Меня часто спрашивают (начнём с повышения собственного уровня экспертности в глазах читателей - сделаем вид, что я популярный блоггер в своей области, что в моём ТГ не сотня подписчиков), как лучше всего строить свою карьеру в кибербезопасности - где изучать теорию, где отрабатывать знания на практике и т.д. Если без шуток, то вопросы, действительно, периодически поступают, и они, часто одни и те же. Поэтому, я решил собрать всю доступную мне инфу в единую базу знаний. Периодически её пополняю. И вот сегодня решил рассказать о ней на хабре. Собственно, начать решил с, наверное, одного из ключевых пунктов - с практических задач для отработки полученных знаний.
Сайтов с такими задачами существует много. Скорее всего, тут собрана даже не половина. Но я постарался охватить самые полезные/популярные из них. (Сразу оговорюсь, подборка сайтов для практики, во многом, собрана в ТГ-чате https://t.me/CyberJobsRussia)
Я же, со своей стороны, её немного дополнил и систематизировал, разбив сайты по разным направлениям кибербеза. Разбивка по цветам команд (направлениям кибербезопасности) описана здесь.
Blue team
https://www.rangeforce.com/ - разные интересные лабы
https://blueteamlabs.online/ - разные интересные лабы
https://letsdefend.io/ - интерактивное расследование инцидентов
https://cyberdefenders.org/ - расследование инцидентов
https://www.malware-traffic-analysis.net/ - исследование вредоносного сетевого трафика
https://cyberbones.standoff365.com/ - Российский (от Positive technologies) сайт для практики расследования инцидентов
https://tryhackme.com/ - солянка
https://www.hackthebox.com/ - хакинг тачек
https://ru.defbox.io/ - расследование инцидентов
Red team
https://tryhackme.com/ - солянка
https://www.hackthebox.com/ - хакинг тачек
https://pentesterlab.com/ - хакинг тачек
https://exploit.education/ - использование эксплоитов
https://ctflearn.com/ - солянка
https://ctf101.org/ - солянка
https://vulnhub.com/entry/empire-breakout,751/ - скачать уязвимые виртуалки для отработки навыков пентеста
https://portswigger.net/web-security - лабы по Web-пентесту (от создателей Burp Suite)
http://www.itsecgames.com/bugs.htm - уязвимое веб-приложение
https://owasp.org/www-project-security-shepherd/ - стенд от команды OWASP для отработки навыков пентеста и AppSec-а
https://ru.defbox.io/ - базовые навыки пентеста
Purple team
https://crackmes.one/ - реверс инжиниринг
https://github.com/frankwxu/digital-forensics-lab - форензика
Green team
https://www.securecodewarrior.com/ - поиск уязвимостей в коде
https://owasp.org/www-project-security-shepherd/ - стенд от команды OWASP для отработки навыков пентеста и AppSec-а
https://github.com/search?q=vulnerable+code&type=repositories - репозитории с уязвимым кодом
Yellow team
Для команды внедренцев лучшей практикой будет разворачивание чего-то максимально приближенного к реальным задачам, поэтому, советую подробно ознакомиться со страницей Стенды для практики
Но, помимо собственных стендов, нашёл несколько лаб по настройке СЗИ вот у этих ребят - https://ru.defbox.io/
Orange team
С практикой у этого направления хуже всего. Могу посоветовать только обратить внимание на https://school.edu.ptsecurity.com/
Ну и напоследок пара ссылок для тех, кому лень листать вверх...
Та самая база знаний по старту карьеры в Информационной безопасности
