[CyberYozh Academy] SQL для Этичного Хакера (Давид Айрапетян)

Организатор · 11 фев 2025

Овладейте SQL для анализа, защиты и автоматизации данных. Научитесь находить уязвимости, защищать базы данных и создавать собственные инструменты для безопасности и оптимизации работы систем.

Кому подойдёт курс:

Специалисты по кибербезопасности
Вы научитесь находить и устранять уязвимости, включая SQL-инъекции, защищать базы данных и разрабатывать собственные инструменты для аудита, что улучшит ваши навыки тестирования безопасности.

Сисадмины и аналитики баз данных
Курс поможет оптимизировать SQL-запросы, повысить производительность баз данных и автоматизировать их защиту, обеспечивая более стабильную и безопасную работу систем.

Начинающие IT-специалисты
Курс с нуля обучает работе с SQL и базами данных, помогает освоить востребованные навыки анализа данных, тестирования безопасности и автоматизации, что открывает путь к первым профессиональным проектам.

SQL — незаменимый навык для хакера и защитника данных

Знания SQL, полученные на курсе, пригодятся для работы в кибербезопасности, администрировании баз данных и разработке программного обеспечения. Вы научитесь искать и устранять уязвимости, оптимизировать запросы, автоматизировать задачи анализа и защиты данных, создавать собственные инструменты для аудита, а также интегрировать базы данных с Python. Эти навыки востребованы в профессиях, связанных с тестированием безопасности, аналитикой данных и разработкой эффективных решений для бизнеса.

Преимущества

Практическая направленность
60% времени уделяется практике: реальная работа с базами данных, поиск уязвимостей, создание инструментов и решение задач из мира кибербезопасности.

Два в одном
Вы изучите не только SQL, но и способы эксплуатации уязвимостей, защиты баз данных и автоматизации с помощью Python.

Актуальные инструменты
Работа с популярными платформами и инструментами, включая Burp Suite, sqlmap, PostgreSQL и облачные базы данных.

Готовый инструмент для аудита баз данных
Финальный проект закрепит все навыки: вы разработаете собственный инструмент для аудита безопасности и создадите отчет для реальных кейсов.

Модуль 1: Основы SQL и работа с базами данных (5 тем)

Практика:

Установка и настройка PostgreSQL.

Создание и заполнение базы данных тестовыми данными.

Написание запросов для выборки, сортировки и фильтрации данных.

Введение в базы данных: реляционные и NoSQL базы данных.

Обзор инструментов для работы с SQL: MySQL Workbench, DBeaver, pgAdmin.

Введение в ACID-свойства транзакций.

Создание и изменение таблиц: типы данных, ограничения, ключи (PRIMARY, FOREIGN).

Базовые операции SQL: SELECT, INSERT, UPDATE, DELETE.

Модуль 2: Углубленный SQL и сценарии работы с данными (4 темы)

Практика:

Построение сложных запросов для анализа данных.

Оптимизация запросов с использованием индексов.

Реализация ETL-процесса для миграции данных между таблицами.

Создание отчетов с использованием временных таблиц.

Расширенные операции: JOIN (INNER, OUTER, CROSS), UNION, INTERSECT.

Работа с временными таблицами и представлениями (views).

Углубленная работа с подзапросами: коррелированные и некоррелированные.

Усовершенствование производительности: индексы, EXPLAIN.

Модуль 3: SQL-инъекции и эксплуатация уязвимостей (4 темы)

Практика:

Поиск и эксплуатация SQL-инъекций на уязвимых платформах (DVWA, bWAPP).

Создание автоматизированного сканера SQL-инъекций.

Эксплуатация сложных инъекций через API (REST/GraphQL).

Исследование атак с помощью инструментов Burp Suite и sqlmap.

Методы защиты: подготовленные выражения, валидация данных.

Углубление в SQL-инъекции: Out-of-band инъекции, атаки на XML/JSON.

Использование двойной инъекции (Double Query).

Атаки на хранимые процедуры и триггеры.

Модуль 4: Безопасность баз данных и защита от атак (4 темы)

Практика:

Создание роли и привилегий для пользователей базы данных.

Настройка логирования и мониторинга SQL-запросов.

Реализация шифрования данных (ключи, SSL-соединения).

Автоматизация резервного копирования и восстановления базы.

Рекомендации по защите баз данных: ограничение привилегий, шифрование данных.

Аудит баз данных: логирование запросов, поиск аномалий.

Противодействие SQL-инъекциям: инструменты WAF, контроль доступа.

Настройка резервного копирования и восстановления данных.

Модуль 5: Построение инструментов для работы с SQL (4 темы)

Практика:

Написание Python-скрипта для анализа SQL-запросов и извлечения данных.

Создание инструмента для поиска SQL-инъекций с использованием Python.

Реализация автоматической системы отчетности на основе данных из базы.

Работа с данными облачной базы (например, AWS RDS).

Создание скриптов для ETL (Extract, Transform, Load) процессов.

Работа с большими данными: шардирование, партиционирование.

Использование SQL в облачных базах данных (AWS RDS, Google BigQuery).

Интеграция Python с базами данных: библиотеки sqlalchemy, pymysql, psycopg2.

Модуль 6: Финальный проект и углубленные кейсы (4 темы)

Практика:

Финальный проект: анализ уязвимой базы данных, разработка рекомендаций по защите.

Создание автоматизированного инструмента для SQL-инъекций и аудита базы.

Написание полного отчета о выполненной работе и презентация результатов.

Современные тенденции SQL и NoSQL баз данных.

Разбор атак на реальные базы данных.

Анализ успешных методов защиты.

Этика и правовые аспекты работы с базами данных.

Результаты обучения:

Ключевые навыки

Искать и эксплуатировать SQL-инъекции

Анализировать и защищать базы данных

Автоматизировать работу с базами данных с помощью Python

Создавать собственные инструменты для аудита безопасности баз данных

Инструменты курса

MySQL Workbench

DBeaver

pgAdmin

PostgreSQL

Burp Suite

sqlmap

sqlalchemy

pymysql

psycopg2

AWS RDS

Google BigQuery

Davit Hayrapetyan (Этичный хакер)
Опыт в сфере пентеста более 8 лет. Консультирует IT-компании Евросоюза, США и России по вопросам кибербезопасности.

Скрытый текст. Доступен только зарегистрированным пользователям.Нажмите, чтобы раскрыть...