Foundations
нулевой слой: терминал, протоколы, пароли, хэши, безопасность рабочего процесса.
открыть уровень →// learning path
нулевой слой: терминал, протоколы, пароли, хэши, безопасность рабочего процесса.
открыть уровень →первые инструменты: инвентаризация, очистка метаданных, firewall, трафик, зависимости.
открыть уровень →инженерный уровень: API, secrets, containers, SIEM, SBOM, DLP, TLS fingerprints.
открыть уровень →сложные системы: honeypots, AI detection, bug bounty workflow, HSM, E2EE, monitoring.
открыть уровень →// filter console
Показаны все лаборатории.
Стек: Linux shell / PowerShell / Git
Базовая лаборатория о том, как безопасно работать в консоли, читать вывод команд, вести журнал действий и не ломать среду случайными изменениями.
Зачем специалисту: Большая часть security-практики начинается не со сканеров, а с аккуратной работы с системой, файлами, правами и логами.
Какие риски закрывает: Ошибки в правах, случайное раскрытие секретов в истории команд, неуправляемые изменения конфигурации.
Что проверить руками: Собрать личный рабочий checklist: где хранить заметки, как делать backup перед изменениями, как фиксировать команды и вывод.
Типичные ошибки: Копирование команд без понимания, работа от root без причины, хранение токенов в истории shell.
Стек: curl / dig / browser devtools
Разбор того, как домен превращается в IP, как браузер договаривается по TLS и какие заголовки показывают архитектуру приложения.
Зачем специалисту: Без понимания DNS, HTTP и TLS невозможно качественно оценить внешний периметр, reverse proxy, CDN и ошибки публикации сервисов.
Какие риски закрывает: Неверные DNS-записи, открытые staging-хосты, слабые TLS-настройки, отсутствие базовых security headers.
Что проверить руками: Проверить свои домены: A/AAAA/CNAME, redirect chain, TLS certificate, HSTS, CSP, X-Frame-Options и Server headers.
Типичные ошибки: Считать, что 200 OK означает безопасность, игнорировать поддомены и забывать про IPv6.
Стек: SHA-256 / Base64 / password hashing
Практическое объяснение разницы между кодированием, хэшированием, шифрованием и password hashing.
Зачем специалисту: Ошибки в этих понятиях приводят к хранению паролей как Base64, неверной проверке integrity и опасным самодельным схемам.
Какие риски закрывает: Раскрытие паролей, невозможность проверить целостность, ложное чувство защиты из-за закодированных данных.
Что проверить руками: Сравнить Base64, SHA-256 и Argon2id на тестовых строках, понять где обратимость допустима, а где нет.
Типичные ошибки: Называть Base64 шифрованием, использовать быстрый SHA для паролей, придумывать собственную криптографию.
Стек: Password manager / TOTP / passkeys
Лаборатория о том, как строить личную и командную модель доступа без повторного использования паролей.
Зачем специалисту: Большинство компрометаций начинается не с 0-day, а с повторного пароля, фишинга или отсутствия второго фактора.
Какие риски закрывает: Credential stuffing, takeover почты, компрометация SSH/VPN/панелей управления.
Что проверить руками: Составить inventory критичных аккаунтов, включить MFA, отделить recovery-коды и проверить уникальность паролей.
Типичные ошибки: Хранить recovery-коды в той же почте, использовать SMS как единственный фактор, делиться одним аккаунтом на команду.
Стек: TCP / UDP / service banners
Безопасный взгляд на сканирование портов: не искать дырки, а понимать, какие сервисы вообще опубликованы наружу.
Зачем специалисту: Инвентаризация портов помогает убрать лишние панели, забытые dev-сервисы и неожиданные базы данных.
Какие риски закрывает: Открытый SSH для всего интернета, admin UI без VPN, базы и брокеры сообщений на публичном IP.
Что проверить руками: Сравнить ожидаемый список портов с фактическим на своей лабораторной VM и закрыть всё лишнее firewall-ом.
Типичные ошибки: Сканировать чужие IP без разрешения, запускать агрессивные режимы, не документировать найденные сервисы.
Стек: EXIF / PDF metadata / Office documents
Разбор скрытых метаданных: авторы, пути файлов, GPS, версии ПО, внутренние имена документов.
Зачем специалисту: Метаданные часто раскрывают структуру компании, имена сотрудников и следы внутренней инфраструктуры.
Какие риски закрывает: OSINT по документам, утечка геолокации, раскрытие рабочих директорий и пользователей.
Что проверить руками: Проверить тестовые PDF/JPEG/DOCX на метаданные и построить безопасный процесс публикации файлов.
Типичные ошибки: Удалять только видимый текст, забывать про preview/thumbnail, публиковать исходники вместо экспортированных файлов.
Стек: ufw / nftables / security groups
Практика создания понятной политики доступа: кто, куда и зачем может подключаться.
Зачем специалисту: Firewall должен быть не набором случайных allow, а отражением архитектуры и доверенных источников.
Какие риски закрывает: Случайно открытые панели, потеря SSH-доступа, конфликт облачных security groups и локального firewall.
Что проверить руками: Описать минимальный набор входящих правил для web-сервера и протестировать rollback-план.
Типичные ошибки: Закрывать SSH без второго доступа, не различать inbound/outbound, оставлять временные правила навсегда.
Стек: pcap / tcpdump / Wireshark concepts
Лаборатория по чтению сетевого трафика: DNS-запросы, TLS-сессии, HTTP-метаданные, объём и направление соединений.
Зачем специалисту: Трафик показывает реальное поведение системы, когда логи приложения молчат или неполны.
Какие риски закрывает: Невидимые внешние подключения, неожиданные DNS-запросы, утечки через незашифрованные протоколы.
Что проверить руками: Собрать pcap в своей VM, выделить DNS/HTTP/TLS и построить простую таблицу процесс-домен-порт.
Типичные ошибки: Сохранять чувствительный трафик без защиты, анализировать pcap на рабочей машине без изоляции.
Стек: OSV / lockfiles / semver
Как смотреть уязвимости зависимостей и принимать решение: обновлять срочно, планово или компенсировать контролями.
Зачем специалисту: Слепое обновление ломает продукт, а игнорирование CVE оставляет реальный риск в production.
Какие риски закрывает: Уязвимые библиотеки, dependency confusion, устаревшие transitive packages.
Что проверить руками: Проверить тестовый проект, разделить findings на reachable/not reachable и сформировать план обновлений.
Типичные ошибки: Оценивать только CVSS, не проверять достижимость кода, забывать про lockfile и CI.
Стек: OpenAPI / HAR / auth roles
Методика проверки API через inventory endpoint-ов, ролей, object identifiers и бизнес-действий.
Зачем специалисту: Без карты API легко пропустить IDOR/BOLA, rate limits и скрытые administrative endpoints.
Какие риски закрывает: Доступ к чужим объектам, слабая авторизация, отсутствие лимитов, verbose errors.
Что проверить руками: Собрать OpenAPI или HAR своей тестовой системы и отметить endpoints: auth, account, billing, upload, admin.
Типичные ошибки: Проверять только unauthenticated surface, не иметь двух тестовых ролей, считать 403 достаточным доказательством.
Стек: regex / entropy / SARIF
Как искать ключи, токены и connection strings без лавины ложных срабатываний.
Зачем специалисту: Один publish-токен или cloud key в истории Git способен превратить мелкую ошибку в полный supply-chain инцидент.
Какие риски закрывает: Утечка cloud credentials, webhook secrets, deploy keys, database URLs.
Что проверить руками: Проверить тестовый репозиторий, сравнить regex, entropy и allowlist-подход, затем подготовить процесс ротации.
Типичные ошибки: Удалить секрет из HEAD, но оставить в history; публиковать найденные токены в чат; не отзывать скомпрометированный ключ.
Стек: Dockerfile / Compose / image scanning
Проверка контейнеров: base image, capabilities, user, secrets, volumes, network и update policy.
Зачем специалисту: Контейнер не является границей безопасности сам по себе; неправильный Compose часто открывает лишние привилегии.
Какие риски закрывает: Root внутри контейнера, docker.sock mount, секреты в image layers, открытые debug-порты.
Что проверить руками: Разобрать свой Dockerfile и compose-файл по checklist, убрать root и лишние capabilities.
Типичные ошибки: Класть .env в image, запускать privileged без причины, не фиксировать digest critical images.
Стек: logs / detection rules / dashboards
Как строить dashboard не ради графиков, а ради ответов: кто вошёл, что изменилось, где вырос шум, какие события требуют triage.
Зачем специалисту: Плохой SIEM показывает много данных, хороший помогает принять решение за минуты.
Какие риски закрывает: Пропущенные brute-force, lateral movement, privilege changes, unusual egress.
Что проверить руками: Составить 10 вопросов к инфраструктуре и под каждый выбрать источник логов, поле и порог.
Типичные ошибки: Собирать всё без нормализации, не иметь retention policy, делать alert на каждое harmless-событие.
Стек: CycloneDX / SPDX / OSV
Как описывать состав приложения и связывать компоненты с уязвимостями, релизами и владельцами.
Зачем специалисту: Когда выходит новая CVE, команда должна быстро понять: используем ли мы компонент, где и в какой версии.
Какие риски закрывает: Невидимые transitive dependencies, устаревшие контейнеры, отсутствие владельца компонента.
Что проверить руками: Собрать SBOM для тестового сервиса, сопоставить с vulnerability feed и отметить владельцев пакетов.
Типичные ошибки: Хранить SBOM отдельно от релиза, не связывать с build artifact, игнорировать контейнерный слой.
Стек: TLS ClientHello / fingerprints
Понимание того, как TLS-метаданные помогают отличать обычные клиенты от необычного автоматизированного трафика.
Зачем специалисту: Даже при шифровании содержимого остаются метаданные, полезные для SOC и threat hunting.
Какие риски закрывает: Скрытый C2-трафик, нестандартные клиенты, массовая автоматизация под видом браузера.
Что проверить руками: На лабораторном трафике сравнить browser, curl и скриптовые клиенты по TLS fingerprints.
Типичные ошибки: Считать fingerprint доказательством вредоносности, блокировать без baseline и исключений.
Стек: PII / regex / classification
Как искать персональные данные, токены и конфиденциальные документы в файловых хранилищах без нарушения приватности.
Зачем специалисту: DLP нужен не для наказаний, а для понимания, где реально лежат данные и кто к ним имеет доступ.
Какие риски закрывает: Публичные backup, документы с PII, экспорт баз в общих папках, отсутствие retention.
Что проверить руками: Создать тестовый набор файлов и проверить правила классификации: персональные данные, ключи, договоры, dumps.
Типичные ошибки: Сохранять найденные PII в открытый отчет, сканировать production без согласованной политики.
Стек: decoy services / telemetry / alerts
Как использовать приманочные сервисы для обнаружения сканирования, credential attacks и post-exploitation интереса.
Зачем специалисту: Если honeypot трогают внутри сети, это почти всегда сигнал для расследования, а не обычный пользовательский шум.
Какие риски закрывает: Lateral movement, credential spraying, reconnaissance внутри сегментов.
Что проверить руками: Спроектировать лабораторный honeypot без доступа к production-данным и настроить alert на любые попытки входа.
Типичные ошибки: Размещать приманку с реальными секретами, не изолировать сеть, не иметь процесса triage.
Стек: features / rules / anomaly detection
Как применять ML к логам: признаки, baseline, правила, anomaly score и человеческая проверка результата.
Зачем специалисту: Модель полезна как усилитель triage, но не должна заменять evidence, контекст и понятные detection rules.
Какие риски закрывает: False positives, пропущенные атаки из-за плохого baseline, доверие к score без объяснения.
Что проверить руками: Построить простой feature set для access logs и сравнить rule-based detection с anomaly-подходом.
Типичные ошибки: Обучать на грязных данных, считать высокий score уязвимостью, не сохранять объяснение решения.
Стек: scope / evidence / report triage
Процесс ответственного исследования: scope, разрешённые действия, low-noise проверки, доказательства и аккуратный отчет.
Зачем специалисту: В реальных программах ценится не количество сканерных строк, а воспроизводимость, impact и уважение к правилам.
Какие риски закрывает: Выход за scope, шумные проверки, непроверенные findings, раскрытие чужих данных.
Что проверить руками: На учебном стенде подготовить отчет: asset, impact, reproduction, evidence, remediation, retest.
Типичные ошибки: Отправлять scanner output без валидации, трогать чужие аккаунты, игнорировать rate limits.
Стек: keys / signing / envelope encryption
Разбор жизненного цикла ключей: генерация, хранение, подпись, ротация, backup и аудит операций.
Зачем специалисту: Ключи часто важнее самих данных: потеря или утечка ключа меняет весь риск-профиль системы.
Какие риски закрывает: Ключи в env, ручная ротация без журнала, отсутствие separation of duties.
Что проверить руками: Спроектировать схему: какие ключи существуют, кто может подписывать, где хранится audit trail.
Типичные ошибки: Хранить master key рядом с ciphertext, не тестировать recovery, не разделять роли.
Стек: E2EE / identity keys / forward secrecy
Как думать о защищённой переписке: идентичность, обмен ключами, forward secrecy, metadata и компрометация клиента.
Зачем специалисту: Шифрование сообщений не решает проблемы доверия к устройству, серверу, backup и контактам.
Какие риски закрывает: MITM при первом контакте, утечка metadata, backup без шифрования, compromised endpoint.
Что проверить руками: Нарисовать threat model для chat-системы и отметить, какие риски закрывает E2EE, а какие остаются.
Типичные ошибки: Обещать абсолютную приватность, забывать про metadata, не проверять identity keys.
Стек: metrics / logs / uptime / incidents
Как собрать dashboard, который показывает здоровье сервисов, сетевую активность, ошибки и признаки атаки.
Зачем специалисту: Мониторинг должен помогать отвечать: что упало, что изменилось, кто подключался, где выросла нагрузка.
Какие риски закрывает: Незамеченный downtime, рост ошибок, brute-force по SSH, заполнение диска, деградация edge.
Что проверить руками: Составить матрицу сигналов: availability, latency, auth failures, disk, CPU, network egress, TLS expiry.
Типичные ошибки: Делать красивые графики без alert, хранить логи без retention, не тестировать incident runbook.
// safe practice