HTTP Status Fundamentals
REST-контроллер возвращает 200 OK при ошибках. Учимся подбирать правильные HTTP статусы и строить error handler.
Перейти в лабораториюCYBERSEC TRAINING
Rostelecom Security Academy — Labs & Training
Здесь собраны практики по уязвимостям и CI/CD. Каждая лабораторная — готовый сценарий с контейнером, подсказками и заданиями на устранение багов.
29
опубликовано
100
в разработке
∞
экспериментов
Доступные лаборатории
Запускай контейнер в своём окружении или разворачивай в облаке. Каждая карточка ведёт на страницу с инструкциями и уязвимым приложением.
cURL HTTP Workflow
Скрипт на curl игнорирует статусы 5xx. Разбираем ключевые флаги и как строить health-checkи в терминале.
Перейти в лабораториюSecureCode: Signup ReDoS
Регистрация валидирует имя сложным @Pattern без лимитов. Учимся предотвращать regex DoS и включать ограничения.
Перейти в лабораториюSecureCode: Search ReDoS
Поиск клиентов падает из‑за тяжёлого @Pattern и отсутствия @Validated. Исправляем валидацию и лимиты.
Перейти в лабораториюSecureCode: Bulk Invite ReDoS
Массовая рассылка проверяет список email тяжёлым регекспом. Учимся ставить лимиты и безопасные валидаторы.
Перейти в лабораториюSecureCode: Webhook ReDoS
Подпись вебхука валидируется опасным @Pattern. Переписываем проверку на HexFormat и вводим лимиты.
Перейти в лабораториюSecureCode: Actuator Health Leak
SecurityConfig игнорирует /actuator/**. Учимся закрывать health/info, маскировать детали и включать авторизацию.
Перейти в лабораториюSecureCode: Actuator Env Leak
/actuator/env раскрывает секреты. Учимся ограничивать exposure, маскировать значения и требовать авторизацию.
Перейти в лабораториюSecureCode: H2 Console Prod
H2 консоль включена в бою. Учимся выключать dev-инструменты, вводить профили и защиту.
Перейти в лабораториюSecureCode: Stacktrace in Prod
Конфиг возвращает stacktrace пользователям. Учимся скрывать детали, строить error handler и проверять тестами.
Перейти в лабораториюIDOR через curl
Node.js сервис без проверки прав доступа. Учимся воровать чужие досье и фиксить контроль объектов.
Перейти в лабораториюPath Traversal API
Файловый просмотрщик, который не ограничивает путь. Учимся красть файлы и нормализовать пути в Node.js.
Перейти в лабораториюSecureCode: Go TempFile Review
Code review-сниппет на Go: ищем path traversal в обработчике загрузки и предлагаем фикс.
Перейти в лабораториюSecureCode: Java Servlet XSS
Ревью Java Servlet, который печатает пользовательский ввод без экранирования. Учимся находить отражённую XSS в исходниках.
Перейти в лабораториюSecureCode: Spring MVC XSS
Разбираем контроллер превью в Spring MVC и фреймворк шаблонов. th:utext + пользовательский HTML = XSS.
Перейти в лабораториюSecureCode: Hardcoded Config Secret
Code review Java сервиса конфигураций: находим API-ключ, который зашили в код, и думаем как вынести его в Secret Manager.
Перейти в лабораториюSecureCode: Account Profile IDOR
Контроллер аккаунтов отдаёт профиль по ID без проверки владельца. Учимся находить IDOR и строить авторизацию по пользователю.
Перейти в лабораториюSecureCode: Order Export IDOR
Экспорт заказов строит CSV по чужому ID и отдаёт его без проверки. Разбираем IDOR в B2B API и фиксируем контроль доступа.
Перейти в лабораториюSecureCode: REST IDOR @PreAuthorize
Эндпоинт /api/v1/users/{id} потерял @PreAuthorize. Учимся возвращать методовые проверки и сравнение subject == resourceOwner.
Перейти в лабораториюSecureCode: REST IDOR Service Guard
Сервис профиля отдаёт данные только по id. Встраиваем централизованный guard и негативные spring-security-test.
Перейти в лабораториюSecureCode: SHA-256 Password Hash
Сервис логина хеширует пароли SHA-256 со статичной солью. Обсуждаем переход на BCrypt/Argon2 и pepper из KMS.
Перейти в лабораториюSecureCode: Secrets in application.yml
AES-ключ и API-токен лежат в конфиге. Учимся выносить секреты в Secret Manager, шифровать AES-GCM и проверять конфиги.
Перейти в лабораториюSecureCode: Hardcoded JWT Secret
Проверяем TokenService: разработчик хардкожит JWT секрет, нам нужно описать риски и предложить защищённое хранение.
Перейти в лабораториюSecureCode: Hardcoded Crypto Key
Ревью утилиты шифрования: мастер-ключ зашит в массив байт. Учимся переносить ключи в KMS и ротацию.
Перейти в лабораториюXSS-01: Reflected XSS
Форма поиска отражает ввод без экранирования. Классическая reflected XSS через GET-параметр с curl.
Перейти в лабораториюXSS-02: Stored XSS
API комментариев без санитизации. Stored XSS сохраняется в базе и выполняется у всех пользователей.
Перейти в лабораториюXSS-03: DOM-based XSS
JavaScript читает параметр из URL и вставляет в DOM через innerHTML. Учимся анализировать клиентский код.
Перейти в лабораториюXSS-04: Filter Bypass
API с базовым XSS-фильтром. Учимся обходить через encoding, nested tags и альтернативные векторы атак.
Перейти в лабораториюПлан расширения
-
Secure Coding Sprint
Лаборатории раздела I из CyberSec Academy Roadmap: валидаторы ввода, контекстное экранирование, безопасное логирование и обработка ошибок.
-
OWASP Core Track
Полный блок раздела II: XSS/CSRF/SQLi, Path Traversal, Command/NoSQL/XXE, SSRF и безопасные загрузки.
-
Auth & Session Hardening
Раздел III: куки, фиксация и угон сессий, reset-flow, MFA bypass, централизованный контроль доступа.
-
Modern API Security
Раздел IV: JWT (база и злоупотребления), OAuth/OIDC, GraphQL, WebSockets и безопасная работа с токенами.
-
Advanced Exploitation & Abuse Cases
Раздел V: гонки, логические баги, сценарии ATO, abuse & throttling, цепочки SSRF → RCE.
-
Edge & Client Security Labs
Раздел VI: takeover, DNS rebinding, CSP, clickjacking, CORS edge cases, third-party, PWA/SW и HTTP/3.