• Программирование
  • Дизайн
  • Маркетинг
  • Бизнес и финансы
  • Аналитика
  • Детям
  • Иностранные языки
  • Психология
  • Управление
  • Создание контента
  • Нейросети
  • Для педагогов
  • Образ жизни
<  К списку курсов
Специалист по информационной безопасности: веб-пентест
Логотип школы Яндекс Практикум
Яндекс Практикум

Специалист по информационной безопасности: веб-пентест

  • Программирование
  • Безопасность
130 950 ₽
В рассрочку от 23 765 ₽ / месяц
Оставить заявку

Описание курса

Научитесь эксплуатировать и устранять уязвимости из списка OWASP

Вы будете практиковаться в облачной инфраструктуре Яндекса в формате CTF, где сможете применить свои знания на практике и научиться эффективно использовать различные инструменты и методики для защиты от уязвимостей.

Практика с экспертами по информационной безопасности

Вы получите возможность обучаться у опытных специалистов, работающих в сфере информационной безопасности, что позволит вам приобрести уникальные навыки и знания.

Освоение востребованной профессии

Пройдя курс, вы расширите свой профессиональный стек и сможете освоить востребованную профессию в сфере информационной безопасности, что откроет новые карьерные возможности.

Дополнительные модули курса

В курсе предусмотрены дополнительные модули по основам безопасного кода и DevSecOps, которые помогут вам углубить знания и стать более компетентным специалистом в этих областях.

Преподавание опытными специалистами

Курс составлен опытными профессионалами из таких компаний, как Яндекс, Инфосистемы Jet, ВКонтакте и других крупных организаций, что гарантирует высокое качество обучения.

Курс для специалистов с опытом

Этот курс предназначен для следующих категорий специалистов:

  • Разработчики
  • Автоматизаторы тестирования
  • Системные администраторы
  • Студенты технических вузов и начинающие пентестеры

Что вы получите

Конкурентоспособность: Согласно исследованию Orion Market Research, рынок веб-пентестинга растет на 12% в год. Вы сможете повысить свою ценность как специалиста.

Новые прикладные навыки: Научитесь думать как хакер и создавать безопасные продукты. Это откроет возможности для более сложных задач на текущем месте или смены работы.

Опыт: 9 реальных проектов, которые помогут вам при поиске работы как для новичков, так и для опытных разработчиков.

Возможности: Вы сможете продолжить развитие в других направлениях информационной безопасности, таких как Application Security.

Чему вы научитесь за 6 месяцев

  • Использовать методики безопасной разработки ПО
  • Анализировать уязвимости и тестировать приложения на проникновение
  • Пользоваться Docker, Kubernetes, DevSecOps и развертыванием в облаке
  • Эффективно управлять секретами для предотвращения утечек
  • Использовать методики и инструменты для идентификации уязвимостей
  • Пользоваться инструментами тестирования: Burp Suite, SQLMap
  • Находить уязвимости OWASP Top 10 и другие
  • Применять инструменты и методики DevSecOps

Освоите востребованные навыки

  • Burp Suite
  • Fiddler
  • OWASP ZAP
  • Katana
  • Ffuf
  • Dirsearch
  • HTTPX
  • X8
  • Nuclei
  • SQLMap
  • Naabu
  • Nmap
  • Shodan
  • Censys
  • Metasploit
  • Postman
  • Amass
  • Ysoserial
  • Docker
  • Kubernetes

Программа курса

Бонус: основы инфраструктуры и архитектуры

Дополнительный модуль, который поможет освежить теоретические знания и сделать обучение менее сложным.

  • DNS-сервер
  • Прокси-сервер
  • HTTP и HTTPS
  • Браузер
  • Веб-серверы
  • Базы данных
  • Криптография
  • API
  • Основы сетей

Принципы работы и устройство

Вы изучите основы принципов работы компьютерных сетей (OSI и TCP/IP), а также устройство и функционирование DNS- и прокси-серверов. Понимание принципов передачи и защиты данных, а также устройства протоколов HTTP и HTTPS, их принципов работы и заголовков.

Изучите клиент-серверную архитектуру, работу веб-сервера, браузера и базы данных, а также устройство API, WebSocket и криптографические методы защиты.

Этот модуль поможет вам овладеть теоретической базой, необходимой веб-пентестеру для эффективной работы.

Разведка в веб-приложениях (60 часов)

В этом модуле вы изучите процесс веб-пентеста, его виды, а также первый этап пентеста — разведку. Научитесь использовать все необходимые инструменты для этого этапа.

  • WhiteBox, BlackBox
  • Kali Linux
  • Burp Suite
  • ZAP
  • Shodan
  • Censys
  • Чек-листы тестирования
  • Этапы разведки
  • Поиск поддоменов
  • Сканирование портов и уязвимостей
  • Идентификация технологий
  • Тестирование: виды, этапы и методологии

Основные уязвимости веб-приложений (200 часов)

Основная часть программы, посвящённая наиболее часто встречающимся уязвимостям в веб-приложениях, и методам их эксплуатации.

  • XSS (Cross-site scripting)
  • CSRF (Cross-site Request Forgery)
  • BAC (Broken Access Control)
  • SQL Injection
  • SSRF (Server-Side Request Forgery)
  • XXE (XML External Entity)
  • Race Condition
  • File upload vulnerabilities
  • Уязвимости аутентификации, авторизации и API

Вы узнаете, как эксплуатировать такие уязвимости как XSS, CSRF, BAC, SQL Injection, SSRF, XXE, а также уязвимости бизнес-логики, проблемные места в аутентификации и авторизации, и основные уязвимости API.

Основы безопасной разработки веб-приложений (40 часов)

Вы изучите принципы безопасной разработки и узнаете, как специалисты по информационной безопасности могут улучшить процесс разработки программного обеспечения.

  • SSDLC
  • Secure by Design
  • Методология минимальных привилегий
  • Управление сеансами и зависимостями
  • Хранение секретов
  • CI/CD

Научитесь участвовать в процессе безопасной разработки, давать рекомендации и обеспечивать безопасность веб-приложений.

Контейнеризация, Cloud и DevSecOps (60 часов)

Этот модуль охватывает контейнеризацию, облачные технологии и подходы DevSecOps, которые существенно упрощают процессы и способствуют карьерному росту.

  • Docker
  • Kubernetes
  • Yandex Cloud
  • S3
  • CI/CD-пайплайн
  • DevSecOps-пайплайн

Вы научитесь работать с контейнерами, облачными хранилищами и интегрировать инструменты DevSecOps для усиления безопасности.

Правовые аспекты, документирование и отчётность (20 часов)

Изучите правовые нормы, связанные с веб-пентестингом, стандарты уязвимостей, а также научитесь правильно составлять отчёты и контролировать устранение уязвимостей.

  • Правовые нормы
  • CWE
  • CVE
  • CVSS
  • EPSS
  • Отчёт

Научитесь составлять отчёты, которые будут полезны для устранения уязвимостей, и изучите основные нормативно-правовые акты профессии.

Выпускной проект (50 часов)

На заключительном этапе вы проведёте полный аудит веб-приложения, пройдёте все этапы пентеста — разведку, поиск уязвимостей, эксплуатацию, составление отчёта и рекомендации.

В ходе выполнения финального проекта вы повторите все полученные знания и навыки, а также примете участие в вебинарах и воркшопах, где сможете работать в реальном времени и решать задачи в формате CTF.

Программа трудоустройства:
Нет
Документ об окончании:
Сертификат
Продолжительность обучения:
6 мес.
График прохождения курса:
Свободный, в своем темпе
Учебный процесс:
Курс включает теоретические занятия и практические задания, направленные на освоение веб-пентестинга.
Проекты в портфолио:
В портфолио будет несколько проектов по проведению тестирования на проникновение, анализу уязвимостей, созданию отчетов и применению инструментов тестирования.
Мнение редактора:
Курс представляет собой всестороннее обучение веб-пентестингу, охватывающее все важные аспекты, от теории до практических навыков. Он включает изучение уязвимостей, методов их эксплуатации, безопасной разработки, а также облачных технологий и DevSecOps. Курс также предлагает углублённое изучение таких инструментов, как Burp Suite и Kali Linux, и обучает применению теоретических знаний на реальных проектах. Преимуществом является наличие дополнительных модулей, которые помогают закрепить базовые знания и подготовиться к реальной работе веб-пентестера.

Ответы на вопросы

Каким требованиям нужно соответствовать?

Этот курс для специалистов с опытом.
Начальные знания в этих областях значительно облегчат прохождение курса:
Основы веб-технологий
Владение HTTP и HTTPS, HTML, CSS, JavaScript и другими веб-технологиями поможет вам понять, как строятся и работают веб-приложения. Полезно будет понимание принципов работы веб-серверов и клиент-серверной архитектуры.
Основы программирования
Хорошо, если вам знакомы основные концепции программирования: переменные, циклы, условные операторы, функции, классы и т. д. Так вам будет проще понять уязвимости в коде и способы их исправления. Если вы знаете некоторые распространённые языки программирования (Python, JavaScript, Java, PHP), это тоже плюс.

Основы сетей и модели OSI
Важно понимать основные принципы работы компьютерных сетей: как работают протоколы передачи данных, маршрутизация и коммутация. Хорошо, если знаете о модели OSI и как она определяет взаимодействие различных сетевых протоколов и служб.

Опыт работы с операционными системами
Вам помогут базовые навыки работы с операционными системами — особенно с Linux. На ней базируются многие инструменты и технологии для веб-разработки и тестирования безопасности.

Опыт работы с командной строкой
Многие инструменты для тестирования безопасности используются через командную строку, поэтому опыт работы с ней будет полезен.

Английский язык
Будет плюсом, если вы можете читать на английском языке — многие ресурсы, документация и статьи по веб-безопасности написаны именно на нём.

Чем вы отличаетесь от других курсов?

• Мы учим не только ломать код, но и защищать веб-приложения от атак. Вы пройдёте 60-часовой модуль по написанию безопасного кода.

• В подарок вы получите целый модуль по основам сетей, вёрстке, API и криптографии — он поможет освежить в памяти важную теорию перед началом обучения.

• В программе есть модуль про законодательство — вы узнаете, как легально работать с чувствительной информацией в РФ и за её пределами.

• Обучение построено на реальных кейсах, а практиковаться вы будете в облаке Яндекса. Ещё в программе есть блок по работе с GPT — мы научим применять нейросети для анализа защищённости веб-приложений.

• Будете участвовать в воркшопах и проектах в формате Capture the flag.

Кто будет меня учить?

Все наставники — практикующие специалисты: сотрудники Яндекса и других крупных компаний. Программу составляют опытные преподаватели и методисты, а ещё действующие специалисты Яндекса, Школы анализа данных и других лидеров технологической и образовательной индустрий.

Что делать, если я не справлюсь с нагрузкой?

В программе предусмотрены каникулы, во время которых можно отдохнуть или повторить сложные темы.

Если случилось непредвиденное или понадобилось больше времени на закрепление материала, напишите своему куратору. Он поможет перенести дедлайн сдачи проекта или перевестись в более поздний поток. На общую стоимость курса это не повлияет.

Если не понравится, я могу вернуть деньги?

Конечно. Если поток ещё не стартовал, вернём всю сумму. Если учёба уже началась, придётся оплатить прошедшие дни со старта вашего первого потока — но мы вернём деньги за остаток курса. Более подробно рассказываем об этом в 7 пункте оферты.

Получу ли я какой-то документ после курса?

Если у вас есть среднее профессиональное или высшее образование, после курса вы получите диплом о профессиональной переподготовке.
Если нет, выдадим сертификат о прохождении курса и справку об обучении в электронном виде.

Как можно оплатить?

Банковской картой: внести всю сумму сразу или платить ежемесячно.
Ежемесячные платежи работают так: вы вносите первую оплату, и в этот момент привязывается карта. С этой карты автоматически будут списываться следующие платежи каждые 30 календарных дней. Например, оплатили 25 марта — следующий платёж пройдёт 24 апреля. Обучение будет стоить меньше, если оплатить весь курс сразу.
Через компанию: юридические лица — резиденты РФ также могут оплатить обучение в Практикуме. Условия предоставления услуг для юридических лиц могут отличаться — чтобы узнать подробнее, оставьте заявку или уточните у вашего менеджера.

Можно ли оплатить курс за счёт работодателя?

Да, работодатель может оплатить учёбу полностью или разделить оплату с вами: например, поделить сумму 50/50 или 75/25.

Такая оплата пройдёт по счёту или двустороннему договору, а ИП могут оплатить с бизнес-счёта. Если работодатель купит обучение сразу 10 сотрудникам или больше, сделаем скидку 10%.

Условия предоставления услуг для юридических лиц могут отличаться — чтобы узнать подробнее, оставьте заявку или уточните у вашего менеджера.

Что такое налоговый вычет на обучение и как его получить?

Налоговый вычет может получить тот, кто работает по трудовому договору и является налоговым резидентом Российской Федерации, то есть 183 дня в году находится на территории страны.
Вот инструкция, которая поможет всё оформить.

Отзывы школы

Skillbox

4.61

Скилбокс 2 раза проиграл в суде и все еще тянет время, чтобы не возвращать средства

Качество контента ужасное, большинство проверяющих уроки имеют посредственные знания, при попытке вернуть средства за непройденное обучение, платформа апеллирует незаконными формулами и отказывает возвращать средства. Я ВЫИГРАЛА СУД У СКИЛБОКСА 2 РАЗА, ПЛАТФОРМА ТЯНЕТ ВРЕМЯ И НЕ ХОЧЕТ ВОЗВРАЩАТЬ СРЕДСТВА 09.01 я выиграла суд, 20.03 было второе заседание по инициативе скилбокса и тоже в мою пользу На данный момент скилбокс не собирается возвращать полагающуюся мне сумму, всевозможными способами тянет время, общается неинформативными отписками.
Читать  →

Skill cup

4.02

Очень удобный формат

Понимаю что за наполнение курса отвечает скорее автор, нежели платформа — поэтому то, что курсы Ильяхова мне очень зашли — это отзыв скорее Ильяхову :) Что касается платформу — кайф в том, что видео короткие, перемешаны с лонгридами-конспектами, простые тесты —для мобильного формата супер. Но на планшете уже отображается всё кривовато.
Читать  →

Король говорит

4.02

Всем, кто стремится к совершенству в ораторском искусстве,

Просто нет слов, чтобы выразить моё восхищение преподавателями! Эти ребята - настоящие профессионалы своего дела и знают, как работать с обратной связью. С каждым домашним заданием я чувствовал поддержку и понимание. График занятий просто идеален - удобно вписывался в мой динамичный график. Процесс обучения происходил в столице, что добавляло мотивации, и в течение месяца, раз в неделю, я погружался в науку красноречия. Всего получилось восемь незабываемых занятий, каждое из которых давало четкие инструменты для развития и совершенствования навыка говорения.
Читать  →

1С репетитор

4.1

Ну что сказать 1С есть 1С

Очень все нудно тягомотно и скучно. Но это нужно было пройти, пользы не много, все равно ничего в этой 1С непонятно. Все потом вручную и на практике заново в работе познавать.
Читать  →

Яндекс Практикум

4.67

НЕ зря потраченное время

Я проходил курс Java разработчика с нуля. Пришел на этот курс с около нулевыми знаниями в программировании, ведь школа в своей рекламе заявляет, что и для таких как я он подходит. Какого было мое удивление от осознания, спустя пару месяцев изучения, что курс до сих пор не скатился в либо через чур сложные темы, либо в работу где мы "топчемся на месте" постоянно изучая что-то простое. То есть для меня обучение на протяжении всего времени было в меру сложным и всегда оставалось интересным. Да, были модули которые давались тяжело. Были мысли все бросить и вообще забыть идею стать программистом. Но я доучился и вот почему: - Я. практикум организовывает отличное комьюнити внутри курса. Всегда можно найти неравнодушного однокурсника либо даже преподавателя. Например мой преподаватель находил время, что бы созвониться со мной лично и помочь уложиться в дедлайн. - Реальные дедлайны. Если ты не занимаешься - ты не можешь продолжать обучаться. Отлично происходит отсев людей недостаточно замотивированных для обучения. - Команда Яндекса регулярно проводит мотивационные вебинары, презентации и интервью профессионалов - Программа курса сложная, но на выходе ты действительно чему-то научился. Достаточно ли пройти курс, что бы успешно войти в айти? И да и нет. Хардскилов приобретенных на курсе должно быть достаточно для вхождения в профессию. Но нужно быть реалистом и понимать, что придется проходить много собеседований, изучать что-то самому, писать "Пет" проекты ( все это не обязательно истинна - мое мнение). Но и тут у Яндекса кусочек заботы о студентах - они помогают в конце курса с составлением резюме, расскажут о вопросах которые будут на собесах и т.д. Курс однозначно рекомендую. Но не ждите, что этот пройденный курс = 500к в наносекнду после.
Читать  →

AgileFluent

4.15

Пустая трата денег

Я заказывала у них карьерную консультацию, вполне чётко обозначив свой запрос. Я имею опыт работы в IT больше 8 лет и искать работу, как и делать резюме, вполне умею. Мне хотелось чтобы мне помогли с тем, в какую роль мне можно двигаться дальше на базе моих навыков сейчас и в какой зарплатной вилке это это может быть. Конечно, всё можно выяснить самой, но мне было жаль своего времени на ресерч и я хотела взгляд эксперта со стороны. AgileFluent сказали, что с таким работают и мне помогут. На карьерной консультации девушка бОльшую часть времени рассказывала мне как искать вакансии через составление огромной таблицы в экселе с высчитываем веса каждого требования. Практически ничего не спросила про мой опыт и пожелания, роли предложила и так очевидные. Честно сказала что прогнала моё резюме через чат GPT для поиска ролей. Еще дала набор ссылок на поиск работы и на самостоятельное высчитывание затрат на жизнь в каждой стране и поиск зарплатной вилки. В целом не было ничего персонализированного, по ощущениям просто показали инструменты с которыми я дальше должна ответить на свой запрос самостоятельно. Это как если пришел к врачу, а он вместо заключения просто даст ссылки на медицинские ресурсы. Я осталась очень разочаровала и дала обратную связь, мне предложили переделать свою консультацию. На всякий случай я еще раз детально проговорила свой запрос и мне опять-таки сказали, что могут с этим помочь. Неделю 2-3 эксперта крутили мою прошлую консультацию и пришли к тем же выводам: либо надо пакет консультаций либо они дадут мне только инструменты для дальнейшей самостоятельной работы. Считаю им нужно делать фильтр на входе: для джуна это все может и было бы полезно, хотя всё можно найти и самому в интернете, а вот для сеньора - не серьезно совсем.
Читать  →
Оставьте отзыв
Расскажите о своём опыте использования образовательных услуг в Яндекс Практикум Написать отзыв

Сморите также

Смотреть больше
Смотреть больше

Чему научитесь

  • Освойте современную профессию
  • 2025-01-01
  • 2025-12-31

Ваши навыки после обучения

  • ТОП школ по любому направлению
  • 2025-01-01
  • 2025-12-31

Рейтинг школ

Рейтинг школ

На основании оценок пользователей, отзывов и популярности Читать отзывы
1
Логомашина
2
Skypro
3
ProductStar
4
Geekbrains
5
Нетология
Весь рейтинг