// knowledge base

Cyber Labs

Практическая база знаний по кибербезопасности: короткие лаборатории, инженерные объяснения, defensive-чеклисты и безопасные сценарии для controlled environment. Здесь нет готовых вредоносных цепочек; фокус — понять механику риска и научиться закрывать его аккуратно.

networkweb/apisochardeningsecretscontainerscryptographythreat detection

// learning path

Уровни подготовки

Foundations

Foundations

нулевой слой: терминал, протоколы, пароли, хэши, безопасность рабочего процесса.

открыть уровень →
Beginner

Beginner

первые инструменты: инвентаризация, очистка метаданных, firewall, трафик, зависимости.

открыть уровень →

// filter console

Карта лабораторий

Показаны все лаборатории.

FoundationsHardening

Терминал и рабочая дисциплина

Стек: Linux shell / PowerShell / Git

Базовая лаборатория о том, как безопасно работать в консоли, читать вывод команд, вести журнал действий и не ломать среду случайными изменениями.

Развернуть практику

Зачем специалисту: Большая часть security-практики начинается не со сканеров, а с аккуратной работы с системой, файлами, правами и логами.

Какие риски закрывает: Ошибки в правах, случайное раскрытие секретов в истории команд, неуправляемые изменения конфигурации.

Что проверить руками: Собрать личный рабочий checklist: где хранить заметки, как делать backup перед изменениями, как фиксировать команды и вывод.

Типичные ошибки: Копирование команд без понимания, работа от root без причины, хранение токенов в истории shell.

Defensive-checklist

  • Работать в тестовой VM
  • Делать backup перед правками
  • Не вставлять секреты в публичные логи
  • Фиксировать цель каждой команды
FoundationsNetwork

HTTP, DNS и TLS как карта периметра

Стек: curl / dig / browser devtools

Разбор того, как домен превращается в IP, как браузер договаривается по TLS и какие заголовки показывают архитектуру приложения.

Развернуть практику

Зачем специалисту: Без понимания DNS, HTTP и TLS невозможно качественно оценить внешний периметр, reverse proxy, CDN и ошибки публикации сервисов.

Какие риски закрывает: Неверные DNS-записи, открытые staging-хосты, слабые TLS-настройки, отсутствие базовых security headers.

Что проверить руками: Проверить свои домены: A/AAAA/CNAME, redirect chain, TLS certificate, HSTS, CSP, X-Frame-Options и Server headers.

Типичные ошибки: Считать, что 200 OK означает безопасность, игнорировать поддомены и забывать про IPv6.

Defensive-checklist

  • Проверить redirect HTTP -> HTTPS
  • Описать все публичные DNS-записи
  • Проверить срок сертификата
  • Убрать лишнюю версию сервера из headers
FoundationsCryptography

Хэши, кодировки и границы криптографии

Стек: SHA-256 / Base64 / password hashing

Практическое объяснение разницы между кодированием, хэшированием, шифрованием и password hashing.

Развернуть практику

Зачем специалисту: Ошибки в этих понятиях приводят к хранению паролей как Base64, неверной проверке integrity и опасным самодельным схемам.

Какие риски закрывает: Раскрытие паролей, невозможность проверить целостность, ложное чувство защиты из-за закодированных данных.

Что проверить руками: Сравнить Base64, SHA-256 и Argon2id на тестовых строках, понять где обратимость допустима, а где нет.

Типичные ошибки: Называть Base64 шифрованием, использовать быстрый SHA для паролей, придумывать собственную криптографию.

Defensive-checklist

  • Для паролей использовать Argon2id/bcrypt/scrypt
  • Для файлов считать SHA-256 manifest
  • Не хранить ключи рядом с данными
  • Разделять encoding и encryption
FoundationsSecrets

Пароли, менеджеры и MFA

Стек: Password manager / TOTP / passkeys

Лаборатория о том, как строить личную и командную модель доступа без повторного использования паролей.

Развернуть практику

Зачем специалисту: Большинство компрометаций начинается не с 0-day, а с повторного пароля, фишинга или отсутствия второго фактора.

Какие риски закрывает: Credential stuffing, takeover почты, компрометация SSH/VPN/панелей управления.

Что проверить руками: Составить inventory критичных аккаунтов, включить MFA, отделить recovery-коды и проверить уникальность паролей.

Типичные ошибки: Хранить recovery-коды в той же почте, использовать SMS как единственный фактор, делиться одним аккаунтом на команду.

Defensive-checklist

  • Уникальный пароль на каждый сервис
  • MFA на почту, регистратор домена, хостинг и Git
  • Отдельное хранение recovery-кодов
  • Ротация после инцидента
BeginnerNetwork

Port scanner как инструмент инвентаризации

Стек: TCP / UDP / service banners

Безопасный взгляд на сканирование портов: не искать дырки, а понимать, какие сервисы вообще опубликованы наружу.

Развернуть практику

Зачем специалисту: Инвентаризация портов помогает убрать лишние панели, забытые dev-сервисы и неожиданные базы данных.

Какие риски закрывает: Открытый SSH для всего интернета, admin UI без VPN, базы и брокеры сообщений на публичном IP.

Что проверить руками: Сравнить ожидаемый список портов с фактическим на своей лабораторной VM и закрыть всё лишнее firewall-ом.

Типичные ошибки: Сканировать чужие IP без разрешения, запускать агрессивные режимы, не документировать найденные сервисы.

Defensive-checklist

  • Составить allowlist портов
  • Закрыть всё неиспользуемое
  • Ограничить SSH по IP
  • Проверить IPv4 и IPv6
BeginnerPrivacy

Metadata cleaner для документов и изображений

Стек: EXIF / PDF metadata / Office documents

Разбор скрытых метаданных: авторы, пути файлов, GPS, версии ПО, внутренние имена документов.

Развернуть практику

Зачем специалисту: Метаданные часто раскрывают структуру компании, имена сотрудников и следы внутренней инфраструктуры.

Какие риски закрывает: OSINT по документам, утечка геолокации, раскрытие рабочих директорий и пользователей.

Что проверить руками: Проверить тестовые PDF/JPEG/DOCX на метаданные и построить безопасный процесс публикации файлов.

Типичные ошибки: Удалять только видимый текст, забывать про preview/thumbnail, публиковать исходники вместо экспортированных файлов.

Defensive-checklist

  • Проверять EXIF перед публикацией
  • Экспортировать clean PDF
  • Удалять hidden comments
  • Хранить оригиналы отдельно
BeginnerHardening

Firewall rules без хаоса

Стек: ufw / nftables / security groups

Практика создания понятной политики доступа: кто, куда и зачем может подключаться.

Развернуть практику

Зачем специалисту: Firewall должен быть не набором случайных allow, а отражением архитектуры и доверенных источников.

Какие риски закрывает: Случайно открытые панели, потеря SSH-доступа, конфликт облачных security groups и локального firewall.

Что проверить руками: Описать минимальный набор входящих правил для web-сервера и протестировать rollback-план.

Типичные ошибки: Закрывать SSH без второго доступа, не различать inbound/outbound, оставлять временные правила навсегда.

Defensive-checklist

  • Сначала backup и out-of-band доступ
  • Default deny inbound
  • Комментарии к правилам
  • Регулярный review allowlist
BeginnerNetwork

Network traffic analyzer для диагностики

Стек: pcap / tcpdump / Wireshark concepts

Лаборатория по чтению сетевого трафика: DNS-запросы, TLS-сессии, HTTP-метаданные, объём и направление соединений.

Развернуть практику

Зачем специалисту: Трафик показывает реальное поведение системы, когда логи приложения молчат или неполны.

Какие риски закрывает: Невидимые внешние подключения, неожиданные DNS-запросы, утечки через незашифрованные протоколы.

Что проверить руками: Собрать pcap в своей VM, выделить DNS/HTTP/TLS и построить простую таблицу процесс-домен-порт.

Типичные ошибки: Сохранять чувствительный трафик без защиты, анализировать pcap на рабочей машине без изоляции.

Defensive-checklist

  • Минимизировать время захвата
  • Редактировать PII перед передачей
  • Хранить pcap как evidence
  • Сравнить трафик с ожидаемой моделью
BeginnerSupply Chain

Dependency scanner и обновления без паники

Стек: OSV / lockfiles / semver

Как смотреть уязвимости зависимостей и принимать решение: обновлять срочно, планово или компенсировать контролями.

Развернуть практику

Зачем специалисту: Слепое обновление ломает продукт, а игнорирование CVE оставляет реальный риск в production.

Какие риски закрывает: Уязвимые библиотеки, dependency confusion, устаревшие transitive packages.

Что проверить руками: Проверить тестовый проект, разделить findings на reachable/not reachable и сформировать план обновлений.

Типичные ошибки: Оценивать только CVSS, не проверять достижимость кода, забывать про lockfile и CI.

Defensive-checklist

  • Проверить direct и transitive deps
  • Оценить reachability
  • Тестировать обновления в CI
  • Документировать accepted risk
IntermediateWeb/API

API Security: inventory прежде сканирования

Стек: OpenAPI / HAR / auth roles

Методика проверки API через inventory endpoint-ов, ролей, object identifiers и бизнес-действий.

Развернуть практику

Зачем специалисту: Без карты API легко пропустить IDOR/BOLA, rate limits и скрытые administrative endpoints.

Какие риски закрывает: Доступ к чужим объектам, слабая авторизация, отсутствие лимитов, verbose errors.

Что проверить руками: Собрать OpenAPI или HAR своей тестовой системы и отметить endpoints: auth, account, billing, upload, admin.

Типичные ошибки: Проверять только unauthenticated surface, не иметь двух тестовых ролей, считать 403 достаточным доказательством.

Defensive-checklist

  • Минимум две роли
  • Object IDs в path/query/body
  • Read-only replay
  • Evidence без токенов и PII
IntermediateSecrets

Secrets scanning в коде и Git history

Стек: regex / entropy / SARIF

Как искать ключи, токены и connection strings без лавины ложных срабатываний.

Развернуть практику

Зачем специалисту: Один publish-токен или cloud key в истории Git способен превратить мелкую ошибку в полный supply-chain инцидент.

Какие риски закрывает: Утечка cloud credentials, webhook secrets, deploy keys, database URLs.

Что проверить руками: Проверить тестовый репозиторий, сравнить regex, entropy и allowlist-подход, затем подготовить процесс ротации.

Типичные ошибки: Удалить секрет из HEAD, но оставить в history; публиковать найденные токены в чат; не отзывать скомпрометированный ключ.

Defensive-checklist

  • Сканировать history
  • Редактировать evidence
  • Сразу отзывать ключ
  • Добавить pre-commit/CI gate
IntermediateCloud/Container

Docker security audit

Стек: Dockerfile / Compose / image scanning

Проверка контейнеров: base image, capabilities, user, secrets, volumes, network и update policy.

Развернуть практику

Зачем специалисту: Контейнер не является границей безопасности сам по себе; неправильный Compose часто открывает лишние привилегии.

Какие риски закрывает: Root внутри контейнера, docker.sock mount, секреты в image layers, открытые debug-порты.

Что проверить руками: Разобрать свой Dockerfile и compose-файл по checklist, убрать root и лишние capabilities.

Типичные ошибки: Класть .env в image, запускать privileged без причины, не фиксировать digest critical images.

Defensive-checklist

  • USER не root
  • read_only где возможно
  • no-new-privileges
  • secrets вне image
  • минимальная сеть
IntermediateSOC

SIEM dashboard: от логов к вопросам

Стек: logs / detection rules / dashboards

Как строить dashboard не ради графиков, а ради ответов: кто вошёл, что изменилось, где вырос шум, какие события требуют triage.

Развернуть практику

Зачем специалисту: Плохой SIEM показывает много данных, хороший помогает принять решение за минуты.

Какие риски закрывает: Пропущенные brute-force, lateral movement, privilege changes, unusual egress.

Что проверить руками: Составить 10 вопросов к инфраструктуре и под каждый выбрать источник логов, поле и порог.

Типичные ошибки: Собирать всё без нормализации, не иметь retention policy, делать alert на каждое harmless-событие.

Defensive-checklist

  • Inventory log sources
  • Нормализация полей
  • Runbook для alert
  • Review noise раз в неделю
IntermediateSupply Chain

SBOM и vulnerability matching

Стек: CycloneDX / SPDX / OSV

Как описывать состав приложения и связывать компоненты с уязвимостями, релизами и владельцами.

Развернуть практику

Зачем специалисту: Когда выходит новая CVE, команда должна быстро понять: используем ли мы компонент, где и в какой версии.

Какие риски закрывает: Невидимые transitive dependencies, устаревшие контейнеры, отсутствие владельца компонента.

Что проверить руками: Собрать SBOM для тестового сервиса, сопоставить с vulnerability feed и отметить владельцев пакетов.

Типичные ошибки: Хранить SBOM отдельно от релиза, не связывать с build artifact, игнорировать контейнерный слой.

Defensive-checklist

  • SBOM на каждый релиз
  • Связь с artifact digest
  • Owner для критичных компонентов
  • Периодический rescan
IntermediateNetwork

JA3/JA4 и TLS fingerprinting

Стек: TLS ClientHello / fingerprints

Понимание того, как TLS-метаданные помогают отличать обычные клиенты от необычного автоматизированного трафика.

Развернуть практику

Зачем специалисту: Даже при шифровании содержимого остаются метаданные, полезные для SOC и threat hunting.

Какие риски закрывает: Скрытый C2-трафик, нестандартные клиенты, массовая автоматизация под видом браузера.

Что проверить руками: На лабораторном трафике сравнить browser, curl и скриптовые клиенты по TLS fingerprints.

Типичные ошибки: Считать fingerprint доказательством вредоносности, блокировать без baseline и исключений.

Defensive-checklist

  • Собрать baseline
  • Коррелировать с SNI/DNS/UA
  • Не делать blind block
  • Хранить контекст расследования
IntermediatePrivacy

DLP scanner для чувствительных данных

Стек: PII / regex / classification

Как искать персональные данные, токены и конфиденциальные документы в файловых хранилищах без нарушения приватности.

Развернуть практику

Зачем специалисту: DLP нужен не для наказаний, а для понимания, где реально лежат данные и кто к ним имеет доступ.

Какие риски закрывает: Публичные backup, документы с PII, экспорт баз в общих папках, отсутствие retention.

Что проверить руками: Создать тестовый набор файлов и проверить правила классификации: персональные данные, ключи, договоры, dumps.

Типичные ошибки: Сохранять найденные PII в открытый отчет, сканировать production без согласованной политики.

Defensive-checklist

  • Redaction в отчетах
  • Минимизация доступа
  • Retention policy
  • Согласованный data owner
AdvancedSOC

Honeypot network как ранний сигнал

Стек: decoy services / telemetry / alerts

Как использовать приманочные сервисы для обнаружения сканирования, credential attacks и post-exploitation интереса.

Развернуть практику

Зачем специалисту: Если honeypot трогают внутри сети, это почти всегда сигнал для расследования, а не обычный пользовательский шум.

Какие риски закрывает: Lateral movement, credential spraying, reconnaissance внутри сегментов.

Что проверить руками: Спроектировать лабораторный honeypot без доступа к production-данным и настроить alert на любые попытки входа.

Типичные ошибки: Размещать приманку с реальными секретами, не изолировать сеть, не иметь процесса triage.

Defensive-checklist

  • Полная изоляция
  • Никаких реальных данных
  • Alert на любое касание
  • Регулярная проверка логов
AdvancedThreat Detection

AI threat detection без магии

Стек: features / rules / anomaly detection

Как применять ML к логам: признаки, baseline, правила, anomaly score и человеческая проверка результата.

Развернуть практику

Зачем специалисту: Модель полезна как усилитель triage, но не должна заменять evidence, контекст и понятные detection rules.

Какие риски закрывает: False positives, пропущенные атаки из-за плохого baseline, доверие к score без объяснения.

Что проверить руками: Построить простой feature set для access logs и сравнить rule-based detection с anomaly-подходом.

Типичные ошибки: Обучать на грязных данных, считать высокий score уязвимостью, не сохранять объяснение решения.

Defensive-checklist

  • Redacted logs
  • Explainable features
  • Human review
  • Отдельная метрика false positives
AdvancedWeb/API

Bug bounty workflow: качество важнее шума

Стек: scope / evidence / report triage

Процесс ответственного исследования: scope, разрешённые действия, low-noise проверки, доказательства и аккуратный отчет.

Развернуть практику

Зачем специалисту: В реальных программах ценится не количество сканерных строк, а воспроизводимость, impact и уважение к правилам.

Какие риски закрывает: Выход за scope, шумные проверки, непроверенные findings, раскрытие чужих данных.

Что проверить руками: На учебном стенде подготовить отчет: asset, impact, reproduction, evidence, remediation, retest.

Типичные ошибки: Отправлять scanner output без валидации, трогать чужие аккаунты, игнорировать rate limits.

Defensive-checklist

  • Scope snapshot
  • Read-only first
  • Evidence без PII
  • Report только подтвержденных проблем
AdvancedCryptography

HSM concepts и управление ключами

Стек: keys / signing / envelope encryption

Разбор жизненного цикла ключей: генерация, хранение, подпись, ротация, backup и аудит операций.

Развернуть практику

Зачем специалисту: Ключи часто важнее самих данных: потеря или утечка ключа меняет весь риск-профиль системы.

Какие риски закрывает: Ключи в env, ручная ротация без журнала, отсутствие separation of duties.

Что проверить руками: Спроектировать схему: какие ключи существуют, кто может подписывать, где хранится audit trail.

Типичные ошибки: Хранить master key рядом с ciphertext, не тестировать recovery, не разделять роли.

Defensive-checklist

  • Key inventory
  • Rotation calendar
  • Audit log
  • Separation of duties
  • Recovery drill
AdvancedCryptography

Encrypted chat: модель доверия

Стек: E2EE / identity keys / forward secrecy

Как думать о защищённой переписке: идентичность, обмен ключами, forward secrecy, metadata и компрометация клиента.

Развернуть практику

Зачем специалисту: Шифрование сообщений не решает проблемы доверия к устройству, серверу, backup и контактам.

Какие риски закрывает: MITM при первом контакте, утечка metadata, backup без шифрования, compromised endpoint.

Что проверить руками: Нарисовать threat model для chat-системы и отметить, какие риски закрывает E2EE, а какие остаются.

Типичные ошибки: Обещать абсолютную приватность, забывать про metadata, не проверять identity keys.

Defensive-checklist

  • Проверка ключей
  • Минимизация metadata
  • Безопасный backup
  • Ясная модель trust
AdvancedSOC

Monitoring dashboard для инфраструктуры

Стек: metrics / logs / uptime / incidents

Как собрать dashboard, который показывает здоровье сервисов, сетевую активность, ошибки и признаки атаки.

Развернуть практику

Зачем специалисту: Мониторинг должен помогать отвечать: что упало, что изменилось, кто подключался, где выросла нагрузка.

Какие риски закрывает: Незамеченный downtime, рост ошибок, brute-force по SSH, заполнение диска, деградация edge.

Что проверить руками: Составить матрицу сигналов: availability, latency, auth failures, disk, CPU, network egress, TLS expiry.

Типичные ошибки: Делать красивые графики без alert, хранить логи без retention, не тестировать incident runbook.

Defensive-checklist

  • Alert на критичные сервисы
  • Retention и backup логов
  • Runbook
  • Проверка уведомлений
  • Дашборд для владельца сервиса

// safe practice

Правила лабораторий

Работать только на своих стендах, тестовых VM и разрешённых целях. Сохранять evidence без токенов, паролей, cookie и персональных данных. Проверять не только наличие проблемы, но и путь исправления и ретеста.