Специалист по информационной безопасности: веб-пентест
- Программирование
- Безопасность
Описание курса
Научитесь эксплуатировать и устранять уязвимости из списка OWASP
Вы будете практиковаться в облачной инфраструктуре Яндекса в формате CTF, где сможете применить свои знания на практике и научиться эффективно использовать различные инструменты и методики для защиты от уязвимостей.
Практика с экспертами по информационной безопасности
Вы получите возможность обучаться у опытных специалистов, работающих в сфере информационной безопасности, что позволит вам приобрести уникальные навыки и знания.
Освоение востребованной профессии
Пройдя курс, вы расширите свой профессиональный стек и сможете освоить востребованную профессию в сфере информационной безопасности, что откроет новые карьерные возможности.
Дополнительные модули курса
В курсе предусмотрены дополнительные модули по основам безопасного кода и DevSecOps, которые помогут вам углубить знания и стать более компетентным специалистом в этих областях.
Преподавание опытными специалистами
Курс составлен опытными профессионалами из таких компаний, как Яндекс, Инфосистемы Jet, ВКонтакте и других крупных организаций, что гарантирует высокое качество обучения.
Курс для специалистов с опытом
Этот курс предназначен для следующих категорий специалистов:
- Разработчики
- Автоматизаторы тестирования
- Системные администраторы
- Студенты технических вузов и начинающие пентестеры
Что вы получите
Конкурентоспособность: Согласно исследованию Orion Market Research, рынок веб-пентестинга растет на 12% в год. Вы сможете повысить свою ценность как специалиста.
Новые прикладные навыки: Научитесь думать как хакер и создавать безопасные продукты. Это откроет возможности для более сложных задач на текущем месте или смены работы.
Опыт: 9 реальных проектов, которые помогут вам при поиске работы как для новичков, так и для опытных разработчиков.
Возможности: Вы сможете продолжить развитие в других направлениях информационной безопасности, таких как Application Security.
Чему вы научитесь за 6 месяцев
- Использовать методики безопасной разработки ПО
- Анализировать уязвимости и тестировать приложения на проникновение
- Пользоваться Docker, Kubernetes, DevSecOps и развертыванием в облаке
- Эффективно управлять секретами для предотвращения утечек
- Использовать методики и инструменты для идентификации уязвимостей
- Пользоваться инструментами тестирования: Burp Suite, SQLMap
- Находить уязвимости OWASP Top 10 и другие
- Применять инструменты и методики DevSecOps
Освоите востребованные навыки
- Burp Suite
- Fiddler
- OWASP ZAP
- Katana
- Ffuf
- Dirsearch
- HTTPX
- X8
- Nuclei
- SQLMap
- Naabu
- Nmap
- Shodan
- Censys
- Metasploit
- Postman
- Amass
- Ysoserial
- Docker
- Kubernetes
Программа курса
Бонус: основы инфраструктуры и архитектуры
Дополнительный модуль, который поможет освежить теоретические знания и сделать обучение менее сложным.
- DNS-сервер
- Прокси-сервер
- HTTP и HTTPS
- Браузер
- Веб-серверы
- Базы данных
- Криптография
- API
- Основы сетей
Принципы работы и устройство
Вы изучите основы принципов работы компьютерных сетей (OSI и TCP/IP), а также устройство и функционирование DNS- и прокси-серверов. Понимание принципов передачи и защиты данных, а также устройства протоколов HTTP и HTTPS, их принципов работы и заголовков.
Изучите клиент-серверную архитектуру, работу веб-сервера, браузера и базы данных, а также устройство API, WebSocket и криптографические методы защиты.
Этот модуль поможет вам овладеть теоретической базой, необходимой веб-пентестеру для эффективной работы.
Разведка в веб-приложениях (60 часов)
В этом модуле вы изучите процесс веб-пентеста, его виды, а также первый этап пентеста — разведку. Научитесь использовать все необходимые инструменты для этого этапа.
- WhiteBox, BlackBox
- Kali Linux
- Burp Suite
- ZAP
- Shodan
- Censys
- Чек-листы тестирования
- Этапы разведки
- Поиск поддоменов
- Сканирование портов и уязвимостей
- Идентификация технологий
- Тестирование: виды, этапы и методологии
Основные уязвимости веб-приложений (200 часов)
Основная часть программы, посвящённая наиболее часто встречающимся уязвимостям в веб-приложениях, и методам их эксплуатации.
- XSS (Cross-site scripting)
- CSRF (Cross-site Request Forgery)
- BAC (Broken Access Control)
- SQL Injection
- SSRF (Server-Side Request Forgery)
- XXE (XML External Entity)
- Race Condition
- File upload vulnerabilities
- Уязвимости аутентификации, авторизации и API
Вы узнаете, как эксплуатировать такие уязвимости как XSS, CSRF, BAC, SQL Injection, SSRF, XXE, а также уязвимости бизнес-логики, проблемные места в аутентификации и авторизации, и основные уязвимости API.
Основы безопасной разработки веб-приложений (40 часов)
Вы изучите принципы безопасной разработки и узнаете, как специалисты по информационной безопасности могут улучшить процесс разработки программного обеспечения.
- SSDLC
- Secure by Design
- Методология минимальных привилегий
- Управление сеансами и зависимостями
- Хранение секретов
- CI/CD
Научитесь участвовать в процессе безопасной разработки, давать рекомендации и обеспечивать безопасность веб-приложений.
Контейнеризация, Cloud и DevSecOps (60 часов)
Этот модуль охватывает контейнеризацию, облачные технологии и подходы DevSecOps, которые существенно упрощают процессы и способствуют карьерному росту.
- Docker
- Kubernetes
- Yandex Cloud
- S3
- CI/CD-пайплайн
- DevSecOps-пайплайн
Вы научитесь работать с контейнерами, облачными хранилищами и интегрировать инструменты DevSecOps для усиления безопасности.
Правовые аспекты, документирование и отчётность (20 часов)
Изучите правовые нормы, связанные с веб-пентестингом, стандарты уязвимостей, а также научитесь правильно составлять отчёты и контролировать устранение уязвимостей.
- Правовые нормы
- CWE
- CVE
- CVSS
- EPSS
- Отчёт
Научитесь составлять отчёты, которые будут полезны для устранения уязвимостей, и изучите основные нормативно-правовые акты профессии.
Выпускной проект (50 часов)
На заключительном этапе вы проведёте полный аудит веб-приложения, пройдёте все этапы пентеста — разведку, поиск уязвимостей, эксплуатацию, составление отчёта и рекомендации.
В ходе выполнения финального проекта вы повторите все полученные знания и навыки, а также примете участие в вебинарах и воркшопах, где сможете работать в реальном времени и решать задачи в формате CTF.
Ответы на вопросы
Каким требованиям нужно соответствовать?
Этот курс для специалистов с опытом.
Начальные знания в этих областях значительно облегчат прохождение курса:
Основы веб-технологий
Владение HTTP и HTTPS, HTML, CSS, JavaScript и другими веб-технологиями поможет вам понять, как строятся и работают веб-приложения. Полезно будет понимание принципов работы веб-серверов и клиент-серверной архитектуры.
Основы программирования
Хорошо, если вам знакомы основные концепции программирования: переменные, циклы, условные операторы, функции, классы и т. д. Так вам будет проще понять уязвимости в коде и способы их исправления. Если вы знаете некоторые распространённые языки программирования (Python, JavaScript, Java, PHP), это тоже плюс.
Основы сетей и модели OSI
Важно понимать основные принципы работы компьютерных сетей: как работают протоколы передачи данных, маршрутизация и коммутация. Хорошо, если знаете о модели OSI и как она определяет взаимодействие различных сетевых протоколов и служб.
Опыт работы с операционными системами
Вам помогут базовые навыки работы с операционными системами — особенно с Linux. На ней базируются многие инструменты и технологии для веб-разработки и тестирования безопасности.
Опыт работы с командной строкой
Многие инструменты для тестирования безопасности используются через командную строку, поэтому опыт работы с ней будет полезен.
Английский язык
Будет плюсом, если вы можете читать на английском языке — многие ресурсы, документация и статьи по веб-безопасности написаны именно на нём.
Чем вы отличаетесь от других курсов?
• Мы учим не только ломать код, но и защищать веб-приложения от атак. Вы пройдёте 60-часовой модуль по написанию безопасного кода.
• В подарок вы получите целый модуль по основам сетей, вёрстке, API и криптографии — он поможет освежить в памяти важную теорию перед началом обучения.
• В программе есть модуль про законодательство — вы узнаете, как легально работать с чувствительной информацией в РФ и за её пределами.
• Обучение построено на реальных кейсах, а практиковаться вы будете в облаке Яндекса. Ещё в программе есть блок по работе с GPT — мы научим применять нейросети для анализа защищённости веб-приложений.
• Будете участвовать в воркшопах и проектах в формате Capture the flag.
Кто будет меня учить?
Все наставники — практикующие специалисты: сотрудники Яндекса и других крупных компаний. Программу составляют опытные преподаватели и методисты, а ещё действующие специалисты Яндекса, Школы анализа данных и других лидеров технологической и образовательной индустрий.
Что делать, если я не справлюсь с нагрузкой?
В программе предусмотрены каникулы, во время которых можно отдохнуть или повторить сложные темы.
Если случилось непредвиденное или понадобилось больше времени на закрепление материала, напишите своему куратору. Он поможет перенести дедлайн сдачи проекта или перевестись в более поздний поток. На общую стоимость курса это не повлияет.
Если не понравится, я могу вернуть деньги?
Конечно. Если поток ещё не стартовал, вернём всю сумму. Если учёба уже началась, придётся оплатить прошедшие дни со старта вашего первого потока — но мы вернём деньги за остаток курса. Более подробно рассказываем об этом в 7 пункте оферты.
Получу ли я какой-то документ после курса?
Если у вас есть среднее профессиональное или высшее образование, после курса вы получите диплом о профессиональной переподготовке.
Если нет, выдадим сертификат о прохождении курса и справку об обучении в электронном виде.
Как можно оплатить?
Банковской картой: внести всю сумму сразу или платить ежемесячно.
Ежемесячные платежи работают так: вы вносите первую оплату, и в этот момент привязывается карта. С этой карты автоматически будут списываться следующие платежи каждые 30 календарных дней. Например, оплатили 25 марта — следующий платёж пройдёт 24 апреля. Обучение будет стоить меньше, если оплатить весь курс сразу.
Через компанию: юридические лица — резиденты РФ также могут оплатить обучение в Практикуме. Условия предоставления услуг для юридических лиц могут отличаться — чтобы узнать подробнее, оставьте заявку или уточните у вашего менеджера.
Можно ли оплатить курс за счёт работодателя?
Да, работодатель может оплатить учёбу полностью или разделить оплату с вами: например, поделить сумму 50/50 или 75/25.
Такая оплата пройдёт по счёту или двустороннему договору, а ИП могут оплатить с бизнес-счёта. Если работодатель купит обучение сразу 10 сотрудникам или больше, сделаем скидку 10%.
Условия предоставления услуг для юридических лиц могут отличаться — чтобы узнать подробнее, оставьте заявку или уточните у вашего менеджера.
Что такое налоговый вычет на обучение и как его получить?
Налоговый вычет может получить тот, кто работает по трудовому договору и является налоговым резидентом Российской Федерации, то есть 183 дня в году находится на территории страны.
Вот инструкция, которая поможет всё оформить.
Отзывы школы
Скилбокс 2 раза проиграл в суде и все еще тянет время, чтобы не возвращать средства
Очень удобный формат
Всем, кто стремится к совершенству в ораторском искусстве,
Ну что сказать 1С есть 1С
НЕ зря потраченное время
Пустая трата денег
Сморите также
Смотреть большеЧему научитесь
- Освойте современную профессию
- 2025-01-01
- 2025-12-31
Ваши навыки после обучения
- ТОП школ по любому направлению
- 2025-01-01
- 2025-12-31
Skillbox
4.61