Академия Digital Security

Если честно, то сначала я думал, что будет легко. Я представлял себе курс как набор статей по теории и тестов после каждой темы.

Теоретические материалы перед упражнениями, как правило, раскрывают проблему только первого упражнения в разделе. Уязвимости, которые необходимо использовать в последующих заданиях даже не упоминаются.

В теоретических материалах недоступен полноэкранный режим для видео. Мелочь, а хотелось бы.

Предоставление виртуальных машин для исследования уязвимостей, пожалуй, единственно верный подход, который позволяет ученикам получить реальные практические навыки. Я раньше не встречался с курсом, где все построено именно на этом и заниматься в таком формате было очень познавательно.

Разделение заданий по уровням сложности, что даёт некий стимул при его успешном выполнении. Система подсказок сделана грамотно, и не выдаёт ответа на задание, а указывает на нужный раздел в теоретическом материале, который мог бы пригодиться при выполнении.

Из минусов я бы хотел отметить в первую очередь нехватку теоретического материала. В основном материала хватает для выполнения первых заданий в разделах, для выполнения последующих приходится прибегать к сторонним источникам и искать информацию в интернете.

До этого приходилось проходить практики, в таком классическом формате, где нужно посещать организацию. Но это было какое-то просиживание штанов без дела в основном, пользы было мало. Не знаю, то ли я недостаточно хорош, то ли мне просто с местом не везло. В данном случае же я узнал много нового, попробовал это все на практике. Были сложности, их преодоление, получение знаний и опыта. Кажется, я стал чуточку лучше, приобрел навыки, которые пригодятся еще в дальнейшем. За это хотел поблагодарить. Да, может где-то что-то не так, как хотелось бы. Например, подсказки за хаккоины, которые давали информацию про то, что я уже и так узнал. Некоторая составляющая удачи что ли в экзамене, когда надо было случайным образом каким-то догадаться до некоторых моментов. Но это какие-то мелочи, которые не сильно мешали получить тот необходимый опыт, для которого в университете и придуманы такие вот практики.

Задания есть как легкие, так и сложные. На некоторые из них потребуются хорошие знания JavaScript.

В курсе есть задание «Nephrite» на тему Server-Side Template Injection – уязвимость, возникающая в результате небезопасного внедрения пользовательских данных в серверные шаблоны, оно оказалось для меня самым сложным, но не менее интересным, чем остальные задания.

Самым интересным для меня разделом оказался «Уязвимости фреймворка ReactJS», т.к. я использую его на работе и в своих pet-проектах. В этом разделе рассказывается об таких уязвимостях как «Source Map», «Open Redirect», «Session Tokens in URLs» и т.д.

Удобно, что все задания выполняются прямо на сайте, через виртуальную машину и нет необходимости скачивать что-то на свой компьютер. Также понравилось разделение заданий на «атаку» и «защиту». Ещё порадовало что ты сразу можешь увидеть сложность задания и примерное время его выполнения.

Изначально от курса я ожидала, что благодаря ему я смогу увеличить своё очень базовое знание JavaScript до хорошего уровня, но получилось что курс рассчитан на пользователей с гораздо большим уровнем знаний. К некоторым заданиям в разделе теории были хорошие поясняющие видео, повторяя за которыми я могла с лёгкостью выполнить задания, но во многих заданиях получалось так, что прочитав теорию я понимаю где находиться уязвимость, но без знания JavaScript не понимаю как именно написать код. Также немного неудобно, что все пояснения в видео были на английском, хотя весь текст теории на русском.

Также изредка плохо работал NetCat, например в одном из заданий, где надо было украсть cookie, пришлось очень долго ждать подключения «администратора» и перезапускать программу несколько раз.

В целом курс был очень интересным, я узнала много нового, а главное полезного для дальнейшей учёбы и работы. В свободное время надеюсь пройти два других курса.

Особых сложностей с самим курсом не было, 75% дались довольно легко. А вот с экзаменом было посложнее, пришлось больше усилий приложить. Одно время я застревал на заданиях и не знал, что дальше делать. Но, вот, разобрался.

При первом входе на сайт сразу понравилось оформление, удобный и интуитивно понятный интерфейс.

Перед прохождением курса я поставила себе несколько целей. Получить знания о безопасном программировании, которые бы пригодились мне в дальнейшем, получить как можно больше практических заданий для отработки теории, а также изучить новый язык программирования.

Отдельное спасибо Hactory [платформа Академии] за то, что все необходимое было на сайте курса, ничего не пришлось скачивать дополнительно, а это отдельный плюс.

Видео уроки в лекциях были полностью на английском языке, от этого было труднее их воспринимать. А также все сайты в лабораторных были на английском языке. Очень долго отвечала техподдержка. В целом помощь техподдержки была мне полезна, но само исполнение данного ресурса стоит доработать.

Будучи студенткой в направлении информационной безопасности, считаю этот курс особенно полезным для себя и интересным в целом. Я никогда не работала на JavaScript, но с этими курсами многому научилась: межсайтовый скриптинг (Cookie, CSRF, CSP), подделка межсайтовых запросов (CSRF), уязвимости аутентификации (Authbypass), инъекции в шаблоны (SSTI), уязвимости фреймворка ReactJS.

Курс [по JavaScript Security] очень понравился на самом деле, пойду по порядку...

…были задания Bang на CSRF и CSP, про CSRF и CSP соответственно ничего в теории не было указано, что тоже добавило сложности, хотя сами задания довольно таки понятные и интересные, но то что теория про Cookie и CSRF/CSP одна и та же и нет вообще информации про CSRF и CSP немного обижает.

В заданиях на уязвимости аутентификации (с помощью JWT) всё было понятно, но на машине не работала утилита jwtcat (все время была ошибка при парсинге параметров запуска утилиты), и во втором задании пришлось самому писать код на Python который подберёт секретное слово из подписи, декодирует подпись и решит задачу, но это было несложно, но у человека, который вообще не знаком с Python это может вызвать сложности.