# Интенсив ## Author ### About me Security specialist, Application security expert, netWorker, hardWorker, hackWorker. ### My skills * Web application security analysis (BlackBox, GrayBox, WhiteBox) * Security Analysis of mobile applications Android, iOS (BlackBox, GrayBox, WhiteBox) * Network technologies * Development and creation of tasks for CTF tournaments * Docker infrastructure (docker / docker-compos) * Code analysis (PHP, Python, Java, C #) * Windows / Linux security * Development of software products for the automation of work in the tasks of security analysis * Preparation of reports and recommendations to improve the level of information security * Conduct a security analysis using social engineering methods * and so on. ### Links Telegram: @empty_jack Telegram Channel: @YAH_Channel E-mail: empty.jack@yandex.ru Corp: e.bogomolov@hackeru.com ### Certificates Offensive Security Certified Professional (OSCP) ### Work experience Positive Technologies | InfoSec.ru | Bi.Zone | Wallarm ## Хакинг ### Проявления деятельности хакеров **Чем они занимаются?** - Добро - Зло **Кому это нужно?** - Зло - Добро (Защита от проявлений зла) **Какие бывают хакеры?** - Криптография - Веб-приложения - Корпоративные инфраструктуры - Программное обеспечение - Беспроводные сети - OSINT - Мобильные ОС - Мобильные Приложения - Облачные технологии - и пр. Материалы по категориям: http://itsecwiki.org/ **Хакерские группировки?** - Зло Исследования киберугроз от GroupIB - https://www.group-ib.ru/resources/threat-research.html - Добро Defcon Groups - https://defcongroups.org/dcpages-int.html (Поиск по: Russian Federation) **Хакерские соревнования?** - PHDays (https://www.phdays.com/ru/) - ZeroNights (https://zeronights.ru/) - OFFZone (https://offzone.moscow/ru/) - CTF (https://ctftime.org) ## Тестирование на проникновение и Анализ защищенности ### Направления деятельности специалистов? - Не все из перечисленного ранее легко монетизируется. - Как работает процесс? - Какие работы попадают в руки пентестерам? - Кто клиенты? - Насколько это хорошее применение хакингу? ### Роли в командах пентестеров и компаниях - приложения - сети - исходный код - облако - мобильные приложения ## Демонстрация процесса взлома приложения ### Ломаем приложение и находим разные уязвимости Приложение (Цель): http://empty.jack.su:1337/ - Раскрытие информации - Исследование трафика - Контроль доступа - Подстановка параметров - Доступ к базе - Доступ к файлам ОС (/flag) - RCE (https://xakep.ru/2015/04/16/195-mysql/#toc10) Автоматизация SQL атак ### Выдача домашнего задания - Burp Suite CE (Common Edition) - Подстановка параметров - SQL Inject (https://sqlwiki.netspi.com/, http://pentestmonkey.net/cheat-sheet/sql-injection/mysql-sql-injection-cheat-sheet) - Доступ к файлам ОС (/flag) (load_file()) - RCE (https://xakep.ru/2015/04/16/195-mysql/#toc10) - Воспользоваться SQLMAP