// foundations track
Foundations
Нулевой слой: терминал, протоколы, пароли, хэши, безопасность рабочего процесса. Темы уровня: Cryptography / Hardening / Network / Secrets. Каждая карточка даёт назначение, риски, ручную проверку, частые ошибки и defensive-чеклист.
FoundationsHardening
Терминал и рабочая дисциплина
Стек: Linux shell / PowerShell / Git
Базовая лаборатория о том, как безопасно работать в консоли, читать вывод команд, вести журнал действий и не ломать среду случайными изменениями.
Развернуть практику
Зачем специалисту: Большая часть security-практики начинается не со сканеров, а с аккуратной работы с системой, файлами, правами и логами.
Какие риски закрывает: Ошибки в правах, случайное раскрытие секретов в истории команд, неуправляемые изменения конфигурации.
Что проверить руками: Собрать личный рабочий checklist: где хранить заметки, как делать backup перед изменениями, как фиксировать команды и вывод.
Типичные ошибки: Копирование команд без понимания, работа от root без причины, хранение токенов в истории shell.
Defensive-checklist
- Работать в тестовой VM
- Делать backup перед правками
- Не вставлять секреты в публичные логи
- Фиксировать цель каждой команды
FoundationsNetwork
HTTP, DNS и TLS как карта периметра
Стек: curl / dig / browser devtools
Разбор того, как домен превращается в IP, как браузер договаривается по TLS и какие заголовки показывают архитектуру приложения.
Развернуть практику
Зачем специалисту: Без понимания DNS, HTTP и TLS невозможно качественно оценить внешний периметр, reverse proxy, CDN и ошибки публикации сервисов.
Какие риски закрывает: Неверные DNS-записи, открытые staging-хосты, слабые TLS-настройки, отсутствие базовых security headers.
Что проверить руками: Проверить свои домены: A/AAAA/CNAME, redirect chain, TLS certificate, HSTS, CSP, X-Frame-Options и Server headers.
Типичные ошибки: Считать, что 200 OK означает безопасность, игнорировать поддомены и забывать про IPv6.
Defensive-checklist
- Проверить redirect HTTP -> HTTPS
- Описать все публичные DNS-записи
- Проверить срок сертификата
- Убрать лишнюю версию сервера из headers
FoundationsCryptography
Хэши, кодировки и границы криптографии
Стек: SHA-256 / Base64 / password hashing
Практическое объяснение разницы между кодированием, хэшированием, шифрованием и password hashing.
Развернуть практику
Зачем специалисту: Ошибки в этих понятиях приводят к хранению паролей как Base64, неверной проверке integrity и опасным самодельным схемам.
Какие риски закрывает: Раскрытие паролей, невозможность проверить целостность, ложное чувство защиты из-за закодированных данных.
Что проверить руками: Сравнить Base64, SHA-256 и Argon2id на тестовых строках, понять где обратимость допустима, а где нет.
Типичные ошибки: Называть Base64 шифрованием, использовать быстрый SHA для паролей, придумывать собственную криптографию.
Defensive-checklist
- Для паролей использовать Argon2id/bcrypt/scrypt
- Для файлов считать SHA-256 manifest
- Не хранить ключи рядом с данными
- Разделять encoding и encryption
FoundationsSecrets
Пароли, менеджеры и MFA
Стек: Password manager / TOTP / passkeys
Лаборатория о том, как строить личную и командную модель доступа без повторного использования паролей.
Развернуть практику
Зачем специалисту: Большинство компрометаций начинается не с 0-day, а с повторного пароля, фишинга или отсутствия второго фактора.
Какие риски закрывает: Credential stuffing, takeover почты, компрометация SSH/VPN/панелей управления.
Что проверить руками: Составить inventory критичных аккаунтов, включить MFA, отделить recovery-коды и проверить уникальность паролей.
Типичные ошибки: Хранить recovery-коды в той же почте, использовать SMS как единственный фактор, делиться одним аккаунтом на команду.
Defensive-checklist
- Уникальный пароль на каждый сервис
- MFA на почту, регистратор домена, хостинг и Git
- Отдельное хранение recovery-кодов
- Ротация после инцидента