О курсеКак проходит курсПрограммаКоманда курсаПомощь с работойСтоимость
КомпаниямПопробовать бесплатно

Это курс для специалистов с опытом

  • Разработчиков
  • Автоматизаторов тестирования
  • Системных администраторов
  • Студентов техвузов и начинающих пентестеров
Пройдите бесплатный тест, чтобы понять, подойдёт ли вам курс

Пройти тест и начать курс

Что вы получите

  • Конкурентоспособность: по данным исследования Orion Market Research, рынок веб-пентеста растёт на 12% в год. Вы сможете повысить свою ценность как специалиста.
  • Новые прикладные навыки: научитесь мыслить как хакер и делать свои продукты безопасными. Это позволит браться за более сложные задачи на текущем месте или сменить работу.
  • Опыт: 9 проектов, которые станут преимуществом при поиске работы и для новичков, и для опытных разработчиков.
  • Возможности: сможете продолжить развиваться в других направлениях ИБ — например, в Application Security.

Чему вы научитесь за 6 месяцев

  • Использовать методики безопасной разработки ПО
  • Анализировать уязвимости и тестировать приложения на проникновение
  • Пользоваться Docker, Kubernetes, DevSecOps и развёртыванием в облаке
  • Эффективно управлять секретами для предотвращения утечек
  • Использовать методики и инструменты для идентификации уязвимостей
  • Пользоваться инструментами тестирования: Burp Suite, SQLMap
  • Находить уязвимости OWASP Top 10 и другие
  • Применять инструменты и методики DevSecOps

После курса сможете расти по карьерной лестнице

На какую должность сможете претендовать

Специалист по информационной безопасности, веб-пентестер

Освоите востребованные навыки

Burp Suite
Fiddler
OWASP ZAP
Katana
Ffuf
Dirsearch
HTTPX
X8
Nuclei
SQLMap
Naabu
Nmap
Shodan
Censys
Metasploit
Postman
Amass
Ysoserial
Docker
Kubernetes

Практика в облачном симуляторе с реальными кейсами

Будете работать с сайтами с формой авторизации, а также с онлайн-магазинами, генераторами паролей, персональным хранилищем файлов и влогами

Будете искать настоящие уязвимости в веб‑приложениях

Вы узнаете, как выглядят уязвимости в существующих приложениях: найдёте их, пощупаете и исправите. Ещё посетите воркшопы, где сможете перенять опыт специалистов из крупных IT‑компаний.

Задание: в проекте онлайн-магазина от подрядчика есть проблемы с поиском. Добудьте скрытые товары, опираясь на ошибки подрядчика.

Посетите воркшопы в формате CTF

Вместе с другими участниками курса будете эксплуатировать уязвимости и предлагать способы их устранения. Наставники будут рядом, чтобы дать обратную связь.

Составите собственный чек-лист по всем этапам WAPT

У вас будет свой алгоритм тестирования веб-приложений на проникновение — после курса сможете использовать его в своей работе.

YandexGPT помогает проходить курс

Когда в теории что-то непонятно, нейросеть объяснит это другими словами. А в конце каждого модуля подготовит краткий пересказ о самом главном.

Программа курса

Рассчитана на 6 месяцев. В среднем курсу нужно уделять 20 часов в неделю, но можно заниматься в своём темпе.
Скачать программу в PDF
2 часа
Бесплатно
Бесплатная вводная часть
Этот модуль — введение в веб-пентест. Мы расскажем, что это такое, из чего состоит курс и как он проходит.
Веб-пентестер и веб-пентест
О профессии веб-пентестера: чем он занимается, какими навыками должен обладать и о каких смежных направлениях информационной безопасности нужно знать
Онбординг на курс
О том, какими знаниями и опытом нужно обладать, чтобы проходить курс, а также как и в каком формате он проходит
Тестирование
14 вопросов о компьютерных сетях, протоколах, веб-администрировании и Linux, чтобы проверить свои знания
Разберётесь, как проходит курс, для кого он и чему вы научитесь
40 часов
Бонус: основы инфраструктуры и архитектуры
Дополнительный модуль, чтобы повторить теорию и курс не оказался слишком сложным.
  • DNS-сервер
  • Прокси-сервер
  • HTTP и HTTPS
  • Браузер
  • Веб-серверы
  • Базы данных
  • Криптография
  • API
Основы сетей
О принципах работы компьютерной сети (OSI и TCP/IP), о том, как устроены и функционируют DNS- и прокси-серверы
Принципы передачи и защиты данных
Об устройстве протоколов HTTP и HTTPS, их принципах работы и заголовках
Клиент-серверная архитектура
О работе веб-сервера, браузера и базы данных, а также об устройстве API, WebSocket и криптографии
Узнаете или повторите теоретическую базу, которой должен владеть веб-пентестер для своей работы
1
60 часов
Разведка в веб-приложениях
В этом модуле вы разберётесь, как проходит веб-пентест и какие у него есть виды. Также вы глубоко рассмотрите первый этап пентеста — разведку — и изучите все необходимые для него инструменты.
  • WhiteBox, BlackBox
  • Kali Linux
  • Burp Suite
  • ZAP
  • Shodan
  • Censys
  • Чек-листы тестирования
  • Этапы разведки
  • Поиск поддоменов
  • Сканирование портов и уязвимостей
  • Идентификация технологий
Тестирование: виды, этапы и методологии
О том, что такое пентест на самом деле и как именно работает веб-пентестер, когда он проверяет веб-приложение, а ещё — о методологии работы и основных уязвимостях по OWASP
Инструменты веб-пентеста
Об основных инструментах веб-пентестера, вшитых в Kali Linux, особенно о Burp Suite и ZAP, а также о законодательных и этических ограничениях использования инструментов
Как проводить разведку
О каждом шаге, который необходимо сделать веб-пентестеру для проведения качественной разведки веб-приложения — полный майндмэп разведки
Узнаете, как проводить разведку, и научитесь это делать в работе над лабораторными заданиями и финальным проектом
2
200 часов
Основные уязвимости веб-приложений
Это главная часть программы — в ней мы рассмотрим основные уязвимости, которые встречают в веб-приложениях, и научимся их эксплуатировать.
  • XSS
  • CSRF
  • BAC
  • SQL Injection
  • SSRF
  • XXE
  • Race Condition
  • File upload
  • Уязвимости аутентификации, авторизации и API
XSS — Cross-site scripting
О том, какие у XSS бывают разновидности, как её эксплуатировать и защищаться от неё
CSRF — Cross-site Request Forgery
О том, что такое CSRF, где она встречается и как её эксплуатировать, а также о SOP-защите и том, как её обходить
BAC — Broken Access Control
О BAC, её типах и способах эксплуатации, в особенности про IDOR — Insecure Direct Object Reference
SQL Injection
О различных подвидах уязвимости и способах эксплуатации как основных, так и Blind SQLi и Second-Order SQLi
SSRF — Server-Side Request Forgery
Об основных видах уязвимости, SSRF-атаках на сервер и других внутренних системах, а также об обходе защиты, поиске и предотвращении SSRF
XXE — XML External Entity
О языке разметки XML, а также о самой уязвимости XXE и способах её эксплуатации
Уязвимости бизнес-логики
О видах таких уязвимостей и причинах их возникновения, а также о том, как их эксплуатировать
Race Condition
О причинах её возникновения, типах, эксплуатации и обходе лимитов
Небезопасная десериализация
О сериализации в целом и о том, как возникают уязвимости при её работе, а также как эксплуатировать эти уязвимости
File upload vulnerabilities
О том, когда происходит небезопасная загрузка файлов, как её эксплуатировать и как от неё защититься
Механизмы аутентификации
О том, что такое Basic Auth, MFA и JWT, как они работают, какие уязвимости у них бывают, как их эксплуатировать и митигировать
Механизмы управления доступом
О том, что такое SSO, OAuth, OIDC, как они работают, какие уязвимости у них бывают, как их эксплуатировать и митигировать
Основные уязвимости API
О 8 самых часто встречаемых уязвимостях API: BOLA, BA, URC, BFLA, UASBF, SSRF, IIM, UCA — а также о том, как их эксплуатировать
Узнаете, как эксплуатировать основные уязвимости веб-приложений, форм и API. Сможете решать основные задачи веб-пентестера
3
40 часов
Основы безопасной разработки веб-приложений
Вы изучите процесс безопасной разработки и узнаете, как ИБ-специалист может положительно влиять на него.
  • SSDLC
  • Secure by Design
  • Методология минимальных привилегий
  • Управление сеансами и зависимостями
  • Хранение секретов
  • CI/CD
Принципы безопасной разработки
О том, как выглядит процесс безопасной разработки, о роли ИБ-специалиста в нём, а также о различных методологиях и способах предотвращения уязвимостей
Хранение секретов в базах данных
О том, где не стоит хранить секреты, а также о хранении в переменных средах, файлах .env, хранилище HashiCorp Vault
Безопасность и CI/CD
О методологии CI/CD, Pipeline и Jenkins, а также о различных уязвимостях и методах защиты CI/CD
Сможете участвовать в процессе безопасной разработки. Научитесь давать чёткие рекомендации и делать веб-приложения безопасными
4
60 часов
Контейнеризация, Cloud и DevSecOps
Этот модуль мы посвятили темам контейнеризации, облаков и DevSecOps. Несмотря на то что это необязательные знания и навыки для веб-пентестера, они сильно упрощают рабочие процессы и помогают в карьерном росте.
  • Docker
  • Kubernetes
  • Yandex Cloud
  • S3
  • CI/CD-пайплайн
  • DevSecOps-пайплайн
Контейнеризация
О плюсах и минусах контейнеризации в проекте, об основных инструментах контейнеризации и безопасности приложений в контейнерах
Облачные технологии
Об основах облачных технологий и их работе на примере YandexCloud, а также об уязвимости в облаках и облачном хранилище Simple Storage Service
DevSecOps
О том, как настроить CI/CD-пайплайн, внедрить в него инструменты DevSecOps, визуализировать работу DevSecOps-пайплайна, эксплуатировать и нейтрализовывать уязвимости
Научитесь проводить контейнеризацию веб-приложений и работать в облачном хранилище. Освоите основы DevSecOps, сможете находить и эксплуатировать уязвимости
5
20 часов
Правовые аспекты, документирование и отчётность
Изучите последний этап работы веб-пентестера — как составлять отчёт. А ещё вы погрузитесь в законодательство по веб-пентесту и стандарты уязвимостей.
  • Правовые нормы
  • CWE
  • CVE
  • CVSS
  • EPSS
  • Отчёт
Основные правовые аспекты профессии
О том, какие законы регулируют деятельность веб-пентестера, что можно делать, а что нельзя, и какими санкциями это грозит
Документирование и отчётность
О том, какие есть стандарты классификаций уязвимостей, а главное — как составлять отчёт и контролировать устранение уязвимостей
Научитесь составлять отчёт, который будет помогать в устранении уязвимостей, а также узнаете основные НПА профессии
6
50 часов
Итоговый проект
Проведёте полный аудит веб-приложения и пройдёте весь процесс работы веб-пентестера. Повторите полученные знания и навыки: проведёте разведку, найдёте уязвимости, проэксплуатируете их, составите отчёт и подготовите рекомендации по проведённой работе.
Вебинары и воркшопы
Наставники будут регулярно проводить онлайн-встречи.
  • Вебинары посвящены нюансам работы, инструментам веб-пентестера или ответам на вопросы.
  • Воркшопы проходят в основном в формате CTF: участники курса делятся на команды и в реальном времени пытаются взломать веб-приложения.
Этот курс может оплатить
ваш работодатель
Полностью или разделив оплату с вами,
например 50/50 или 75/25
  • Расскажем всё про курс
  • Поделимся презентацией
  • Ответим на ваши вопросы
  • Подготовим договор и счёт

10 000+ пользователей Практикума уже нашли новую работу

90% трудоустроились в первые полгода

Это данные исследования ВШЭ — они основаны на опыте пользователей Яндекс Практикума на российском рынке труда

Если у вас есть вопросы про курс, оставьте заявку — мы позвоним

Или позвоните нам сами, по Беларуси — бесплатно:

А если не любите голосом — напишите:

Отвечаем на вопросы

Каким требованиям нужно соответствовать?
Этот курс для специалистов с опытом.
Начальные знания в этих областях значительно облегчат прохождение курса:

Основы веб-технологий
Владение HTTP и HTTPS, HTML, CSS, JavaScript и другими веб-технологиями поможет вам понять, как строятся и работают веб-приложения. Полезно будет понимание принципов работы веб-серверов и клиент-серверной архитектуры.

Основы программирования
Хорошо, если вам знакомы основные концепции программирования: переменные, циклы, условные операторы, функции, классы и т. д. Так вам будет проще понять уязвимости в коде и способы их исправления. Если вы знаете некоторые распространённые языки программирования (Python, JavaScript, Java, PHP), это тоже плюс.

Основы сетей и модели OSI
Важно понимать основные принципы работы компьютерных сетей: как работают протоколы передачи данных, маршрутизация и коммутация. Хорошо, если знаете о модели OSI и как она определяет взаимодействие различных сетевых протоколов и служб.

Опыт работы с операционными системами
Вам помогут базовые навыки работы с операционными системами — особенно с Linux. На ней базируются многие инструменты и технологии для веб-разработки и тестирования безопасности.

Опыт работы с командной строкой
Многие инструменты для тестирования безопасности используются через командную строку, поэтому опыт работы с ней будет полезен.

Английский язык
Будет плюсом, если вы можете читать на английском языке — многие ресурсы, документация и статьи по веб-безопасности написаны именно на нём.
Чем вы отличаетесь от других курсов?
• На нашем курсе вы будете учиться не только ломать код, но и защищать веб-приложения от атак. Вас ждёт 60-часовой модуль по написанию безопасного кода.

• В подарок вы получите целый модуль по основам сетей, вёрстке, API и криптографии — он поможет освежить в памяти важную теорию перед началом обучения.

• В программе есть модуль про законодательство — вы узнаете, как легально работать с чувствительной информацией.

• Курс построен на реальных кейсах, а практиковаться вы будете в облаке Яндекса. Ещё в программе есть блок по работе с GPT — научитесь применять нейросети для анализа защищённости веб-приложений.

• Будете участвовать в воркшопах и проектах в формате Capture the flag.
Кто будет помогать мне проходить курс?
Все наставники — практикующие специалисты: сотрудники Яндекса и других крупных компаний. Программу составляют опытные методисты, а ещё действующие специалисты Яндекса, Школы анализа данных и других лидеров технологической индустрии.
Что делать, если я не справлюсь с нагрузкой?
В программе предусмотрен перерыв, во время которого можно отдохнуть или повторить сложные темы.

Если случилось непредвиденное или понадобилось больше времени на закрепление материала, напишите своему куратору. Он поможет перенести дедлайн сдачи проекта или перевестись в более позднюю когорту. На общую стоимость курса это не повлияет.
Если не понравится, я могу вернуть деньги?
Конечно. Если курс ещё не начался, вернём всю сумму. Если уже начался, придётся оплатить прошедшие дни со старта вашей первой когорты — но мы вернём деньги за остаток курса. Более подробно рассказываем об этом в 7 пункте оферты.
Получу ли я какой-то документ после курса?
Да, вы получите сертификат о завершении курса.
Как можно оплатить?
Банковской картой: внести всю сумму сразу или платить ежемесячно.

Ежемесячные платежи работают так: вы вносите первую оплату, и в этот момент привязывается карта. С этой карты автоматически будут списываться следующие платежи каждые 30 календарных дней. Например, оплатили 25 марта — следующий платёж пройдёт 24 апреля. Курс будет стоить меньше, если оплатить его сразу целиком.

Через компанию: юридические лица также могут оплатить курс в Практикуме. Чтобы заказать счёт для оплаты, оставьте заявку на странице для корпоративных клиентов.
На каком языке проходит курс?
Всё будет на русском: теория, практические задания и вебинары, а ещё чаты с куратором, наставником и другими участниками курса.
В какой валюте можно оплатить курс?
Оплатить курс можно в любой валюте, кроме российских рублей.

Чтобы вам было проще сориентироваться, мы указываем примерную стоимость в долларах США, но списание будет в казахстанских тенге, а конвертация — по курсу вашего банка.

Давайте поможем

Напишите, как вас зовут и по какому номеру можно связываться — позвоним и расскажем всё про курсы

Или позвоните нам сами, по Беларуси — бесплатно:

А если не любите голосом — напишите: