// foundations track

Foundations

Нулевой слой: терминал, протоколы, пароли, хэши, безопасность рабочего процесса. Темы уровня: Cryptography / Hardening / Network / Secrets. Каждая карточка даёт назначение, риски, ручную проверку, частые ошибки и defensive-чеклист.

// method

Как проходить

Сначала понять протокол или риск, потом включать инструмент. Вести журнал действий: цель, команда, вывод, выводы, исправление. После каждой проверки формулировать критерий ретеста.
FoundationsHardening

Терминал и рабочая дисциплина

Стек: Linux shell / PowerShell / Git

Базовая лаборатория о том, как безопасно работать в консоли, читать вывод команд, вести журнал действий и не ломать среду случайными изменениями.

Развернуть практику

Зачем специалисту: Большая часть security-практики начинается не со сканеров, а с аккуратной работы с системой, файлами, правами и логами.

Какие риски закрывает: Ошибки в правах, случайное раскрытие секретов в истории команд, неуправляемые изменения конфигурации.

Что проверить руками: Собрать личный рабочий checklist: где хранить заметки, как делать backup перед изменениями, как фиксировать команды и вывод.

Типичные ошибки: Копирование команд без понимания, работа от root без причины, хранение токенов в истории shell.

Defensive-checklist

  • Работать в тестовой VM
  • Делать backup перед правками
  • Не вставлять секреты в публичные логи
  • Фиксировать цель каждой команды
FoundationsNetwork

HTTP, DNS и TLS как карта периметра

Стек: curl / dig / browser devtools

Разбор того, как домен превращается в IP, как браузер договаривается по TLS и какие заголовки показывают архитектуру приложения.

Развернуть практику

Зачем специалисту: Без понимания DNS, HTTP и TLS невозможно качественно оценить внешний периметр, reverse proxy, CDN и ошибки публикации сервисов.

Какие риски закрывает: Неверные DNS-записи, открытые staging-хосты, слабые TLS-настройки, отсутствие базовых security headers.

Что проверить руками: Проверить свои домены: A/AAAA/CNAME, redirect chain, TLS certificate, HSTS, CSP, X-Frame-Options и Server headers.

Типичные ошибки: Считать, что 200 OK означает безопасность, игнорировать поддомены и забывать про IPv6.

Defensive-checklist

  • Проверить redirect HTTP -> HTTPS
  • Описать все публичные DNS-записи
  • Проверить срок сертификата
  • Убрать лишнюю версию сервера из headers
FoundationsCryptography

Хэши, кодировки и границы криптографии

Стек: SHA-256 / Base64 / password hashing

Практическое объяснение разницы между кодированием, хэшированием, шифрованием и password hashing.

Развернуть практику

Зачем специалисту: Ошибки в этих понятиях приводят к хранению паролей как Base64, неверной проверке integrity и опасным самодельным схемам.

Какие риски закрывает: Раскрытие паролей, невозможность проверить целостность, ложное чувство защиты из-за закодированных данных.

Что проверить руками: Сравнить Base64, SHA-256 и Argon2id на тестовых строках, понять где обратимость допустима, а где нет.

Типичные ошибки: Называть Base64 шифрованием, использовать быстрый SHA для паролей, придумывать собственную криптографию.

Defensive-checklist

  • Для паролей использовать Argon2id/bcrypt/scrypt
  • Для файлов считать SHA-256 manifest
  • Не хранить ключи рядом с данными
  • Разделять encoding и encryption
FoundationsSecrets

Пароли, менеджеры и MFA

Стек: Password manager / TOTP / passkeys

Лаборатория о том, как строить личную и командную модель доступа без повторного использования паролей.

Развернуть практику

Зачем специалисту: Большинство компрометаций начинается не с 0-day, а с повторного пароля, фишинга или отсутствия второго фактора.

Какие риски закрывает: Credential stuffing, takeover почты, компрометация SSH/VPN/панелей управления.

Что проверить руками: Составить inventory критичных аккаунтов, включить MFA, отделить recovery-коды и проверить уникальность паролей.

Типичные ошибки: Хранить recovery-коды в той же почте, использовать SMS как единственный фактор, делиться одним аккаунтом на команду.

Defensive-checklist

  • Уникальный пароль на каждый сервис
  • MFA на почту, регистратор домена, хостинг и Git
  • Отдельное хранение recovery-кодов
  • Ротация после инцидента

// examples

Кодовые примеры

Для практики добавлена отдельная страница с безопасными учебными фрагментами кода. Они не копируют внешние проекты и не содержат вредоносных сценариев.

← все лабораториипрактические заметки →

// обновлено

Foundations: база, которая потом спасает весь аудит

Новый research-блок связывает foundations с реальной практикой: как из базовых вещей вроде DNS, секретов и журналов действий вырастает качественный внешний аудит и безопасный edge hardening.

// обновлено

Foundations: от протоколов и паролей к boundary thinking

На базовом уровне теперь особенно полезно смотреть на session trust и ownership. Именно foundations объясняют, почему даже красивый passkey UX не решает сессию автоматически и почему inventory важнее уверенности в документации.

IDENTITY

Passkeys не чинят сессию сами по себе

Passkeys отлично убирают часть password risk, но они не решают автоматически вопросы session fixation, recovery bypass, weak step-up и долгоживущих cookies. После WebAuthn всё равно остаётся инженерия доверия.

читать разбор →
WEB/API

Shadow API: когда HAR знает больше, чем OpenAPI

Самая неприятная API-проблема не всегда выглядит как уязвимость. Часто это просто несоответствие между документацией, релизом и реальным трафиком: старый endpoint живёт, новый не описан, а ограничения доступа различаются.

читать разбор →
HARDENING

Linux hardening: гайд полезен только там, где есть проверка

Даже сильный hardening-guide бесполезен, если он не превращается в проверяемое состояние. Зрелая инфраструктура не спорит, 'достаточно ли secure', а регулярно проверяет конкретные свойства системы.

читать разбор →