Kurs
Cyber Security Tester/Analyst – Hands-On Exploiting («HAK4»)
Kurs-Facts
- Umsetzen von bekannten und neuartigen Exploiting-Techniken
- Prüfen von Sicherheitsmassnahmen gegenüber Exploits in Testumgebungen (Hacking-Labs)
- Schärfen der analytischen Fähigkeiten gegenüber gezielten Angriffen
- Verständnis und rasches Erkennen von Angriffsmustern
Im Kurs wird mit KALI LINUX™ und diversen eigenen Codes gearbeitet. Für alle Teilnehmenden steht eine entsprechende LAB-Umgebung für die Hands-on-Übungen bereit. Sie werden in den geführten LAB-Übungen Schritt für Schritt an die spannende Exploit-Thematik herangeführt. Dabei werden neben professionellen Exploiting-Werkzeugen wie dem Metasploit™ Framework auch diverse eigene Skripts eingesetzt. Im LAB werden Angriffe auf Client- und Server-Systeme sowie auf Webapplikationen angeschaut. Dabei erlangen wir mittels Exploits Zugriff auf Systeme und erhöhen mittels Privilege Escalation unsere Systemrechte. Zum vertieften Verständnis aktueller Angriffe schauen wir uns den besonders interessanten Ansatz des «Living off the Land Hackings» an, gegen welchen grundlegende Schutzmassnahmen momentan nicht ausreichend sind.
Abgerundet wird der Kurs mit den essentiellen Angriffs-Techniken gegen Webapplikationen, da gerade diese ein exponiertes und beliebtes Ziel von kriminellen Hackern sind. Durch das gemeinsam erarbeitete Wissen können Sie im Anschluss an diesen Kurs in eigenen Testumgebungen bekannte und neuartige Exploit-Techniken analysieren und damit eigene Cyber Security Massnahmen und Erkennungsregeln verbessern. Alle Teilnehmenden verpflichten sich ausdrücklich, das erlernte Wissen nicht missbräuchlich zu verwenden. Vor Beginn des Kurses ist daher eine entsprechende schriftliche Vereinbarung zu unterzeichnen.
- Einrichten eines eigenen Exploiting-Labs
- Rechnerarchitekturen und Assemblercode im Kontext von Exploits einordnen
- Einstieg in Debugging-Programme wie gdb, OllyDbg und Immunity
- Aufdecken von Schwachstellen mittels Fuzzing
- Grundlegende Exploiting-Techniken wie Buffer- und Heap-Overflows, Format String Verwundbarkeiten usw. verstehen
- Eigene Exploit-Skripte gemeinsam erstellen
- Die Nutzung von Shellcodes innerhalb des Exploitings verstehen
- Shellcodes generieren und in den eigenen Exploit-Skript einbetten
- Lauffähigkeit des Exploits sicherstellen (Bad Chars)
- Diverse User Space Exploits durchführen
- Mittels Kernel Exploits Root-Rechte erlangen
- Verwundbare Programmbibliotheken (DLLs) ausnutzen
- Schutzwirkung und Grenzen von DEP und ASLR im Kontext der Systemhärtung einordnen
- Mit «Living off the Land Hacking» Schutzmassnahmen prüfen
- Grundlegende Angriffstechniken gegen Webapplikationen wie XSS, SQL-Injection usw. verstehen
- Aufgaben für eigene LABs zur selbstständigen Wissensvertiefung
*Metasploit™ is a trademark of Rapid7 LLC.
Teil von folgenden Kursen / Lehrgängen
Dieser Kurs richtet sich an Security-Fachleute, Informatiker und Führungskräfte, die den Kurs «Cyber Security Tester – Hands-on Professional (HAK2)» besucht haben und ihr bisher erworbenes Wissen und die analytischen Fähigkeiten in einem Hands-on-Training mit diversen Exploiting-Techniken vertiefen möchten.
Besuch einer der folgenden Kurse oder gleichwertige breite praktische Hacking-Erfahrungen mit KALI LINUX™:
Dieses Kompaktseminar kann zusammen mit eigenen Übungen zur Vorbereitung auf diverse IT- Security- und Hacking-Zertifikate verwendet werden und ist Bestandteil der Vorbereitung auf das renommierte Zertifikat: «OSSTMM Professional Security Analyst».
- Unter Windows ist in der Regel der Offizielle von Microsoft bereits installiert
- macOS-Nutzer können im Apple App Store den offiziellen Client von Microsoft herunterladen: https://apps.apple.com/ch/app/microsoft-remote-desktop/id1295203466