О курсеКак учимПрограммаКоманда курсаПомощь с работойТарифы
Начать учиться бесплатно
Это курс для специалистов с опытом
  • Для разработчиков
  • Для автоматизаторов тестирования
  • Для системных администраторов
  • Для студентов техвузов и начинающих пентестеров
Пройдите бесплатный тест, чтобы понять, подойдёт ли вам курс
Пройти тест и начать учиться
Почему стоит учиться веб-пентесту в 2025 году
Рост атак на веб‑приложения
Каждая вторая кибератака в 2025 году — через веб. Компании ищут тех, кто умеет находить и устранять уязвимости до взлома.
Спрос на специалистов растёт
Количество вакансий по информационной безопасности растёт быстрее, чем в других IT‑сферах. Пентестеры — в топе по зарплатам и востребованности.
Рынок нуждается в практиках, а не в теоретиках
Мало хороших специалистов, которые реально умеют тестировать веб.
Возможность зарабатывать в Bug Bounty
Навыки веб-пентеста позволяют участвовать в программах по поиску уязвимостей и зарабатывать независимо от места работы.
Переход в ИБ из смежной сферы
Этот курс — отличная точка входа для тех, кто хочет сменить фокус и перейти в кибербезопасность.
Понимание, как мыслят хакеры
Начнёте думать как атакующий, а это ключ ко всем задачам в AppSec, DevSecOps и защите систем.
Чему вы научитесь
  • Проводить полный цикл веб‑пентеста: от разведки до финального отчёта
  • Находить и эксплуатировать уязвимости из OWASP Top 10 и API Top 10
  • Проверять безопасность авторизации, аутентификации и API: OAuth, JWT, SSO
  • Использовать инструменты пентеста: Burp Suite, SQLMap, ffuf, Nmap и другие
  • Участвовать в программах Bug Bounty и монетизировать навыки
  • Помогать команде разработчиков устранять уязвимости
  • Применять подходы Secure by Design и SSDLC в разработке и анализе ПО
  • Работать с контейнерами и облачными средами: Docker, Kubernetes, S3, Yandex Cloud
После курса сможете расти по карьерной лестнице

Получите новую специальность или расширите стек

Веб-пентестер

Освоите востребованные навыки

Burp Suite
Fiddler
OWASP ZAP
Ffuf
Dirsearch
HTTPX
Nuclei
SQLMap
Naabu
Nmap
Shodan
Censys
Postman
Amass
Ysoserial
Docker
Kubernetes
Практика в облачном симуляторе с реальными кейсами
Будете работать с сайтами с формой авторизации, а также с онлайн-магазинами, генераторами паролей, персональным хранилищем файлов и влогами
Будете искать настоящие уязвимости в веб‑приложениях
Вы узнаете, как выглядят уязвимости в существующих приложениях: найдёте их, пощупаете и исправите. Ещё посетите воркшопы, где сможете перенять опыт специалистов из крупных IT‑компаний.
Посетите воркшопы в формате CTF
Вместе с одногруппниками будете эксплуатировать уязвимости и предлагать способы их устранения. Наставники будут рядом, чтобы дать обратную связь.
Составите собственный чек-лист по всем этапам WAPT
У вас будет свой алгоритм тестирования веб-приложений на проникновение — после курса сможете использовать его в своей работе.
YandexGPT помогает учиться
Когда в теории что-то непонятно, нейросеть объяснит это другими словами. А в конце каждого урока подготовит краткий пересказ о самом главном.
Регулярно обновляем программу, чтобы вы проходили только актуальное
Есть базовый, расширенный и индивидуальный форматы, в каждом из них учёбе нужно уделять от 10 до 20 часов в неделю в зависимости от ваших изначальных навыков
Скачать программу в PDF
2 часа
Бесплатно
Бесплатная вводная часть
Этот модуль — введение в веб-пентест. Мы расскажем, что это такое, из чего состоит обучение на курсе и как оно проходит.
Веб-пентест: профессия и навык
Разберётесь, кто такой веб-пентестер, чем он занимается, какие задачи решает и какие навыки нужны для работы. Узнаете, как устроена сфера информационной безопасности и как в неё попасть.
Как проходит обучение
Узнаете, как устроен курс, какие есть тарифы, сколько длится обучение и в каком формате проходит, какой нужен стартовый уровень и чему вы научитесь в итоге.
Входное тестирование
Пройдёте тест из 14 вопросов по сетям, протоколам, Linux и веб‑технологиям, чтобы оценить свои стартовые знания и понять, готовы ли вы к курсу.
Разберётесь, как проходит обучение, для кого оно и чему вы научитесь по итогу курса
Бонус: основы инфраструктуры и архитектуры
Дополнительный модуль, чтобы повторить теорию и учёба не оказалась слишком сложной.
  • DNS-сервер
  • Прокси-сервер
  • HTTP и HTTPS
  • Браузер
  • Веб-серверы
  • Базы данных
  • Криптография
  • API
Основы сетей
О принципах работы компьютерной сети (OSI и TCP/IP), о том, как устроены и функционируют DNS- и прокси-серверы
Принципы передачи и защиты данных
Об устройстве протоколов HTTP и HTTPS, их принципах работы и заголовках
Клиент-серверная архитектура
О работе веб-сервера, браузера и базы данных, а также об устройстве API, WebSocket и криптографии
Узнаете или повторите теоретическую базу, которой должен владеть веб-пентестер для своей работы
1
3 недели
Разведка в веб-приложениях
В этом модуле вы разберётесь, как проходит веб-пентест и какие у него есть виды. Также вы глубоко рассмотрите первый этап пентеста — разведку — и изучите все необходимые для него инструменты.
  • WhiteBox, BlackBox
  • Kali Linux
  • Burp Suite
  • ZAP
  • Shodan
  • Censys
  • Чек-листы тестирования
  • Этапы разведки
  • Поиск поддоменов
  • Сканирование портов и уязвимостей
  • Идентификация технологий
Тестирование: виды, этапы и методологии
О том, что такое пентест на самом деле и как именно работает веб-пентестер, когда он проверяет веб-приложение, а ещё — о методологии работы и основных уязвимостях по OWASP
Инструменты веб-пентеста
Об основных инструментах веб-пентестера, вшитых в Kali Linux, особенно о Burp Suite и ZAP, а также о законодательных и этических ограничениях использования инструментов
Как проводить разведку
О каждом шаге, который необходимо сделать веб-пентестеру для проведения качественной разведки веб-приложения — полный майндмэп разведки
Узнаете, как проводить разведку, и научитесь это делать в работе над лабораторными заданиями и финальным проектом
2
10 недель
Анализ защищённости веб-приложений
Это главная часть программы — в ней мы рассмотрим основные уязвимости, которые встречают в веб-приложениях, и научимся их эксплуатировать.
  • XSS
  • CSRF
  • BAC
  • SQL Injection
  • SSRF
  • XXE
  • Race Condition
  • File upload
  • Уязвимости аутентификации, авторизации и API
XSS — Cross-site scripting
О том, какие у XSS бывают разновидности, как её эксплуатировать и защищаться от неё
CSRF — Cross-site Request Forgery
О том, что такое CSRF, где она встречается и как её эксплуатировать, а также о SOP-защите и том, как её обходить
BAC — Broken Access Control
О BAC, её типах и способах эксплуатации, в особенности про IDOR — Insecure Direct Object Reference
SQL Injection
О различных подвидах уязвимости и способах эксплуатации как основных, так и Blind SQLi и Second-Order SQLi
SSRF — Server-Side Request Forgery
Об основных видах уязвимости, SSRF-атаках на сервер и других внутренних системах, а также об обходе защиты, поиске и предотвращении SSRF
XXE — XML External Entity
О языке разметки XML, а также о самой уязвимости XXE и способах её эксплуатации
Уязвимости бизнес-логики
О видах таких уязвимостей и причинах их возникновения, а также о том, как их эксплуатировать
Race Condition
О причинах её возникновения, типах, эксплуатации и обходе лимитов
Небезопасная десериализация
О сериализации в целом и о том, как возникают уязвимости при её работе, а также как эксплуатировать эти уязвимости
File upload vulnerabilities
О том, когда происходит небезопасная загрузка файлов, как её эксплуатировать и как от неё защититься
Механизмы аутентификации
О том, что такое Basic Auth, MFA и JWT, как они работают, какие уязвимости у них бывают, как их эксплуатировать и митигировать
Механизмы управления доступом
О том, что такое SSO, OAuth, OIDC, как они работают, какие уязвимости у них бывают, как их эксплуатировать и митигировать
Основные уязвимости API
О 8 самых часто встречаемых уязвимостях API: BOLA, BA, URC, BFLA, UASBF, SSRF, IIM, UCA — а также о том, как их эксплуатировать
Узнаете, как эксплуатировать основные уязвимости веб-приложений, форм и API. Сможете решать основные задачи веб-пентестера
3
1 неделя
Правовые аспекты, документирование и отчётность
Изучите последний этап работы веб-пентестера — как составлять отчёт. А ещё вы погрузитесь в законодательство по веб-пентесту и стандарты уязвимостей.
  • Правовые нормы
  • CWE
  • CVE
  • CVSS
  • EPSS
  • Отчёт
Основные правовые аспекты профессии
О том, какие законы регулируют деятельность веб-пентестера, что можно делать, а что нельзя, и какими санкциями это грозит
Документирование и отчётность
О том, какие есть стандарты классификаций уязвимостей, а главное — как составлять отчёт и контролировать устранение уязвимостей
Научитесь составлять отчёт, который будет помогать в устранении уязвимостей, а также узнаете основные НПА профессии
4
4 недели
Итоговый проект
Проведёте полный аудит веб-приложения и пройдёте весь процесс работы веб-пентестера. Повторите полученные знания и навыки: проведёте разведку, найдёте уязвимости, проэксплуатируете их, составите отчёт и подготовите рекомендации по проведённой работе.
Вебинары и воркшопы
Наставники будут регулярно проводить онлайн‑встречи, которые посвящены нюансам работы, инструментам веб‑пентестера ответам на вопросы.

На воркшопах студенты практикуются во взломе веб‑приложения.
5
Только на расширенном и индивидуальном курсе・2 недели
Основы безопасной разработки веб-приложений
Вы изучите процесс безопасной разработки и узнаете, как ИБ-специалист может положительно влиять на него.
  • SSDLC
  • Secure by Design
  • Методология минимальных привилегий
  • Управление сеансами и зависимостями
  • Хранение секретов
  • CI/CD
Принципы безопасной разработки
О том, как выглядит процесс безопасной разработки, о роли ИБ-специалиста в нём, а также о различных методологиях и способах предотвращения уязвимостей
Хранение секретов в базах данных
О том, где не стоит хранить секреты, а также о хранении в переменных средах, файлах .env, хранилище HashiCorp Vault
Безопасность и CI/CD
О методологии CI/CD, Pipeline и Jenkins, а также о различных уязвимостях и методах защиты CI/CD
Сможете участвовать в процессе безопасной разработки. Научитесь давать чёткие рекомендации и делать веб-приложения безопасными
6
Только на расширенном и индивидуальном курсе・4 недели
Контейнеризация, Cloud и DevSecOps
Этот модуль мы посвятили темам контейнеризации, облаков и DevSecOps. Несмотря на то что это необязательные знания и навыки для веб-пентестера, они сильно упрощают рабочие процессы и помогают в карьерном росте.
  • Docker
  • Kubernetes
  • Yandex Cloud
  • S3
  • CI/CD-пайплайн
  • DevSecOps-пайплайн
Контейнеризация
О плюсах и минусах контейнеризации в проекте, об основных инструментах контейнеризации и безопасности приложений в контейнерах
Облачные технологии
Об основах облачных технологий и их работе на примере YandexCloud, а также об уязвимости в облаках и облачном хранилище Simple Storage Service
DevSecOps
О том, как настроить CI/CD-пайплайн, внедрить в него инструменты DevSecOps, визуализировать работу DevSecOps-пайплайна, эксплуатировать и нейтрализовывать уязвимости
Научитесь проводить контейнеризацию веб-приложений и работать в облачном хранилище. Освоите основы DevSecOps, сможете находить и эксплуатировать уязвимости
Только на индивидуальном курсе
Индивидуальные встречи с экспертом
Эксперт — опытный веб-пентестер, на встречах с которым вы сможете разбирать любые вопросы, даже если их нет в программе. За весь курс у вас будет 8 встреч по 45 минут.
Этот курс может оплатить
ваш работодатель
Полностью или разделив оплату с вами,
например 50/50 или 75/25
  • Расскажем всё про курс
  • Сообщим стоимость
  • Ответим на ваши вопросы
  • Подготовим договор и счёт

Если у вас есть вопросы про учёбу, оставьте заявку — мы позвоним

Наш менеджер свяжется с вами и пришлёт промокод

Или позвоните нам сами:
+7(775)020-45-15
А если не любите голосом — напишите:
Политика конфиденциальности

Попробуйте любой формат курса бесплатно — выбрать один-единственный можно позже

  •                                        

Что входит в любой формат

  • Ещё можно платить частями Практикуму столько месяцев, сколько идёт курс. Общая стоимость будет меньше, чем в рассрочку от банка
  • Вернём деньги в любой момент за остаток курса,
    если что-то не понравится. Подробности — в 7 пункте оферты
Отвечаем на вопросы
Каким требованиям нужно соответствовать?
Этот курс для специалистов с опытом.
Начальные знания в этих областях значительно облегчат прохождение курса:

Основы веб-технологий
Владение HTTP и HTTPS, HTML, CSS, JavaScript и другими веб-технологиями поможет вам понять, как строятся и работают веб-приложения. Полезно будет понимание принципов работы веб-серверов и клиент-серверной архитектуры.

Основы программирования
Хорошо, если вам знакомы основные концепции программирования: переменные, циклы, условные операторы, функции, классы и т. д. Так вам будет проще понять уязвимости в коде и способы их исправления. Если вы знаете некоторые распространённые языки программирования (Python, JavaScript, Java, PHP), это тоже плюс.

Основы сетей и модели OSI
Важно понимать основные принципы работы компьютерных сетей: как работают протоколы передачи данных, маршрутизация и коммутация. Хорошо, если знаете о модели OSI и как она определяет взаимодействие различных сетевых протоколов и служб.

Опыт работы с операционными системами
Вам помогут базовые навыки работы с операционными системами — особенно с Linux. На ней базируются многие инструменты и технологии для веб-разработки и тестирования безопасности.

Опыт работы с командной строкой
Многие инструменты для тестирования безопасности используются через командную строку, поэтому опыт работы с ней будет полезен.

Английский язык
Будет плюсом, если вы можете читать на английском языке — многие ресурсы, документация и статьи по веб-безопасности написаны именно на нём.
Чем различаются тарифы?
На курсе есть 3 формата: базовый, расширенный и индивидуальный. В каждом из них учёбе нужно уделять от 10 до 20 часов в неделю в зависимости от ваших изначальных навыков.

Базовый:
• Длится 4 месяца.
• 7 проектов без обратной связи.
• Ревью итогового проекта от специалиста по информационной безопасности.

Расширенный:
• 6 месяцев.
• 8 проектов с обратной связью.
• Дополнительные модули по безопасной разработке, контейнеризации, Cloud и DevSecOps.

Индивидуальный:
• 6 месяцев.
• 8 проектов с обратной связью.
• Дополнительные модули по безопасной разработке, контейнеризации, Cloud и DevSecOps.
• 8 индивидуальных встреч с экспертом по 45 минут.
Чем вы отличаетесь от других курсов?
• Мы учим не только ломать код, но и защищать веб-приложения от атак. Вы пройдёте 60-часовой модуль по написанию безопасного кода.

• В подарок вы получите целый модуль по основам сетей, вёрстке, API и криптографии — он поможет освежить в памяти важную теорию перед началом обучения.

• В программе есть модуль про законодательство — вы узнаете, как легально работать с чувствительной информацией в РФ и за её пределами.

• Обучение построено на реальных кейсах, а практиковаться вы будете в облаке Яндекса. Ещё в программе есть блок по работе с GPT — мы научим применять нейросети для анализа защищённости веб-приложений.

• Будете участвовать в воркшопах и проектах в формате Capture the flag.
Кто будет меня учить?
Все наставники — практикующие специалисты: сотрудники Яндекса и других крупных компаний. Программу составляют опытные преподаватели и методисты, а ещё действующие специалисты Яндекса, Школы анализа данных и других лидеров технологической и образовательной индустрий.
Что делать, если я не справлюсь с нагрузкой?
В программе предусмотрены каникулы, во время которых можно отдохнуть или повторить сложные темы.

Если случилось непредвиденное или понадобилось больше времени на закрепление материала, напишите своему куратору. Он поможет перенести дедлайн сдачи проекта или перевестись в более поздний поток. На общую стоимость курса это не повлияет.
Если не понравится, я могу вернуть деньги?
Конечно. Если поток ещё не стартовал, вернём всю сумму. Если учёба уже началась, придётся оплатить прошедшие дни со старта вашего первого потока — но мы вернём деньги за остаток курса. Более подробно рассказываем об этом в 7 пункте оферты.
Получу ли я какой-то документ после курса?
Да, для этого нужно закончить курс и успешно выполнить итоговый проект. Тогда выдадим вам сертификат о переподготовке в электронном виде.

А если не получится, по запросу выдадим электронную справку об обучении — с перечнем модулей, которые вы освоили.
Вы поможете сменить или найти работу?
На этом курсе не предусмотрена помощь с трудоустройством, поскольку он для действующих специалистов, у которых уже есть навыки поиска работы.

Но если у вас появится вопрос о карьерном развитии, обратитесь в нашу службу поддержки — постараемся ответить.
Как можно оплатить?
Банковской картой: внести всю сумму сразу или платить ежемесячно.

Ежемесячные платежи работают так: вы вносите первую оплату, и в этот момент привязывается карта. С этой карты автоматически будут списываться следующие платежи каждые 30 календарных дней. Например, оплатили 25 марта — следующий платёж пройдёт 24 апреля. Обучение будет стоить меньше, если оплатить весь курс сразу.

Через компанию: юридические лица также могут оплатить обучение в Практикуме. Чтобы заказать счёт для оплаты, оставьте заявку на странице для корпоративных клиентов.
На каком языке проходит обучение?
Всё будет на русском: теория, практические задания и вебинары, а ещё чаты с куратором, наставником и другими студентами.

Давайте поможем

Напишите, как вас зовут и по какому номеру можно связываться, — в течение 30 минут позвоним и расскажем всё про курсы

Или позвоните нам сами:
+7(775)020-45-15
А если не любите голосом — напишите:
Политика конфиденциальности