Полные курсы по веб-безопасности. Каждый путь — это последовательность модулей: теория, практическая лаба, квиз. Проходите по порядку и закрывайте раздел за разделом.
Полное погружение в безопасность загрузки файлов в Go: обход расширений, двойные расширения, подмена Content-Type, magic bytes spoofing. Вы научитесь эксплуатировать уязвимости в хендлерах загрузки и внедрять защиту с изоляцией хранилища, проверкой контента и генерацией безопасных имён.
Глубокое погружение в Server-Side Template Injection (SSTI) в Go-приложениях. Вы научитесь находить и эксплуатировать уязвимости в шаблонизаторах text/template и html/template, использовать вызовы методов структур для кражи секретов, атаковать email-шаблоны и внедрять надежную защиту с контекстным экранированием.
Глубокое погружение в Server-Side Request Forgery (SSRF) в Go-приложениях. Вы научитесь находить и эксплуатировать SSRF для сканирования внутренних сетей, обхода файрволов и кражи секретов из облачных метаданных (AWS, GCP, Azure).
Полномасштабный фундаментальный курс по SQL-инъекциям в Go. Изучите анатомию уязвимости, 10 векторов атак, методы обхода WAF и самые современные средства защиты на уровне кода, БД и инфраструктуры.
Глубокое погружение в многопоточные уязвимости в Go-приложениях. Вы научитесь находить и эксплуатировать гонки данных (Race Conditions), использовать TOCTOU для обхода лимитов, выполнять double-spend на уровне БД и внедрять надежную защиту с мьютексами, транзакциями и Go Race Detector.
Глубокое погружение в Path Traversal в Go-приложениях. Вы научитесь находить и эксплуатировать уязвимости файловых систем, обходить фильтры '../' и использовать спецфайлы Linux (/proc) для кражи переменных окружения и исходного кода.
Глубокое погружение в Insecure Direct Object Reference (IDOR) в Go-приложениях. Вы научитесь находить и эксплуатировать уязвимости горизонтального и вертикального доступа, разберете опасность числовых ID и UUID, освоите Mass Assignment и внедрите надежную систему авторизации на уровне ресурсов.
Глубокое погружение в Command Injection в Go-приложениях. Вы научитесь находить и эксплуатировать выполнение команд через os/exec, обходить фильтры спецсимволов и использовать Out-of-Band (OOB) техники для кражи данных из изолированных сред.
Глубокое изучение Server-Side Template Injection в Node.js-приложениях. Вы разберёте механику SSTI в трёх популярных шаблонизаторах — EJS, Nunjucks и Pug, научитесь эксплуатировать инъекции шаблонов для выполнения произвольного кода на сервере и внедрите многослойную защиту через предкомпилированные шаблоны, строгий контекст данных и автоматизацию обнаружения через SAST/DAST/SCA-инструменты.
Курс по Server-Side Request Forgery в Node.js/Express. Изучите SSRF через fetch/axios, обход через redirect и доступ к cloud metadata. Практикуйтесь на 3 лабах с уникальными методами защиты, defense-in-depth и автоматизацией обнаружения.
Полный курс по SQL-инъекциям в Node.js/Express. Изучите механику атак от обхода аутентификации до Second-Order и WAF Bypass с использованием better-sqlite3, Knex, Sequelize и Prisma. Практикуйтесь на 5 лабах с уникальными методами защиты и научитесь автоматизировать обнаружение через SAST/DAST/CI-CD.
Фундаментальный курс по Directory Traversal в Node.js/Express. Изучите механику атак (../, double encoding, absolute path injection), защитные паттерны через path.resolve/path.relative, express.static, и автоматизацию обнаружения через Semgrep + CodeQL + npm audit. Практика на 3 лабах с уникальными методами защиты.
Фундаментальный курс по Insecure Direct Object Reference в Node.js/Express. Изучите механику горизонтальной и вертикальной эскалации привилегий, защитные паттерны через middleware и Sequelize/Prisma, автоматизацию обнаружения через SAST/DAST. Практика на 3 production-ready лабах.
Фундаментальный курс по безопасной загрузке файлов в Express-приложениях. Вы разберёте обход проверки расширений через двойные расширения и null bytes, подделку Content-Type заголовков, защиту через path.extname() с allowlist и file-type magic bytes, изучите полный production pipeline с S3 и научитесь автоматизировать обнаружение уязвимостей через SAST/DAST/CI.
Курс по инъекциям команд в Node.js/Express. Изучите child_process.exec, обход фильтров, blind injection и eval(). Практикуйтесь на 4 лабах с уникальными методами защиты.
Углублённый курс по Server-Side Template Injection в PHP. Изучите механику SSTI через eval()-шаблоны и preg_replace /e, эксплуатацию Twig sandbox escape, защиту через прекомпилированные шаблоны Twig/Blade и строгие sandbox-политики.
Курс по Server-Side Request Forgery в PHP Native. Разберём file_get_contents() с URL, cURL-запросы, allow_url_fopen, redirect-атаки, доступ к Cloud Metadata (169.254.169.254) и защиту через parse_url() allowlist, CURLOPT_FOLLOWLOCATION и блокировку приватных IP.
Фундаментальный курс по SQL-инъекциям в PHP Native. Изучите историю самой массовой уязвимости веба, механику атак через mysqli и устаревший mysql_*, современную защиту через PDO Prepared Statements, UNION-атаки, слепые инъекции, Second-Order SQLi и обход WAF.
Курс по Path Traversal в PHP Native. Разберём уязвимости include, fopen, file_get_contents с пользовательским вводом, историю null byte injection, двойное кодирование, абсолютные пути и защиту через realpath() + open_basedir.
Курс по Insecure Direct Object Reference в PHP Native. Разберём разницу между AuthN и AuthZ, горизонтальное повышение (sequential ID), UUID-предсказуемость, вертикальное повышение привилегий и защиту через авторизационные проверки и role middleware.
Курс по безопасности загрузки файлов в PHP. Изучите $_FILES, move_uploaded_file, атаки через webshell, .htaccess manipulation и MIME spoofing, защиту через allowlist расширений, UUID rename и finfo_file().
Углублённый курс по уязвимостям включения файлов в PHP. Изучите механику include/require, Local File Inclusion, чтение исходного кода через php://filter, Remote File Inclusion и PHP stream wrappers.
Углублённый курс по десериализации в PHP — самой PHP-специфичной уязвимости. Изучите внутреннее устройство serialize/unserialize, magic-методы __wakeup/__destruct/__toString, Property-Oriented Programming (POP), phar:// wrapper и инструмент PHPGGC.
Курс по инъекциям команд ОС и кода в PHP Native. Разберём все функции выполнения команд (system, exec, passthru, shell_exec, backtick, popen), eval-инъекции, защиту через escapeshellarg(), regex allowlist и удаление eval.
Полный курс по Server-Side Template Injection в Python/Flask. Изучите архитектуру Jinja2, цепочки MRO для RCE, слепые техники и Format String Injection. Практикуйтесь на 4 лабах с уникальными методами защиты.
Курс по SSRF-уязвимостям в Python/Flask. От базового requests.get до cloud metadata через redirect. 3 лабы с URL allowlist, отключением редиректов и блокировкой приватных IP.
Полный курс по SQL-инъекциям в Python/Flask. Изучите механику атак от простого обхода авторизации до Second-Order и WAF Bypass. Практикуйтесь на 6 лабах с уникальными методами защиты.
Курс по Path Traversal в Python/Flask. От базового ../ до /proc доступа. 4 лабы с os.path, pathlib и уникальными защитами.
Курс по IDOR-уязвимостям в Python/Flask. Горизонтальный и вертикальный доступ, UUID, Mass Assignment. 4 лабы с проверкой авторизации, RBAC и marshmallow.
Полный курс по уязвимостям загрузки файлов в Python/Flask. Изучите обход расширений, подделку Content-Type и загрузку webshell. Практикуйтесь на 3 лабах с уникальными методами защиты.
Полный курс по уязвимостям десериализации в Python/Flask. Изучите pickle RCE, YAML unsafe load и JSON class injection. Глубокое погружение в Python internals: __reduce__, протокол pickle, YAML-теги. 3 лабы с уникальными методами защиты.
Курс по инъекциям системных команд в Python/Flask. От os.system() до eval(), от фильтр-байпасов до слепых инъекций. 4 лабы с уникальными защитами.
Глубокое погружение в Cross-Site Scripting (XSS) в Go-приложениях. Вы научитесь находить и эксплуатировать Reflected, Stored и DOM-based XSS, а также освоите современные методы защиты: от html/template до Content Security Policy.
Глубокое погружение в Cross-Site Request Forgery (CSRF) в Go-приложениях. Вы научитесь находить и эксплуатировать уязвимости в формах и API, обходить современные механизмы SameSite Cookie и внедрять надежную защиту с помощью токенов и кастомных заголовков.
Полный курс по Cross-Site Scripting в Node.js/Express. Изучите все типы XSS -- reflected, stored, DOM-based, attribute injection и CSP bypass. Практикуйтесь на 5 лабах с уникальными методами защиты, освойте defense-in-depth и автоматизацию обнаружения через SAST, DAST, CI/CD.
Глубокое погружение в уязвимость Prototype Pollution, уникальную для JavaScript. Вы изучите механику прототипной цепочки, научитесь загрязнять Object.prototype через JSON merge, эскалировать до RCE через gadget chains и устраивать DoS через переопределение встроенных методов. Защита через Object.create(null), Object.freeze и schema validation.
Курс по Cross-Site Request Forgery в Node.js/Express. Изучите механику CSRF-атак, обход SameSite cookies и защиту JSON API. Практикуйтесь на 3 лабах с уникальными методами защиты.
Полный курс по межсайтовому скриптингу (XSS) в PHP Native. Разберём почему PHP не имеет автоматического экранирования вывода, изучим reflected, stored, DOM-based и attribute-контекст XSS, защиту через htmlspecialchars(), HTMLPurifier, CSP и FILTER_VALIDATE_URL.
Курс по Cross-Site Request Forgery в PHP Native. Разберём механику CSRF-атак на PHP-сессии, защиту через random_bytes() + hash_equals(), SameSite cookie и Custom Headers для JSON API.
Полный курс по XSS-уязвимостям в Python/Flask/Jinja2. От Reflected до DOM-based, от |safe фильтра до CSP с nonce. 5 практических лаб с уникальными защитами.
Курс по CSRF-уязвимостям в Python/Flask. От базовой подделки форм до JSON API CSRF. 4 лабы с Flask-WTF, SameSite cookies, double-submit и CORS.
JWT — это популярно, но крайне опасно в неумелых руках. Изучите, как злоумышленники подделывают подписи (alg: none), взламывают слабые секреты и почему хранить токены в LocalStorage — это преступление уровня увольнения.
Изучаем утечки информации в Go-приложениях — debug-эндпоинты в продакшене, verbose error messages со stack traces, backup-файлы через http.FileServer. Осваиваем безопасную обработку ошибок и конфигурацию файл-сервера.
Глубокий курс по защите пользовательских данных и механизмов входа. От основ хеширования паролей и борьбы с брутфорсом до защиты логики сброса паролей и внедрения многофакторной аутентификации в Go-приложениях.
Глубокое погружение в уязвимости контроля доступа в Go-приложениях. Вы научитесь находить и эксплуатировать Forced Browsing, горизонтальное повышение привилегий, обход URL-нормализации и Referer-based доступ. Освоите RBAC, middleware-цепочки и deny-by-default архитектуру.
Полное руководство по безопасности JSON Web Token в Node.js-приложениях. Вы изучите структуру JWT, разберёте три критические уязвимости — обход через алгоритм none, брутфорс слабых секретов и Key Confusion (RS256→HS256) — и научитесь внедрять надёжную защиту с помощью пакета jsonwebtoken.
Комплексное изучение безопасности аутентификации в Express-приложениях. Вы научитесь обнаруживать и эксплуатировать уязвимости — отсутствие rate limiting, слабые политики паролей и timing-атаки — и внедрите надёжную защиту с помощью express-rate-limit, zxcvbn и crypto.timingSafeEqual.
Фундаментальный курс по контролю доступа в Node.js на Express. Изучите Forced Browsing к админ-панелям, горизонтальную эскалацию (IDOR) и обход URL-нормализации. Защита через middleware авторизации, ownership checks, path normalization, RBAC/ABAC через accesscontrol/CASL и автоматизацию обнаружения уязвимостей.
Углублённый курс по безопасности JWT в PHP. Изучите структуру JWT, библиотеку firebase/php-jwt, атаки None Algorithm, брутфорс слабых секретов HMAC, Key Confusion (RS256→HS256) и современные методы защиты.
Курс по безопасности аутентификации в PHP. Изучите session_start, password_hash/verify, атаки брутфорсом, уязвимости слабых паролей через md5/sha1, timing-атаки через == и защиту через rate limiting, bcrypt и hash_equals().
Полный курс по уязвимостям JWT в Python/Flask. Изучите атаки None Algorithm, Weak Secret и Key Confusion (RS256→HS256). Практикуйтесь на 3 лабах с уникальными методами защиты.
Курс по утечкам информации в Python/Flask. Изучите опасность debug-режима, stack traces и раскрытие backup-файлов. Практикуйтесь на 3 лабах с уникальными методами защиты.
Полный курс по уязвимостям аутентификации в Python/Flask. Изучите атаки brute force, слабые пароли и timing-атаки. Практикуйтесь на 3 лабах с уникальными методами защиты.
Полный курс по уязвимостям контроля доступа в Python/Flask. Изучите Forced Browsing, горизонтальную эскалацию привилегий и обход URL. Практикуйтесь на 3 лабах с уникальными методами защиты.
Полное погружение в безопасность WebSocket-соединений в Go: CSWSH (Cross-Site WebSocket Hijacking), обход Origin, инъекции через сообщения. Вы научитесь эксплуатировать уязвимости в WebSocket-хендлерах и внедрять защиту с проверкой Origin, токенной аутентификацией и валидацией сообщений.
Глубокое погружение в уязвимости бизнес-логики Go-приложений. Вы научитесь находить и эксплуатировать negative quantity, price manipulation и coupon stacking. Освоите валидацию бизнес-правил и серверный контроль целостности операций.
Полное погружение в безопасность REST API на Go: Mass Assignment, BOLA, Rate Limiting. Вы изучите OWASP API Top 10, научитесь эксплуатировать уязвимости через JSON-запросы и внедрите защиту с помощью DTO, авторизации на уровне объектов и ограничения частоты запросов.
Фундаментальный курс по Regular Expression Denial of Service (ReDoS) в Node.js на Express. Изучите механику catastrophic backtracking в V8 RegExp engine, поймёте как одно регулярное выражение блокирует Event Loop и парализует весь сервер. Защита через RE2 (linear-time engine), validator.js, safe-regex, worker threads и автоматизацию обнаружения через SAST/DAST и CI/CD.
Углублённый курс по уязвимостям системы типов PHP. Изучите таблицу сравнений PHP, magic hashes (0e), обход strcmp() через массивы, JSON type confusion и методы защиты через строгие сравнения.
С чего начать на HackAndFix: как устроена лаба, чем отличаются режимы Exploit и Fix, как запускать тесты. И главное — инструменты, которые понадобятся почти в каждой лабе: отправка HTTP-запросов из браузера, Insomnia, Kali Linux в виртуальной машине, curl и Burp Suite.