Решено Курс РНР для хакера [создание курса]

[T-Rex]

Доброго времени суток. Есть огромное желание внести свой вклад в развитие форума и вклад довольно не стандартный/неординарный, поэтому решил провести полноценный видеокурс для начинающих. Это согласовано с Кэпом. Курс будет отличным подспорьем и подготовительным этапом для желающих пройти официальный курс WAPT от руководства форума. Постараемся уложиться до декабря.

1) Курс исключительно для новичков, которые не владеют программированием и не понимают из-за чего возникают уязвимости, как их эксплуатировать и как их устранять!
2) курс не подойдет опытным, т.к. для вас содержание сплошная вода.

В связи с этим хочу обратится к добровольцу желающему поддержать начинание бесплатно, чисто за респект, т.к. сам курс бесплатный. Если таковой тут присутствует, было бы круто если Ты возьмешься, то помощь мне нужна в следующем: нужно красиво оформить PDF в едином стиле, сам текст и скриншоты я могу приложить. Так же нужно придумать домашние задания и проверять, а то на одного меня велика нагрузка в составления учебного плана, запись уроков, ведения общения с учениками и т.д. Так же было бы не плохо если помощник составит список дополнительной литературы по теме, чтоб ученики подкрепляли знания.

О чем данный курс

1) Научить основам языка РНР как самого распространенного языка программирования в веб сфере;
2) Научить основам SQL запросов по вышеназванной причине;
3) Писать уязвимые веб приложения и устранять уязвимости;
4) Использовать инструменты для пентеста (которыми будем эксплуатировать уязвимости).

Под спойлерами можно посмотреть темы которые будем проходить.

1) Подготовительная часть

1) pdf файл с:
описанием языка;
концепции нашего курса.

2) pdf файл с описанием нужного инструментария (редакторы кода, серверы, хакерские тулзы).
3) pdf с установкой LAMP (Linux, Apach, MySQL, PHP).
4) установка PhpMyAdmin.
5) видеоролик с написанием рекламного лендинга курса на HTML.

2) Основы РНР

1) Echo. "Hello Codeby". Комментарии. Одинарные и двойные кавычки.
2) Переменные. (Глобальные, локальные). Объединение строк.
3) Типы данных. (Int, Str и т.д...)
4) Константы.

Текст:
5) pdf файл с описанием темы "Операторы" (присваивание, сравнение
логический, switch).

Видеоролики:
6) Циклы (while, do, for).
7) Массивы. Isset, unset.
8) Функции.
Текст:
9) Методы запросы (GET, POST, PUT, DELETE, HEAD, TRACE, CONNECT, PATCH).

Видеоролик:
10) Методы GET, POST.
11) Cookies. Сессии.
12) Право доступа к файлу.
13) Редирект.

Текст:
9) Методы запросы (GET, POST, PUT, DELETE, HEAD, TRACE, CONNECT, PATCH).

Видеоролик:
10) Методы GET, POST.
11) Cookies. Сессии.
12) Право доступа к файлу.
13) Редирект.

3) SQL

ТЕОРИЯ SQL:
Текст:
1) Что такое SQL. Разница между SQL и NoSQL.
2) Структура SQL. Создание базы данных.

Видео:
3) СREATE.
4) INSERT. Комментарии.
5) SELECT, WHERE.
6) ORDER BY, LIMIT.
7) UNION.
8) my escape string

4) Программирование и хакинг

Видео:
1) Маршрутизация. Уязвимость - XSS reflected.
2) Эксплуатация уязвимости. Инструменты для автоматизации.
3) Поднимаем сложность до максимума. Эксплуатация.
4) Исправляем уязвимость.
5) Cтраница с комментариями. Уязвимость - XSS stored.
6) Эксплуатация уязвимости.
7) Поднимаем сложность до максимума. Эксплуатация.
8) Исправляем уязвимость.
9) Пингуемся. Уязвимость - Command OS injection (CMD injection).
10) Эксплуатация уязвимости. Инструменты для автоматизации.
11) Поднимаем сложность до максимума. Эксплуатация.
12) Исправляем уязвимость.

Текст:
13) Подключаем базу данных.

Видео:
14) Пишем страницу авторизации. Уязвимость - брутфорс.
15) Эксплуатация уязвимости. Инструменты для автоматизации.
16) Поднимаем сложность до максимума. Эксплуатация.
17) Исправляем уязвимость.
18) Уязвимость SQL инъекция. Эксплуатация уязвимости. Инструменты для автоматизации.
19) Исправляем уязвимость.
20) Сoздаем страницу с id. Уязвимость Blind SQL injection.
21) Эксплуатация уязвимости. Инструменты для автоматизации.
22) Поднимаем сложность до максимума. Эксплуатация.
23) Исправляем уязвимость.

Итого:
* 10 pdf файлов;
* 40 видеороликов (18 теория; 22 сайт + хакинг);
* 6 уязвимостей:
1) xss reflected;
2) xss stored;
3) cmd injection;
4) bruteforce;
5) union sql inj;
6) blind sql inj.

Чему курс не научит

1) Полноценному программированию. Т.е. не будут пройдены темы ООП, MVC, SOLID, хотя ООП возможно коснемся.
2) Курс не сделает из вас полноценных профессиональных пентестеров. Будет пройдена минимально необходимая база.
3) Вы не будете обучены взлому серверов.

Кому нужен этот курс

Тебе интересна тематика ИБ и ты совершенно не знаешь с чего начать, ты полный ноль в этой сфере. Тебе предлагают учить программирование, а выбор языка программирования уже вызывает диссонанс, то Python для скриптов, то PHP или JavaScript для сайтов, а ещё утверждают, что тру-хакир пишет вирусы, тут тоже холивар разводят, что лучше С# начинающему или плюсы (С++) учить и ты от одного к другому мечешься, пробуешь там и сям.
По статьям с форумов ничему кроме как тыкать кавычки и искать такие сайты по доркам не научился. Из поиска уязвимостей дальше включения крякнутого Акунетикса ничего не знаешь.
А если человека сажаешь за изучение азов программирования и когда он сам пишет уязвимые страницы, ломает их, ему объясняют почему эта уязвимость возникла, когда он защищает страницу, у него уже есть четкая картина того, что ему нужно изучить самостоятельно.
И курс который я предложил не как таковой, что поиск и эксплуатация уязвимостей на сайтах пхпшных. А именно понимание концепции веб-технологий и как нужно искать уязвимости.
И цель данного курса, чтоб вчерашний новичок любую необходимую ему технологию мог в течении 2х недель изучить и знать зачем ему это.

Думаю на этом можно закругляться. Жду отклика от добровольца.

P.S. Программа курса может быть изменена в той или иной степени.

 

[sever0ever]

Если данное начинание не загнется на полпути, то автору почет и уважение.

 

[Corsicanec]

А какой отклик требуется? Я вот с удовольствием бы прошел курс, тем более , если будет наставник

 

[T-Rex]

А какой отклик требуется? Я вот с удовольствием бы прошел курс, тем более , если будет наставник

Отклик от добровольца желающего помочь в создании курса. Доброволец уже есть, написал мне в телеграм.

Записаться желающие пройти обучение могут после официального анонса на форуме.

 

[maletzkii]

Я очень хотел бы попасть именно на этот курс, из-за его концепции. Методики преподнесения материала. Судя по описанию, это тот способ, при котором мне проще усваивать материал

 

[CryptoDed]

Мне тоже интересно это направление. Начинаю увлекаться ИБ. Скромный опыт в PHP

 

[SooLFaa]

Это курс не PHP для хакера. Это курс "Первые сто страниц любого учебника по РНР". Рекомендую сменить название на более актуальное. Либо все таки заложить в материал всевозможные приемы и триксы с ПХП, коих слава богу огромное множество. Но с другой стороны, много из них будет пересечением с WAPT. Я бы сто раз подумал, прежде чем делать что то такое на коммерческой основе.

 

[explorer]

Это курс не PHP для хакера. Это курс "Первые сто страниц любого учебника по РНР". Рекомендую сменить название на более актуальное. Либо все таки заложить в материал всевозможные приемы и триксы с ПХП, коих слава богу огромное множество. Но с другой стороны, много из них будет пересечением с WAPT. Я бы сто раз подумал, прежде чем делать что то такое на коммерческой основе.

Хорош уже наезжать, всю охоту у людей скоро отобьёшь что-то писать. Одну тему зарубил уже, теперь и вторая не нравится. Я так двумя руками ЗА эти темы.

Этот форум в шапке написан как форум программистов, а по факту по программированию очень мало материала. Пускай пишут, а то элементарные вещи на каждой неделе спрашивают, типа мне прога такую ошибку выдала, что делать? Хотя в трейсе явным образом написано в чём косяк.

Так что такие прекрасные начинания можно только поддерживать, пусть уровень знаний кодинга у форумчан поднимается. Далеко не все умеют кодить, а те кто умеет не против и с другим языком ознакомиться. Самому бывает влом что-то новое изучать, а когда попутно на форуме потихоньку даётся материал, то это будет совсем не напряжно.

 

[T-Rex]

Я бы сто раз подумал, прежде чем делать что то такое на коммерческой основе.

 

[cbv]

Жду курса, молодец что делаешь!

 

[SooLFaa]

Хорош уже наезжать, всю охоту у людей скоро отобьёшь что-то писать. Одну тему зарубил уже, теперь и вторая не нравится. Я так двумя руками ЗА эти темы.

Этот форум в шапке написан как форум программистов, а по факту по программированию очень мало материала. Пускай пишут, а то элементарные вещи на каждой неделе спрашивают, типа мне прога такую ошибку выдала, что делать? Хотя в трейсе явным образом написано в чём косяк.

Так что такие прекрасные начинания можно только поддерживать, пусть уровень знаний кодинга у форумчан поднимается. Далеко не все умеют кодить, а те кто умеет не против и с другим языком ознакомиться. Самому бывает влом что-то новое изучать, а когда попутно на форуме потихоньку даётся материал, то это будет совсем не напряжно.

Из - за таких тем, меня сюда и поставили. Шапка скоро изменится и ты (если читаешь чатик цветных) вкурсе об этом. Codeby - давно перестал быть форумом программистов. Основная аудитория про IT/InfoSec и так как сейчас у форума вектор стать популярной и серьезной площадкой, то темы наподобие "пишем Hellow world" или "Изучаем циклы" на PHP только вредят общему имиджу и конкретно мемберам. Безусловно автор молодец, что хочет что - то делать. Но на мой взгляд он распыляется на бесперспективную задачу, в то время, как можно заниматься более глобальными и интересными вещами.

П.С. К школе кодебай я никакого отношения не имею по крайней мере до Нового Года пока так, решайте сами, автор спросил мнение, я его озвучил. Нравится объяснять дошколятам про циклы - пожалуйста, но я бы лучше потратил время на создание более толкового материала. И я его потрачу...

 

[T-Rex]

Основная аудитория про IT/InfoSec и так как сейчас у форума вектор стать популярной и серьезной площадкой, то темы наподобие "пишем Hellow world" или "Изучаем циклы" на PHP только вредят общему имиджу и конкретно мемберам

Прекрасное стремление. Стать площадкой в ИБ примерно как Хабр в лучший годы в целом в ИТ. Лично я буду только прилагать усилия для этого и поверь, моя заинтересованность в качественности местного контента не ниже твоего.
<<"пишем Hellow world" или "Изучаем циклы" на PHP>> - этого на форуме не будет. Я набираю новичков - а курс подчеркнуто для новичков, и ухожу с ними заниматься. Ресурс такими постами забиваться не будет.

Безусловно автор молодец, что хочет что - то делать. Но на мой взгляд он распыляется на бесперспективную задачу, в то время, как можно заниматься более глобальными и интересными вещами.

Да конечно, можно заниматься собой, а нубасов послать и сказать"для вас всё готово, учитесь сами" накидав им полотно из ссылок на иностранные ресурсы, но, что-то не вижу, чтоб этих новичков кто-то взял и учил бы за идею.
Лично мне пока не ясен твой негативный посыл в теме которой я открыл для подготовки будущих специалистов которые в дальнейшем и ИнфоСек школу Кодебай могут пройти.

 

[Максим Соколов]

Доброго времени суток. Есть огромное желание внести свой вклад в развитие форума и вклад довольно не стандартный/неординарный, поэтому решил провести полноценный видеокурс для начинающих. Это согласовано с Кэпом. Курс будет отличным подспорьем и подготовительным этапом для желающих пройти официальный курс WAPT от руководства форума. Постараемся уложиться до декабря.

1) Курс исключительно для новичков, которые не владеют программированием и не понимают из-за чего возникают уязвимости, как их эксплуатировать и как их устранять!
2) курс не подойдет опытным, т.к. для вас содержание сплошная вода.

В связи с этим хочу обратится к добровольцу желающему поддержать начинание бесплатно, чисто за респект, т.к. сам курс бесплатный. Если таковой тут присутствует, было бы круто если Ты возьмешься, то помощь мне нужна в следующем: нужно красиво оформить PDF в едином стиле, сам текст и скриншоты я могу приложить. Так же нужно придумать домашние задания и проверять, а то на одного меня велика нагрузка в составления учебного плана, запись уроков, ведения общения с учениками и т.д. Так же было бы не плохо если помощник составит список дополнительной литературы по теме, чтоб ученики подкрепляли знания.

О чем данный курс

1) Научить основам языка РНР как самого распространенного языка программирования в веб сфере;
2) Научить основам SQL запросов по вышеназванной причине;
3) Писать уязвимые веб приложения и устранять уязвимости;
4) Использовать инструменты для пентеста (которыми будем эксплуатировать уязвимости).

Под спойлерами можно посмотреть темы которые будем проходить.

1) Подготовительная часть

1) pdf файл с:
описанием языка;
концепции нашего курса.

2) pdf файл с описанием нужного инструментария (редакторы кода, серверы, хакерские тулзы).
3) pdf с установкой LAMP (Linux, Apach, MySQL, PHP).
4) установка PhpMyAdmin.
5) видеоролик с написанием рекламного лендинга курса на HTML.

2) Основы РНР

1) Echo. "Hello Codeby". Комментарии. Одинарные и двойные кавычки.
2) Переменные. (Глобальные, локальные). Объединение строк.
3) Типы данных. (Int, Str и т.д...)
4) Константы.

Текст:
5) pdf файл с описанием темы "Операторы" (присваивание, сравнение
логический, switch).

Видеоролики:
6) Циклы (while, do, for).
7) Массивы. Isset, unset.
8) Функции.
Текст:
9) Методы запросы (GET, POST, PUT, DELETE, HEAD, TRACE, CONNECT, PATCH).

Видеоролик:
10) Методы GET, POST.
11) Cookies. Сессии.
12) Право доступа к файлу.
13) Редирект.

Текст:
9) Методы запросы (GET, POST, PUT, DELETE, HEAD, TRACE, CONNECT, PATCH).

Видеоролик:
10) Методы GET, POST.
11) Cookies. Сессии.
12) Право доступа к файлу.
13) Редирект.

3) SQL

ТЕОРИЯ SQL:
Текст:
1) Что такое SQL. Разница между SQL и NoSQL.
2) Структура SQL. Создание базы данных.

Видео:
3) СREATE.
4) INSERT. Комментарии.
5) SELECT, WHERE.
6) ORDER BY, LIMIT.
7) UNION.
8) my escape string

4) Программирование и хакинг

Видео:
1) Маршрутизация. Уязвимость - XSS reflected.
2) Эксплуатация уязвимости. Инструменты для автоматизации.
3) Поднимаем сложность до максимума. Эксплуатация.
4) Исправляем уязвимость.
5) Cтраница с комментариями. Уязвимость - XSS stored.
6) Эксплуатация уязвимости.
7) Поднимаем сложность до максимума. Эксплуатация.
8) Исправляем уязвимость.
9) Пингуемся. Уязвимость - Command OS injection (CMD injection).
10) Эксплуатация уязвимости. Инструменты для автоматизации.
11) Поднимаем сложность до максимума. Эксплуатация.
12) Исправляем уязвимость.

Текст:
13) Подключаем базу данных.

Видео:
14) Пишем страницу авторизации. Уязвимость - брутфорс.
15) Эксплуатация уязвимости. Инструменты для автоматизации.
16) Поднимаем сложность до максимума. Эксплуатация.
17) Исправляем уязвимость.
18) Уязвимость SQL инъекция. Эксплуатация уязвимости. Инструменты для автоматизации.
19) Исправляем уязвимость.
20) Сoздаем страницу с id. Уязвимость Blind SQL injection.
21) Эксплуатация уязвимости. Инструменты для автоматизации.
22) Поднимаем сложность до максимума. Эксплуатация.
23) Исправляем уязвимость.

Итого:
* 10 pdf файлов;
* 40 видеороликов (18 теория; 22 сайт + хакинг);
* 6 уязвимостей:
1) xss reflected;
2) xss stored;
3) cmd injection;
4) bruteforce;
5) union sql inj;
6) blind sql inj.

Чему курс не научит

1) Полноценному программированию. Т.е. не будут пройдены темы ООП, MVC, SOLID, хотя ООП возможно коснемся.
2) Курс не сделает из вас полноценных профессиональных пентестеров. Будет пройдена минимально необходимая база.
3) Вы не будете обучены взлому серверов.

Кому нужен этот курс

Тебе интересна тематика ИБ и ты совершенно не знаешь с чего начать, ты полный ноль в этой сфере. Тебе предлагают учить программирование, а выбор языка программирования уже вызывает диссонанс, то Python для скриптов, то PHP или JavaScript для сайтов, а ещё утверждают, что тру-хакир пишет вирусы, тут тоже холивар разводят, что лучше С# начинающему или плюсы (С++) учить и ты от одного к другому мечешься, пробуешь там и сям.
По статьям с форумов ничему кроме как тыкать кавычки и искать такие сайты по доркам не научился. Из поиска уязвимостей дальше включения крякнутого Акунетикса ничего не знаешь.
А если человека сажаешь за изучение азов программирования и когда он сам пишет уязвимые страницы, ломает их, ему объясняют почему эта уязвимость возникла, когда он защищает страницу, у него уже есть четкая картина того, что ему нужно изучить самостоятельно.
И курс который я предложил не как таковой, что поиск и эксплуатация уязвимостей на сайтах пхпшных. А именно понимание концепции веб-технологий и как нужно искать уязвимости.
И цель данного курса, чтоб вчерашний новичок любую необходимую ему технологию мог в течении 2х недель изучить и знать зачем ему это.

Думаю на этом можно закругляться. Жду отклика от добровольца.

P.S. Программа курса может быть изменена в той или иной степени.

я хочу

 

[ZaCo]

cmd injection это че такое?

 

[T-Rex]

наверное в курс нужно будет ввести урок по самому важному навыку любого кодера/пентестера - гуглёжь )))

 

[ZaCo]

наверное в курс нужно будет ввести урок по самому важному навыку любого кодера/пентестера - гуглёжь )))

скинь ссылку если не трудно, почитаю что это такое

Так что такие прекрасные начинания можно только поддерживать, пусть уровень знаний кодинга у форумчан поднимается. Далеко не все умеют кодить, а те кто умеет не против и с другим языком ознакомиться. Самому бывает влом что-то новое изучать, а когда попутно на форуме потихоньку даётся материал, то это будет совсем не напряжно.

полностью поддерживаю, людей надо учить не ломать а строить ибо хакир в первую очередь это кодер!!! Но и SooLFaa тоже понимаю что это будет очередным "дет садом" вы же хотите расти? а следовательно и качество контента должно расти.

 

[explorer]

cmd injection это че такое?

Это внедрение команд ОС. В Кали есть прога, которая умеет их эксплуатировать - Commix.

 

[ZaCo]

может речь об RCI?

 

[Bringer_the_Light]

Не обращай внимания на этого "штриха" он знатный в узких кругах фармазон)))делай свое дело))

 

[Dervish]

Здорово хороший курс с удовольствием учился ,если чем-то помочь смогу буду рад. Удачи и процветание ресурсу.