Podstawy testów penetracyjnych
Poznanie kluczowych pojęć, modeli zagrożeń i etycznych zasad testów penetracyjnych, aby zbudować solidne podstawy wiedzy.
Metodyka ataku i obrona
Omówienie cyklu ataku (recon, exploit, post‑exploit) oraz zasad obrony i minimalizacji ryzyka podczas testów.
Planowanie i przygotowanie testów
Opracowanie planu testów: zakresu, reguł zaangażowania, zgód i przygotowania środowiska testowego.
Przegląd narzędzi ofensywnych
Zapoznanie się z zestawem narzędzi pentesterskich i kryteriami doboru narzędzi do różnych scenariuszy.
Kali Linux i popularne narzędzia pentesterskie
Ćwiczenie pracy w Kali Linux oraz praktyczne użycie narzędzi (Nmap, Metasploit, Burp Suite i in.).
Skrypty i automatyzacja ataków
Tworzenie i wykorzystanie skryptów oraz automatyzacja powtarzalnych zadań testowych.
Testy sieciowe i skanowanie
Przeprowadzanie rozpoznania sieciowego, identyfikacja topologii i słabości infrastruktury.
Identyfikacja celów
Mapowanie i selekcja celów oraz priorytetyzacja zasobów do testów.
Skanowanie portów i usług
Wykonywanie skanów portów i usług, interpretacja wyników oraz klasyfikacja zagrożeń.
Analiza podatności
Uruchamianie skanerów podatności, weryfikacja fałszywych trafień i ocena ryzyka.
Eksploatacja systemów
Praktyczne testy eksploatacji znalezionych słabości w kontrolowanym środowisku.
Przełamywanie zabezpieczeń systemów operacyjnych
Wykrywanie i wykorzystywanie słabości OS (Windows/Linux) do uzyskania dostępu.
Wykorzystanie luk w aplikacjach
Testowanie aplikacji pod kątem błędów logicznych i technicznych prowadzących do kompromitacji.
Techniki eskalacji uprawnień
Identyfikacja ścieżek eskalacji i praktyczne metody podnoszenia uprawnień na systemach.
Ataki na aplikacje webowe
Wykrywanie i eksploatacja typowych wektorów ataku w aplikacjach internetowych.
SQL Injection, XSS, CSRF
Ćwiczenie konkretnych technik ataku (SQLi, XSS, CSRF) oraz metod ich wykrywania i mitigacji.
Testowanie logiki biznesowej
Analiza przepływów biznesowych aplikacji w celu wykrycia błędów logicznych i nadużyć.
Testy i ataki na sieci bezprzewodowe
Ocena bezpieczeństwa sieci Wi‑Fi i infrastruktury bezprzewodowej.
Ataki na Wi‑Fi i sieci korporacyjne
Praktyczne techniki przejęcia dostępu do sieci bezprzewodowych i ich zabezpieczeń.
Post‑exploitation i utrzymanie dostępu
Zbieranie danych po uzyskaniu dostępu, tworzenie trwałych kanałów i minimalizowanie śladów.
Zbieranie danych i analiza
Gromadzenie dowodów, logów i artefaktów oraz analiza wpływu na bezpieczeństwo organizacji.
Tworzenie backdoorów i pivoting
Projektowanie kontrolowanych backdoorów oraz pivotowanie w sieci w celu rozszerzenia zasięgu testów.
Raportowanie i dokumentacja
Opracowanie struktury raportu, dokumentowanie odkryć i dowodów w czytelny sposób.
Tworzenie profesjonalnych raportów z testów penetracyjnych
Sporządzanie rekomendacji naprawczych, oceny ryzyka i planu działań korygujących dla klienta.