Современное время прекрасно подходит для обучения. Сайты, курсы, лабораторные, ИИ. При всем многообразии контента, ко мне в ЛС периодически приходят ребята с вопросом — где научиться пентесту. Одни просто хотят, чтобы им показали на какие кнопки нажимать, а другие реально хотят научиться и спрашивают, где это сделать. Для них сегодня и сделаем краткий обзор. Я не буду делить на red и blue team, просто пройдусь по тем площадкам и самое главное самостоятельным лабораторным, которые я считаю наиболее интересными и где учился и учусь сам. Поехали.
Standoff 365
https://standoff365.com
Если ты сразу подумал про компьютерную игру, тебе не сюда.
Киберполигон Standoff365 — это виртуальная инфраструктура, имитирующая реальные предприятия и отрасли экономики. Команды делятся на red и blue team. В рамках Standoff проводятся соревнования, но доступны и задачи, которые можно решать самостоятельно. Для начинающих, есть Bootcamp с простыми задачами. В разделе Industry смоделированы бизнес и технологические процессы реальных отраслей — банковская, энергетика, нефтяная и другие. Считаю его лучшим киберполигоном.
HackTheBox
https://www.hackthebox.com/
Одна из самых известных платформ для тренировок в тестировании на проникновение. Есть виртуальные машины от легких до сложных, под разные технологии и векторы атак. Одно из преимуществ платформы — наличие курсов и сертификации, так сказать — все в одном. Тренироваться можно как в red так и blue team навыках. На HackTheBox есть отдельная страница для CTF.
TryHackMe
https://tryhackme.com/
На мой взгляд, THM отличается от HTB более мягким порогом вхождения в индустрию. Очень рекомендую ее новичкам. Как и на HTB есть курсы и лабы, как для blue, так и red team. У HTB есть сезоны, здесь, как ближайший аналог — лиги. Держал как-то первое место 5 недель подряд, остановился на алмазе, если память не изменяет. В общем, если вы только начинаете, я бы советовал TryHackMe. Отдельно отмечу интересные задания для SOC. Проводят интересные CTF — Industrial Intrusion как пример одной из лучших, в каких я участвовал.
PortSwigger Academy
https://portswigger.net/web-security
Если ты хочешь научиться веб-пентесту — однозначно тебе сюда. Лабы по XSS, SQLi, CSRF, SSRF и много других умных слов.
Root Me
https://www.root-me.org/
Много заданий на разные темы. Помогает в подготовке к CTF
Blue Team Labs Online
https://blueteamlabs.online/
Как понятно из названия — платформа для тренировки навыков в области защиты
DefBox
https://defbox.io/
Еще одна платформа для Blue team.
Теперь перейдем к On-prem лабам.
Начнем с инфраструктуры.
GOAD
https://github.com/Orange-Cyberdefense/GOAD
Одна из, если не самая известная лабораторная работа по тренировке Active Directory — GOAD или game of active directory. Автоматически разворачивается, имитирует реальную корпоративную сеть с множеством типовых ошибок конфигурации AD. Идеально подходит для тренировок.
BadBlood
https://github.com/davidprowe/BadBlood
В связке с GOAD или без нее, если решили поднять все с нуля, заполняет (НЕ ЗАПУСКАТЬ НА ПРОДЕ, ЗНАЮ И ТАКИЕ СЛУЧАИ) существующий домен пользователями, ACLs, группами, делая вашу лабу, похожей на реальную корпоративную сеть с шумом и запутанными правами, разобраться без опыта и правда не просто.
Теперь веб пентест.
bWAPP
buggy web application
Ссылок приводить не буду, найти легко, учитесь в первую очередь искать информацию. Подходит для того, чтобы понять как устроены различные уязвимости.
DVWA
https://github.com/digininja/DVWA
Damn Vulnerable Web Application — аналогично лабе выше, идеально для начинающих.
WebGoat
https://github.com/WebGoat/WebGoat
https://owasp.org/www-project-webgoat/
Лейбл OWASP и этим все сказано. В процессе установки еще и навыки админа прокачаете.
OWASP Juice Shop
https://github.com/juice-shop/juice-shop
https://owasp.org/www-project-juice-shop/
Сложнее и реалистичнее остальных, но здесь, просто мое мнение. Освоили предыдущие, переходите к этому.
Ну и наконец бонус — пентест Kubernetes (!)
Да да, для него тоже есть отдельная лаба.
Kubernetes Goat
https://github.com/madhuakula/kubernetes-goat
https://madhuakula.com/kubernetes-goat/
Создан специально для того, чтобы показать как не надо настраивать или как пентестить (как вам больше нравится) kubernetes. Разные сценарии, разные варианты установки, отличный веб-интерфейс. Будет полезно, так как Cloud давно уже в тренде.
Само собой лабораторных намного больше, как платных так и бесплатных, я упомянул лишь те, на каких учился или продолжаю (Standoff!) оттачивать свои навыки сам. Удачного обучения и самое главное помните — оставайтесь на светлой стороне.