Скриншот вебинар-площадки

Работая в Pentestit и не являясь при этом техническим специалистом, я часто сталкиваюсь с «пограничными» ситуациями, когда необходимо разбираться в тонкостях информационной безопасности. Например, чтобы раскрыть с юридической точки зрения вопросы проведения пентеста или использования специализированных инструментов. Нужно было наложить стройные юридические формулировки на неоднозначную реальность. Сложности возникали порой даже с простыми понятиями и терминами. Чтобы восполнить эти пробелы, я решила пройти курс «Zero Security: A», так как он разработан специально для начинающих и включает в себя базовую подготовку.

Как сотрудник Pentestit, я проходила обучение без заключения договора и бесплатно, но на практике достаточно направить письмо на почту info@pentestit.ru с намерением пройти обучение, заключить договор и произвести оплату.

Обучение началось с регистрации в личном кабинете — отправной точкой, где доступно: расписание, сообщения куратора, методички, инструкция для подключения к лаборатории (для прохождения практических заданий) и так далее. С куратором было удобно общаться через Telegram или, пользуясь привилегией, лично, нанося визит коллегам в соседний кабинет. На все мои вопросы я получала понятный и достаточно оперативный ответ, но, к сожалению, такая возможность была лишь в будние дни, в выходные приходилось разбираться самой.

Что касается непосредственно процесса обучения, то здесь оказалось всё достаточно просто. На сайте есть расписание с указанием тем, в соответствии с которым куратор публикует методички в личном кабинете. Они доступны для скачивания в pdf-формате. Одновременно с этим открывается доступ к соответствующим видео на вебинар-площадке. Мне, например, было удобно сначала бегло прочитать методичку, а потом уже смотреть видео, останавливаясь на тех моментах, которые отражены в учебном пособии более подробно или наоборот. В видео больше внимания уделяется практическим вопросам.

До определённого момента мне казалось, что всё достаточно просто, особенно, если знаешь, где искать ответ. Но тут началась практическая работа… Не самое приятное чувство, когда чётко понимаешь, что нужно делать, но не понимаешь как. Здесь хочется сказать «спасибо» куратору, потому что он не просто подсказывал правильный путь, а помогал «своим умом дойти» до верного решения. Несомненным плюсом стало то, что в процессе выполнения практики нужно было действовать с позиции потенциального нарушителя. Такой подход позволил взглянуть на информационную безопасность под другим углом и обратить внимание на совершенно иные вещи.

Практические задания построены по принципу «от простого к сложному». Некоторые задания особенно понравились, например, «Web-2». По заданию, провела первичный сбор информации и узнала тип и версию CMS, а также, используя открытые источники, выяснила, что данная версия CMS уязвима к SQLi. С учетом этого, в ручном режиме произвела атаку на сайт.


Задание «Web-2»

Или задание «Web-4». По заданию нужно исследовать сайт. В результате был обнаружен потенциально опасный параметр. Подставив в него пейлоад, выяснила, что с помощью данного параметра можно отобразить произвольный файл с сервера. Зная особенность логов веб-сервера, подставила в user-agent пейлоад и при вызове лога получила шелл-доступ к серверу.


Задание «Web-4»

Обучение на «Zero Security: A» продолжалось 14 дней. Мне удалось пройти только некоторые задания, но было интересно понять хотя бы их логику. К концу курса я выполнила чуть больше 20% практических заданий, да и те с помощью куратора. Для получения сертификата этого, конечно, недостаточно. Но для меня цель обучения была иная — важно было самой разобраться хотя бы в базовых вещах, чтобы лучше понимать своих коллег и более качественно выполнять работу.

Как сотрудник Pentestit могу сказать, что несмотря на постоянное совершенствование программ обучения, в них есть определённые недостатки, например, связь с куратором доступна только в рабочие дни, а в выходные, когда работа над практическими заданиями «кипит», приходится разбираться самостоятельно. Еще, лично для меня, был очень сложный переход от теории к практике, но ребята обещали что-нибудь придумать — например, больше меня не записывать на курс :). Скорее всего это связано отсутствием минимальной подготовки.

На этом, пожалуй, всё!