Джокер
Администратор
- Регистрация
- 1 Янв 2015
- Сообщения
- 133.697
- Реакции
- 76.325
Складчина: Кибербезопасность: веб-пентест [Тариф Базовый] [Яндекс Практикум]
Курс для специалистов с опытом:
Разработчиков
Автоматизаторов тестирования
Системных администраторов
Студентов техвузов и начинающих пентестеров
За 4 или 6 месяцев научитесь находить уязвимости в веб‑приложениях и эксплуатировать их:
Научитесь находить и эксплуатировать уязвимости OWASP и API Top 10
Будете практиковаться в CTF-симуляторе Яндекса, приближенном к реальным условиям
Обучение от практиков — пентестеров и AppSec‑инженеров с опытом в финтехе и других индустриях
Разовьёте навыки, которые помогут перейти в новое направление или получить повышение
Программа разработана специалистами из Яндекса, VK и Альфа-Банка
Чему вы научитесь:
Проводить полный цикл веб‑пентеста: от разведки до финального отчёта
Находить и эксплуатировать уязвимости из OWASP Top 10 и API Top 10
Проверять безопасность авторизации, аутентификации и API: OAuth, JWT, SSO
Использовать инструменты пентеста: Burp Suite, SQLMap, ffuf, Nmap и другие
Участвовать в программах Bug Bounty и монетизировать навыки
Помогать команде разработчиков устранять уязвимости
Применять подходы Secure by Design и SSDLC в разработке и анализе ПО
Работать с контейнерами и облачными средами: Docker, Kubernetes, S3, Yandex Cloud
Освоите востребованные навыки
Burp Suite
Fiddler
OWASP ZAP
Ffuf
Dirsearch
HTTPX
Nuclei
SQLMap
Naabu
Nmap
Shodan
Censys
Postman
Amass
Ysoserial
Docker
Kubernetes
Программа:
Веб-пентест: профессия и навык
Входное тестирование
Основы сетей
Разведка в веб-приложениях
Тестирование: виды, этапы и методологии
Инструменты веб-пентеста
Как проводить разведку
Анализ защищённости веб-приложений
Уязвимости бизнес-логики
Race Condition
Небезопасная десериализация
File upload vulnerabilities
Механизмы аутентификации
Основные уязвимости API
Правовые аспекты, документирование и отчётность
Итоговый проект
Спойлер: Подробная программа
Регулярно обновляем программу, чтобы вы проходили только актуальное
Есть базовый, расширенный и индивидуальный форматы, в каждом из них учёбе нужно уделять от 10 до 20 часов в неделю в зависимости от ваших изначальных навыков
2 часа
Бесплатно
Бесплатная вводная часть
Этот модуль — введение в веб-пентест. Мы расскажем, что это такое, из чего состоит обучение на курсе и как оно проходит.
Веб-пентест: профессия и навык
Разберётесь, кто такой веб-пентестер, чем он занимается, какие задачи решает и какие навыки нужны для работы. Узнаете, как устроена сфера информационной безопасности и как в неё попасть.
Как проходит обучение
Узнаете, как устроен курс, какие есть тарифы, сколько длится обучение и в каком формате проходит, какой нужен стартовый уровень и чему вы научитесь в итоге.
Входное тестирование
Пройдёте тест из 14 вопросов по сетям, протоколам, Linux и веб‑технологиям, чтобы оценить свои стартовые знания и понять, готовы ли вы к курсу.
Разберётесь, как проходит обучение, для кого оно и чему вы научитесь по итогу курса
Бонус: основы инфраструктуры и архитектуры
Дополнительный модуль, чтобы повторить теорию и учёба не оказалась слишком сложной.
DNS-сервер
Прокси-сервер
HTTP и HTTPS
Браузер
Веб-серверы
Базы данных
Криптография
API
Основы сетей
О принципах работы компьютерной сети (OSI и TCP/IP), о том, как устроены и функционируют DNS- и прокси-серверы
Принципы передачи и защиты данных
Об устройстве протоколов HTTP и HTTPS, их принципах работы и заголовках
Клиент-серверная архитектура
О работе веб-сервера, браузера и базы данных, а также об устройстве API, WebSocket и криптографии
Узнаете или повторите теоретическую базу, которой должен владеть веб-пентестер для своей работы
1
3 недели
Разведка в веб-приложениях
В этом модуле вы разберётесь, как проходит веб-пентест и какие у него есть виды. Также вы глубоко рассмотрите первый этап пентеста — разведку — и изучите все необходимые для него инструменты.
WhiteBox, BlackBox
Kali Linux
Burp Suite
ZAP
Shodan
Censys
Чек-листы тестирования
Этапы разведки
Поиск поддоменов
Сканирование портов и уязвимостей
Идентификация технологий
Тестирование: виды, этапы и методологии
О том, что такое пентест на самом деле и как именно работает веб-пентестер, когда он проверяет веб-приложение, а ещё — о методологии работы и основных уязвимостях по OWASP
Инструменты веб-пентеста
Об основных инструментах веб-пентестера, вшитых в Kali Linux, особенно о Burp Suite и ZAP, а также о законодательных и этических ограничениях использования инструментов
Как проводить разведку
О каждом шаге, который необходимо сделать веб-пентестеру для проведения качественной разведки веб-приложения — полный майндмэп разведки
Узнаете, как проводить разведку, и научитесь это делать в работе над лабораторными заданиями и финальным проектом
2
10 недель
Анализ защищённости веб-приложений
Это главная часть программы — в ней мы рассмотрим основные уязвимости, которые встречают в веб-приложениях, и научимся их эксплуатировать.
XSS
CSRF
BAC
SQL Injection
SSRF
XXE
Race Condition
File upload
Уязвимости аутентификации, авторизации и API
XSS — Cross-site scripting
О том, какие у XSS бывают разновидности, как её эксплуатировать и защищаться от неё
CSRF — Cross-site Request Forgery
О том, что такое CSRF, где она встречается и как её эксплуатировать, а также о SOP-защите и том, как её обходить
BAC — Broken Access Control
О BAC, её типах и способах эксплуатации, в особенности про IDOR — Insecure Direct Object Reference
SQL Injection
О различных подвидах уязвимости и способах эксплуатации как основных, так и Blind SQLi и Second-Order SQLi
SSRF — Server-Side Request Forgery
Об основных видах уязвимости, SSRF-атаках на сервер и других внутренних системах, а также об обходе защиты, поиске и предотвращении SSRF
XXE — XML External Entity
О языке разметки XML, а также о самой уязвимости XXE и способах её эксплуатации
Уязвимости бизнес-логики
О видах таких уязвимостей и причинах их возникновения, а также о том, как их эксплуатировать
Race Condition
О причинах её возникновения, типах, эксплуатации и обходе лимитов
Небезопасная десериализация
О сериализации в целом и о том, как возникают уязвимости при её работе, а также как эксплуатировать эти уязвимости
File upload vulnerabilities
О том, когда происходит небезопасная загрузка файлов, как её эксплуатировать и как от неё защититься
Механизмы аутентификации
О том, что такое Basic Auth, MFA и JWT, как они работают, какие уязвимости у них бывают, как их эксплуатировать и митигировать
Механизмы управления доступом
О том, что такое SSO, OAuth, OIDC, как они работают, какие уязвимости у них бывают, как их эксплуатировать и митигировать
Основные уязвимости API
О 8 самых часто встречаемых уязвимостях API: BOLA, BA, URC, BFLA, UASBF, SSRF, IIM, UCA — а также о том, как их эксплуатировать
Узнаете, как эксплуатировать основные уязвимости веб-приложений, форм и API. Сможете решать основные задачи веб-пентестера
3
1 неделя
Правовые аспекты, документирование и отчётность
Изучите последний этап работы веб-пентестера — как составлять отчёт. А ещё вы погрузитесь в законодательство по веб-пентесту и стандарты уязвимостей.
Правовые нормы
CWE
CVE
CVSS
EPSS
Отчёт
Основные правовые аспекты профессии
О том, какие законы регулируют деятельность веб-пентестера, что можно делать, а что нельзя, и какими санкциями это грозит
Документирование и отчётность
О том, какие есть стандарты классификаций уязвимостей, а главное — как составлять отчёт и контролировать устранение уязвимостей
Научитесь составлять отчёт, который будет помогать в устранении уязвимостей, а также узнаете основные НПА профессии
4
4 недели
Итоговый проект
Проведёте полный аудит веб-приложения и пройдёте весь процесс работы веб-пентестера. Повторите полученные знания и навыки: проведёте разведку, найдёте уязвимости, проэксплуатируете их, составите отчёт и подготовите рекомендации по проведённой работе.
Вебинары и воркшопы
Наставники будут регулярно проводить онлайн‑встречи, которые посвящены нюансам работы, инструментам веб‑пентестера ответам на вопросы.
На воркшопах студенты практикуются во взломе веб‑приложения.
5
Только на расширенном и индивидуальном курсе・2 недели
Основы безопасной разработки веб-приложений
Вы изучите процесс безопасной разработки и узнаете, как ИБ-специалист может положительно влиять на него.
SSDLC
Secure by Design
Методология минимальных привилегий
Управление сеансами и зависимостями
Хранение секретов
CI/CD
Принципы безопасной разработки
О том, как выглядит процесс безопасной разработки, о роли ИБ-специалиста в нём, а также о различных методологиях и способах предотвращения уязвимостей
Хранение секретов в базах данных
О том, где не стоит хранить секреты, а также о хранении в переменных средах, файлах .env, хранилище HashiCorp Vault
Безопасность и CI/CD
О методологии CI/CD, Pipeline и Jenkins, а также о различных уязвимостях и методах защиты CI/CD
Сможете участвовать в процессе безопасной разработки. Научитесь давать чёткие рекомендации и делать веб-приложения безопасными
6
Только на расширенном и индивидуальном курсе・4 недели
Контейнеризация, Cloud и DevSecOps
Этот модуль мы посвятили темам контейнеризации, облаков и DevSecOps. Несмотря на то что это необязательные знания и навыки для веб-пентестера, они сильно упрощают рабочие процессы и помогают в карьерном росте.
Docker
Kubernetes
Yandex Cloud
S3
CI/CD-пайплайн
DevSecOps-пайплайн
Контейнеризация
О плюсах и минусах контейнеризации в проекте, об основных инструментах контейнеризации и безопасности приложений в контейнерах
Облачные технологии
Об основах облачных технологий и их работе на примере YandexCloud, а также об уязвимости в облаках и облачном хранилище Simple Storage Service
DevSecOps
О том, как настроить CI/CD-пайплайн, внедрить в него инструменты DevSecOps, визуализировать работу DevSecOps-пайплайна, эксплуатировать и нейтрализовывать уязвимости
Научитесь проводить контейнеризацию веб-приложений и работать в облачном хранилище. Освоите основы DevSecOps, сможете находить и эксплуатировать уязвимости
Только на индивидуальном курсе
Тариф Базовый
Цена 89600 руб
СКАЧАТЬ СЛИВЫ КУРСОВ
Курс для специалистов с опытом:
Разработчиков
Автоматизаторов тестирования
Системных администраторов
Студентов техвузов и начинающих пентестеров
За 4 или 6 месяцев научитесь находить уязвимости в веб‑приложениях и эксплуатировать их:
Научитесь находить и эксплуатировать уязвимости OWASP и API Top 10
Будете практиковаться в CTF-симуляторе Яндекса, приближенном к реальным условиям
Обучение от практиков — пентестеров и AppSec‑инженеров с опытом в финтехе и других индустриях
Разовьёте навыки, которые помогут перейти в новое направление или получить повышение
Программа разработана специалистами из Яндекса, VK и Альфа-Банка
Чему вы научитесь:
Проводить полный цикл веб‑пентеста: от разведки до финального отчёта
Находить и эксплуатировать уязвимости из OWASP Top 10 и API Top 10
Проверять безопасность авторизации, аутентификации и API: OAuth, JWT, SSO
Использовать инструменты пентеста: Burp Suite, SQLMap, ffuf, Nmap и другие
Участвовать в программах Bug Bounty и монетизировать навыки
Помогать команде разработчиков устранять уязвимости
Применять подходы Secure by Design и SSDLC в разработке и анализе ПО
Работать с контейнерами и облачными средами: Docker, Kubernetes, S3, Yandex Cloud
Освоите востребованные навыки
Burp Suite
Fiddler
OWASP ZAP
Ffuf
Dirsearch
HTTPX
Nuclei
SQLMap
Naabu
Nmap
Shodan
Censys
Postman
Amass
Ysoserial
Docker
Kubernetes
Программа:
Веб-пентест: профессия и навык
Входное тестирование
Основы сетей
Разведка в веб-приложениях
Тестирование: виды, этапы и методологии
Инструменты веб-пентеста
Как проводить разведку
Анализ защищённости веб-приложений
Уязвимости бизнес-логики
Race Condition
Небезопасная десериализация
File upload vulnerabilities
Механизмы аутентификации
Основные уязвимости API
Правовые аспекты, документирование и отчётность
Итоговый проект
Спойлер: Подробная программа
Регулярно обновляем программу, чтобы вы проходили только актуальное
Есть базовый, расширенный и индивидуальный форматы, в каждом из них учёбе нужно уделять от 10 до 20 часов в неделю в зависимости от ваших изначальных навыков
2 часа
Бесплатно
Бесплатная вводная часть
Этот модуль — введение в веб-пентест. Мы расскажем, что это такое, из чего состоит обучение на курсе и как оно проходит.
Веб-пентест: профессия и навык
Разберётесь, кто такой веб-пентестер, чем он занимается, какие задачи решает и какие навыки нужны для работы. Узнаете, как устроена сфера информационной безопасности и как в неё попасть.
Как проходит обучение
Узнаете, как устроен курс, какие есть тарифы, сколько длится обучение и в каком формате проходит, какой нужен стартовый уровень и чему вы научитесь в итоге.
Входное тестирование
Пройдёте тест из 14 вопросов по сетям, протоколам, Linux и веб‑технологиям, чтобы оценить свои стартовые знания и понять, готовы ли вы к курсу.
Разберётесь, как проходит обучение, для кого оно и чему вы научитесь по итогу курса
Бонус: основы инфраструктуры и архитектуры
Дополнительный модуль, чтобы повторить теорию и учёба не оказалась слишком сложной.
DNS-сервер
Прокси-сервер
HTTP и HTTPS
Браузер
Веб-серверы
Базы данных
Криптография
API
Основы сетей
О принципах работы компьютерной сети (OSI и TCP/IP), о том, как устроены и функционируют DNS- и прокси-серверы
Принципы передачи и защиты данных
Об устройстве протоколов HTTP и HTTPS, их принципах работы и заголовках
Клиент-серверная архитектура
О работе веб-сервера, браузера и базы данных, а также об устройстве API, WebSocket и криптографии
Узнаете или повторите теоретическую базу, которой должен владеть веб-пентестер для своей работы
1
3 недели
Разведка в веб-приложениях
В этом модуле вы разберётесь, как проходит веб-пентест и какие у него есть виды. Также вы глубоко рассмотрите первый этап пентеста — разведку — и изучите все необходимые для него инструменты.
WhiteBox, BlackBox
Kali Linux
Burp Suite
ZAP
Shodan
Censys
Чек-листы тестирования
Этапы разведки
Поиск поддоменов
Сканирование портов и уязвимостей
Идентификация технологий
Тестирование: виды, этапы и методологии
О том, что такое пентест на самом деле и как именно работает веб-пентестер, когда он проверяет веб-приложение, а ещё — о методологии работы и основных уязвимостях по OWASP
Инструменты веб-пентеста
Об основных инструментах веб-пентестера, вшитых в Kali Linux, особенно о Burp Suite и ZAP, а также о законодательных и этических ограничениях использования инструментов
Как проводить разведку
О каждом шаге, который необходимо сделать веб-пентестеру для проведения качественной разведки веб-приложения — полный майндмэп разведки
Узнаете, как проводить разведку, и научитесь это делать в работе над лабораторными заданиями и финальным проектом
2
10 недель
Анализ защищённости веб-приложений
Это главная часть программы — в ней мы рассмотрим основные уязвимости, которые встречают в веб-приложениях, и научимся их эксплуатировать.
XSS
CSRF
BAC
SQL Injection
SSRF
XXE
Race Condition
File upload
Уязвимости аутентификации, авторизации и API
XSS — Cross-site scripting
О том, какие у XSS бывают разновидности, как её эксплуатировать и защищаться от неё
CSRF — Cross-site Request Forgery
О том, что такое CSRF, где она встречается и как её эксплуатировать, а также о SOP-защите и том, как её обходить
BAC — Broken Access Control
О BAC, её типах и способах эксплуатации, в особенности про IDOR — Insecure Direct Object Reference
SQL Injection
О различных подвидах уязвимости и способах эксплуатации как основных, так и Blind SQLi и Second-Order SQLi
SSRF — Server-Side Request Forgery
Об основных видах уязвимости, SSRF-атаках на сервер и других внутренних системах, а также об обходе защиты, поиске и предотвращении SSRF
XXE — XML External Entity
О языке разметки XML, а также о самой уязвимости XXE и способах её эксплуатации
Уязвимости бизнес-логики
О видах таких уязвимостей и причинах их возникновения, а также о том, как их эксплуатировать
Race Condition
О причинах её возникновения, типах, эксплуатации и обходе лимитов
Небезопасная десериализация
О сериализации в целом и о том, как возникают уязвимости при её работе, а также как эксплуатировать эти уязвимости
File upload vulnerabilities
О том, когда происходит небезопасная загрузка файлов, как её эксплуатировать и как от неё защититься
Механизмы аутентификации
О том, что такое Basic Auth, MFA и JWT, как они работают, какие уязвимости у них бывают, как их эксплуатировать и митигировать
Механизмы управления доступом
О том, что такое SSO, OAuth, OIDC, как они работают, какие уязвимости у них бывают, как их эксплуатировать и митигировать
Основные уязвимости API
О 8 самых часто встречаемых уязвимостях API: BOLA, BA, URC, BFLA, UASBF, SSRF, IIM, UCA — а также о том, как их эксплуатировать
Узнаете, как эксплуатировать основные уязвимости веб-приложений, форм и API. Сможете решать основные задачи веб-пентестера
3
1 неделя
Правовые аспекты, документирование и отчётность
Изучите последний этап работы веб-пентестера — как составлять отчёт. А ещё вы погрузитесь в законодательство по веб-пентесту и стандарты уязвимостей.
Правовые нормы
CWE
CVE
CVSS
EPSS
Отчёт
Основные правовые аспекты профессии
О том, какие законы регулируют деятельность веб-пентестера, что можно делать, а что нельзя, и какими санкциями это грозит
Документирование и отчётность
О том, какие есть стандарты классификаций уязвимостей, а главное — как составлять отчёт и контролировать устранение уязвимостей
Научитесь составлять отчёт, который будет помогать в устранении уязвимостей, а также узнаете основные НПА профессии
4
4 недели
Итоговый проект
Проведёте полный аудит веб-приложения и пройдёте весь процесс работы веб-пентестера. Повторите полученные знания и навыки: проведёте разведку, найдёте уязвимости, проэксплуатируете их, составите отчёт и подготовите рекомендации по проведённой работе.
Вебинары и воркшопы
Наставники будут регулярно проводить онлайн‑встречи, которые посвящены нюансам работы, инструментам веб‑пентестера ответам на вопросы.
На воркшопах студенты практикуются во взломе веб‑приложения.
5
Только на расширенном и индивидуальном курсе・2 недели
Основы безопасной разработки веб-приложений
Вы изучите процесс безопасной разработки и узнаете, как ИБ-специалист может положительно влиять на него.
SSDLC
Secure by Design
Методология минимальных привилегий
Управление сеансами и зависимостями
Хранение секретов
CI/CD
Принципы безопасной разработки
О том, как выглядит процесс безопасной разработки, о роли ИБ-специалиста в нём, а также о различных методологиях и способах предотвращения уязвимостей
Хранение секретов в базах данных
О том, где не стоит хранить секреты, а также о хранении в переменных средах, файлах .env, хранилище HashiCorp Vault
Безопасность и CI/CD
О методологии CI/CD, Pipeline и Jenkins, а также о различных уязвимостях и методах защиты CI/CD
Сможете участвовать в процессе безопасной разработки. Научитесь давать чёткие рекомендации и делать веб-приложения безопасными
6
Только на расширенном и индивидуальном курсе・4 недели
Контейнеризация, Cloud и DevSecOps
Этот модуль мы посвятили темам контейнеризации, облаков и DevSecOps. Несмотря на то что это необязательные знания и навыки для веб-пентестера, они сильно упрощают рабочие процессы и помогают в карьерном росте.
Docker
Kubernetes
Yandex Cloud
S3
CI/CD-пайплайн
DevSecOps-пайплайн
Контейнеризация
О плюсах и минусах контейнеризации в проекте, об основных инструментах контейнеризации и безопасности приложений в контейнерах
Облачные технологии
Об основах облачных технологий и их работе на примере YandexCloud, а также об уязвимости в облаках и облачном хранилище Simple Storage Service
DevSecOps
О том, как настроить CI/CD-пайплайн, внедрить в него инструменты DevSecOps, визуализировать работу DevSecOps-пайплайна, эксплуатировать и нейтрализовывать уязвимости
Научитесь проводить контейнеризацию веб-приложений и работать в облачном хранилище. Освоите основы DevSecOps, сможете находить и эксплуатировать уязвимости
Только на индивидуальном курсе
Тариф Базовый
Цена 89600 руб
СКАЧАТЬ СЛИВЫ КУРСОВ
Для возможности скачивать складчины и сливы курсов нужно зарегистрироваться
Возможно, Вас ещё заинтересует:
- Мастер редактирования изображений в модели Gemini 2.5 Flash (Nano Banana) [Udemy] [Prince Patni]
- Оливковое масло [Академия оливкового масла Оливита] [Надежда Полякова]
- Я был (а) оружием в родительских битва [Институт Открытого поля] [Кира Паульсен]
- Беременность и эндокринная патология. Часть 1 [Александр Циберкин]
- ЗОЖигай на кухне [leonov_chef] [Сергей Леонов]
- [Вязание] Вязаный спицами модный кардиган с японским плечом Mono Boxy [Вяжи.ру] [Mono Knit Editions]
- [Выкройки] Брюки капри Констанца Б. Размер 40-50. Рост 168-172 [Кристина Юсупова]
- Динамика ци: анализ и оценка приходящих периодов в Бацзы [Наталия Цыганова]
- [Вязание] Вязаный спицами укороченный кардиган Aven [Вяжи.ру] [Ирэн Лин]
- Расклады Таро. Универсальный конструктор на все случаи жизни (+50 проверенных раскладов) [Анастасия Мовчан]