практикум

White Hacking

Хочешь научиться видеть инфраструктуру глазами атакующего и эффективно её защищать? Этот курс — твой боевой полигон. Разобрали реальные техники: от социальной инженерии до повышения привилегий. Никакой скучной теории, только практика на стендах в облаке.
Купить >>>

темы, которые вы освоите

Gophish + Evilginx2
Metasploit Framework
Burp Suite (Community)
Nmap + Masscan + NSE
SQLmap + Hydra
OSINT-инструментарий (Maltego, theHarvester, Hunter.io)
LinPEAS, GTFOBins, kernel exploits, sudo/SUID abuse
Реалистичный полигон
Курс построен на лабораторных стендах, развёрнутых в Yandex Cloud. Ты не просто смотришь видео, а сам проводишь атаки в изолированной, максимально приближенной к реальности среде. Никаких «домашних» виртуалок — всё в облаке, доступно 24/7.
От OSINT до Root
Проходишь полный цикл пентеста: сбор информации о компании, фишинг, эксплуатацию внешних сервисов (FTP, SSH, web), взлом веб-приложений (OWASP Top 10) и закрепление в Linux. Каждое задание заканчивается практическим опытом
Отработка на реальных CVE
Учишься не просто пользоваться Metasploit, а анализировать уязвимости, искать эксплойты в Exploit-DB, компилировать их под свою цель. Разбираем regreSSHion, kernel-эксплойты, SSRF, IDOR и другие опасные дыры.
Работа с современным инструментарием
Gophish, Evilginx2, Burp Suite, sqlmap, LinPEAS — осваиваешь инструменты, которые используют профессиональные Red Team-ы. После курса ты будешь уверенно настраивать фишинговые кампании, обходить 2FA и и эксплуатировать уязвимости.
Rebrain
— большое сообщество IT-специалистов, создаём
практикумы по инфраструктуре с 2018 года
Почему выбирают наши программы
  • Автоматические проверки — мгновенная обратная связь по заданиям
  • Проверки менторами — DevOps-инжерами с опытом в индустрии от 5+ лет
  • Возможность общаться с опытными практикующими специалистами
  • Свободный темп — проходите без жёстких дедлайнов
  • Прикладные задачи — кейсы, приближенные к реальной работе DevOps-инженера
Стать частью сообщества >>>
phone

Кому подойдёт

Junior-инженеры

Начинающие DevOps, разработчики, администраторы, которые хотят понять, как устроены атаки, чтобы строить более безопасные системы. Идеально для тех, кто хочет перейти в DevSecOps или Red Teaming.

Middle-специалисты

Опытные инженеры, которые знают теорию, но не имеют системного практического опыта в пентесте. Курс помогает структурировать знания, закрыть пробелы в эксплуатации и начать мыслить как атакующий.

Security-энтузиасты

Те, кто уже интересуется безопасностью, но хочет перейти от разрозненных знаний к полноценному навыку проведения тестирования на проникновение по стандартам PTES.

Как проходит
практикум

Команда Rebrain изучает, какие из компетенций требуются на разных уровнях профессий.

программа практикума

White Hacking

  • Введение
  • Атаки, направленные на людей
  • Безопасность Web-приложений
  • Повышение привилегий в Linux
  • Эксплуатация уязвимостей внешних сервисов

Эксплуатация уязвимостей внешних сервисов

  • Введение
  • Методология пентеста и правовые аспекты (PTES, OSSTMM)
  • Активная разведка и сканирование сети (Nmap, Masscan)
  • Анализ уязвимостей и поиск эксплойтов (CVE, Searchsploit)
  • Metasploit Framework: архитектура и эксплуатация
  • Эксплуатация FTP и TFTP сервисов
  • Эксплуатация сервисов удалённого управления (SSH, Telnet)
  • Эксплуатация Web-серверов (Infrastructure Level)
  • Эксплуатация почтовых сервисов (SMTP, POP3, IMAP)
  • Эксплуатация баз данных (MySQL, PostgreSQL, Redis)
  • Эксплуатация Windows Services (SMB, RDP, NetBIOS)
  • Reverse Shells и закрепление доступа
  • Итоговый проект
  • Заключение

Атаки, направленные на людей

  • Введение
  • Психология социальной инженерии и векторы атак
  • OSINT: Сбор информации о целях (Reconnaissance)
  • Подготовка сценария и легенды (Pretexting)
  • Техническая инфраструктура: Домены и Серверы
  • Email-протоколы и обход защиты (SPF, DKIM, DMARC)
  • Инструментарий: Gophish
  • Credential Harvesting и обход 2FA (Evilginx2)
  • Доставка полезной нагрузки (Payload Delivery)
  • Альтернативные векторы: Vishing и Smishing
  • Отчётность и метрики
  • Итоговый проект
  • Заключение

OWASP ToP 10

  • Введение
  • Введение в модуль
  • Введение в OWASP Top 10 и веб-уязвимости
  • Broken Access Control
  • Security Misconfiguration
  • Software Supply Chain Failures
  • Cryptographic Failures
  • Injection
  • Insecure Design
  • Authentication Failures
  • Software or Data Integrity Failures
  • Security Logging and Monitoring Failures
  • Mishandling of exceptional conditions
  • Итоговый проект
  • Заключение

Тренажёры

  • Анализ безопасности CorpDocs
  • Уязвимый API
  • Микро-сервисы с макро-проблемами
  • Уязвимый GraphQL
  • Секретная уязвимость

Повышение привилегий в Linux

  • Введение
  • Методология и сбор информации (Enumeration)
  • Эксплуатация уязвимостей ядра (Kernel Exploits)
  • Злоупотребление правами sudo (Sudo Rights Abuse)
  • SUID/SGID бинарники и Capabilities
  • Планировщики задач (Cron & Systemd)
  • Хранимые секреты и слабые права доступа
  • NFS и Shared Services
  • Техники закрепления (Persistence)
  • Сокрытие следов (Covering Tracks)
  • Итоговый проект
  • Заключение
Эксперт практикума
Константин Зубченко
Константин Зубченко
За годы работы в отрасли прошёл путь от анализа защищённости промышленных систем до инженерных и экспертных ролей в крупных российских компаниях. Участвовал в сложных проектах на стыке разработки и информационной безопасности, усиливая команды и процессы. Мой опыт — это сочетание практического пентеста, инженерного мышления и глубокого понимания современных ИБ-подходов.
Ведущий инженер-разработчик в компании BI.ZONE

Ключевые навыки для резюме:

Проведение комплексных пентестов веб-приложений и инфраструктуры по методологии PTES.
Эксплуатация уязвимостей OWASP Top 10, включая IDOR, SQLi, XSS, SSRF и небезопасную десериализацию.
Настройка фишинговых кампаний и сбор OSINT-данных о целевой организации.
Эксплуатация внешних сервисов (SSH, FTP, SMB, Redis, Tomcat) с использованием Metasploit и кастомных эксплойтов.
Повышение привилегий в Linux через kernel-эксплойты, SUID, sudo и планировщики задач.
Написание отчётов о безопасности с рекомендациями для бизнеса.
Работа с профессиональными инструментами: Burp Suite, Evilginx2, Gophish, Nmap, LinPEAS.

Пример задания

Пройти специально подготовленную виртуальную машину (Boot2Root), содержащую несколько векторов повышения привилегий, закрепиться в системе и предоставить отчет.

Выполнить задание SSRF в JuiceShop:

  • Умеет идентифицировать наличие SSRF

  • Знает методы защиты от SSRF (валидация URL, сетевая сегментация)

  • Умеет эксплуатировать SSRF

Вам выдан IP-адрес целевой машины (Boot2Root). Задача: 1. Провести разведку. 2. Найти точку входа (уязвимый сервис FTP, Web или SSH). 3. Получить пользовательский доступ. 4. Повысить привилегии до root (используя misconfig или kernel exploit). 5. Предоставить отчет с описанием всех шагов и рекомендациями по устранению уязвимостей.

Остались вопросы?
Приходите на бесплатную консультацию с экспертом.

практикум

White Hacking

В стоимость входит:

  • Выполнение задач на настоящей инфраструктуре
  • Сопровождение — менторы, координатор
  • Бессрочный доступ к теоретической части практикума
стоимость
Практикум
9 167 руб.
8 250 руб.

в месяц или сразу 99 000 руб.

Перейти к оплате >>>
0

Файлы куки

При использовании данного сайта, вы подтверждаете свое согласие на использование файлов cookie и других похожих технологий в соответствии с настоящим Уведомлением.