione e scripting

Programmazione Python
Contenuto:
• Concetti base di Python. Funzioni, variabili
• Automazione in Python
• Scriviamo un brute forcer e un keylogger in Python

Programmazione web
Contenuto:
• Nozioni di base sulla programmazione web e attacchi ai sistemi di gestione dei contenuti
•HTML e CSS. Nozioni di base su JavaScript
• Nozioni di base su PHP e XAMPP

SQL e lavorare con i database
Contenuto:
• Database relazionali e non relazionali. Installazione e progettazione di database
• Scansione del database. Attacchi ai database. SQLi

3 blocchi (1,5 mesi)
Test di penetrazione

Nozioni di base sul pentest sul web
Contenuto:
• Metodologia e software per web-pentest
• Utilizzando BurpSuite
• Dispositivi e app per facilitare il lavoro

Attacchi lato client
Contenuto:
• Vulnerabilità lato client: XSS, CSRF, CSP
• Effettuare attacchi lato client sul web
• Contrastare gli attacchi lato client

Attacchi lato server

Contenuto:
• Vulnerabilità lato server
• Errata configurazione della sicurezza. Inclusione di file locali. Esecuzione del codice remoto
• Inquinamento dei parametri HTTP, inserimento CRLF
• Iniezione SQL, iniezioni di modelli

4 blocchi (2,5 mesi)
sistema operativo

Sistema operativo Linux
Contenuto:
• Introduzione all'amministrazione e all'architettura di Linux
• Gestione dei pacchetti
• Bash e scripting
• Controllo della sicurezza nel sistema operativo Linux. Raccolta di log e informazioni
• Reti Linux. Servizi di rete. Principi di costruzione della rete, filtraggio del traffico, instradamento

Sistema operativo Windows
Contenuto:
• Introduzione all'amministrazione e all'architettura di Windows
• Directory attiva. Autenticazione e raccolta dati
• Attacchi di spostamento laterale: Passa l'hash, Oltrepassa l'hash. Passa il biglietto
• Attacchi ai servizi di rete
• Firewall, sua configurazione e bypass
• Amministrazione tramite Powershell. Powershell per il pentest

5 blocchi (1 mese)
Reti

Base delle reti
Contenuto:
• Fondamenti di rete TCP/IP. Protocolli di rete di base
• Ricerca sul traffico di rete. Strumenti per il rilevamento di intrusioni e fughe di dati
• Attacchi alle apparecchiature di rete. Attacchi alla rete MITM. Spoofing

Test della rete wireless
Contenuto:
• Attacchi alle reti wireless. Metodologia, attrezzature
• Attacchi al WPS, intercettazione dell'handshake. Misure per contrastare gli attacchi
• Bluetooth, GSM, RFID
• CTF: Competizione a squadre per attacchi e protezione di server e reti virtuali

6 blocchi (3 mesi)
Test di penetrazione della rete

Pentest per reti aziendali
• Raccolta di informazioni attiva e passiva. Scansione delle vulnerabilità
• OSINT, applicazioni, risorse, framework OSINT
• Nozioni di base sulle applicazioni dannose. Metodi per rilevare applicazioni dannose
• Rilevamento bypass
• Attacchi di forza bruta. Modalità per la loro realizzazione
• Contrastare gli attacchi su rdp e ssh, predisponendo un accesso sicuro
• Port forwarding e tunneling durante il pentesting (Port Redirection e Tunneling)
• Nozioni di base per lavorare con il framework Metasploit. Vulnerabilità popolari
• Automazione nel framework Metasploit
• Utilizzo del framework Powershell Empire per generare payload e sfruttarlo

Progetto finale
Contenuto:
• CTF: test black-box