О курсеКак учимПрограммаПоддержкаПомощь с работойСтоимость
Начать учиться бесплатно

Это курс для специалистов с опытом

  • Разработчиков
  • Автоматизаторов тестирования
  • Системных администраторов
  • Студентов техвузов и начинающих пентестеров

Что вы получите

  • Конкурентоспособность: по данным исследования Orion Market Research, рынок веб-пентеста растёт на 12% в год. Вы сможете повысить свою ценность как специалиста.
  • Новые прикладные навыки: научитесь мыслить как хакер и делать свои продукты безопасными. Это позволит браться за более сложные задачи на текущем месте или сменить работу.
  • Опыт: 9 проектов, которые станут преимуществом при поиске работы и для новичков, и для опытных разработчиков.
  • Возможности: сможете продолжить развиваться в других направлениях ИБ — например, в Application Security.

Чему вы научитесь за 6 месяцев

  • Использовать методики безопасной разработки ПО
  • Анализировать уязвимости и тестировать приложения на проникновение
  • Пользоваться Docker, Kubernetes, DevSecOps и развёртыванием в облаке
  • Эффективно управлять секретами для предотвращения утечек
  • Использовать методики и инструменты для идентификации уязвимостей
  • Пользоваться инструментами тестирования: Burp Suite, SQLMap
  • Находить уязвимости OWASP Top 10 и другие
  • Применять инструменты и методики DevSecOps

После курса сможете расти по карьерной лестнице

Получите новую специальность или расширите стек

Специалист по информационной безопасности, веб-пентестер

Освоите востребованные навыки

Burp Suite
Fiddler
OWASP ZAP
Katana
Ffuf
Dirsearch
HTTPX
X8
Nuclei
SQLMap
Naabu
Nmap
Shodan
Censys
Metasploit
Postman
Amass
Ysoserial
Docker
Kubernetes

Практика в облачном симуляторе с реальными кейсами

Будете работать с сайтами с формой авторизации, а также с онлайн-магазинами, генераторами паролей, персональным хранилищем файлов и влогами

Будете искать настоящие уязвимости в веб‑приложениях

Вы узнаете, как выглядят уязвимости в существующих приложениях: найдёте их, пощупаете и исправите. Ещё посетите воркшопы, где сможете перенять опыт специалистов из крупных IT‑компаний.

Задание: в проекте онлайн-магазина от подрядчика есть проблемы с поиском. Добудьте скрытые товары, опираясь на ошибки подрядчика.

Посетите воркшопы в формате CTF

Вместе с одногруппниками будете эксплуатировать уязвимости и предлагать способы их устранения. Наставники будут рядом, чтобы дать обратную связь.

Составите собственный чек-лист по всем этапам WAPT

У вас будет свой алгоритм тестирования веб-приложений на проникновение — после курса сможете использовать его в своей работе.

YandexGPT помогает учиться

Когда в теории что-то непонятно, нейросеть объяснит это другими словами. А в конце каждого урока подготовит краткий пересказ о самом главном.

Программа курса

Рассчитана на 6 месяцев, в среднем учёбе нужно уделять 20 часов в неделю. Но вы можете заниматься в своём темпе и брать перерывы в учёбе.
20 часов
Бесплатно
Бесплатная вводная часть
Этот модуль — введение в веб-пентест. Мы расскажем, что это такое, из чего состоит обучение на курсе и как оно проходит.
Веб-пентестер и веб-пентест
О профессии веб-пентестера: чем он занимается, какими навыками должен обладать и о каких смежных направлениях информационной безопасности нужно знать
Онбординг на курс
О том, какими знаниями и опытом нужно обладать для начала обучения, а также как и в каком формате проходит обучение на нашем курсе
Разберётесь, как проходит обучение, для кого оно и чему вы научитесь по итогу курса
Бесплатный мини-курс ・40 часов
Инфраструктура и архитектура: основы
Это подарочный модуль — он поможет узнать или повторить необходимую теорию, чтобы учёба по основной программе не оказалась слишком сложной.
  • DNS-сервер
  • Прокси-сервер
  • HTTP и HTTPS
  • Браузер
  • Веб-серверы
  • Базы данных
  • Криптография
  • API
Основы сетей
О принципах работы компьютерной сети (OSI и TCP/IP), о том, как устроены и функционируют DNS- и прокси-серверы
Принципы передачи и защиты данных
Об устройстве протоколов HTTP и HTTPS, их принципах работы и заголовках
Клиент-серверная архитектура
О работе веб-сервера, браузера и базы данных, а также об устройстве API, WebSocket и криптографии
Узнаете или повторите теоретическую базу, которой должен владеть веб-пентестер для своей работы
1
60 часов
Разведка в веб-приложениях
В этом модуле вы разберётесь, как проходит веб-пентест и какие у него есть виды. Также вы глубоко рассмотрите первый этап пентеста — разведку — и изучите все необходимые для него инструменты.
  • WhiteBox, BlackBox
  • Kali Linux
  • Burp Suite
  • ZAP
  • Shodan
  • Censys
  • Чек-листы тестирования
  • Этапы разведки
  • Поиск поддоменов
  • Сканирование портов и уязвимостей
  • Идентификация технологий
Тестирование: виды, этапы и методологии
О том, что такое пентест на самом деле и как именно работает веб-пентестер, когда он проверяет веб-приложение, а ещё — о методологии работы и основных уязвимостях по OWASP
Инструменты веб-пентеста
Об основных инструментах веб-пентестера, вшитых в Kali Linux, особенно о Burp Suite и ZAP, а также о законодательных и этических ограничениях использования инструментов
Как проводить разведку
О каждом шаге, который необходимо сделать веб-пентестеру для проведения качественной разведки веб-приложения — полный майндмэп разведки
Узнаете, как проводить разведку, и научитесь это делать в работе над лабораторными заданиями и финальным проектом
2
200 часов
Основные уязвимости веб-приложений
Это главная часть программы — в ней мы рассмотрим основные уязвимости, которые встречают в веб-приложениях, и научимся их эксплуатировать.
  • XSS
  • CSRF
  • BAC
  • SQL Injection
  • SSRF
  • XXE
  • Race Condition
  • File upload
  • Уязвимости аутентификации, авторизации и API
XSS — Cross-site scripting
О том, какие у XSS бывают разновидности, как её эксплуатировать и защищаться от неё
CSRF — Cross-site Request Forgery
О том, что такое CSRF, где она встречается и как её эксплуатировать, а также о SOP-защите и том, как её обходить
BAC — Broken Access Control
О BAC, её типах и способах эксплуатации, в особенности про IDOR — Insecure Direct Object Reference
SQL Injection
О различных подвидах уязвимости и способах эксплуатации как основных, так и Blind SQLi и Second-Order SQLi
SSRF — Server-Side Request Forgery
Об основных видах уязвимости, SSRF-атаках на сервер и других внутренних системах, а также об обходе защиты, поиске и предотвращении SSRF
XXE — XML External Entity
О языке разметки XML, а также о самой уязвимости XXE и способах её эксплуатации
Уязвимости бизнес-логики
О видах таких уязвимостей и причинах их возникновения, а также о том, как их эксплуатировать
Race Condition
О причинах её возникновения, типах, эксплуатации и обходе лимитов
Небезопасная десериализация
О сериализации в целом и о том, как возникают уязвимости при её работе, а также как эксплуатировать эти уязвимости
File upload vulnerabilities
О том, когда происходит небезопасная загрузка файлов, как её эксплуатировать и как от неё защититься
Механизмы аутентификации
О том, что такое Basic Auth, MFA и JWT, как они работают, какие уязвимости у них бывают, как их эксплуатировать и митигировать
Механизмы управления доступом
О том, что такое SSO, OAuth, OIDC, как они работают, какие уязвимости у них бывают, как их эксплуатировать и митигировать
Основные уязвимости API
О 8 самых часто встречаемых уязвимостях API: BOLA, BA, URC, BFLA, UASBF, SSRF, IIM, UCA — а также о том, как их эксплуатировать
Узнаете, как эксплуатировать основные уязвимости веб-приложений, форм и API. Сможете решать основные задачи веб-пентестера
3
40 часов
Основы безопасной разработки веб-приложений
Вы изучите процесс безопасной разработки и узнаете, как ИБ-специалист может положительно влиять на него.
  • SSDLC
  • Secure by Design
  • Методология минимальных привилегий
  • Управление сеансами и зависимостями
  • Хранение секретов
  • CI/CD
Принципы безопасной разработки
О том, как выглядит процесс безопасной разработки, о роли ИБ-специалиста в нём, а также о различных методологиях и способах предотвращения уязвимостей
Хранение секретов в базах данных
О том, где не стоит хранить секреты, а также о хранении в переменных средах, файлах .env, хранилище HashiCorp Vault
Безопасность и CI/CD
О методологии CI/CD, Pipeline и Jenkins, а также о различных уязвимостях и методах защиты CI/CD
Сможете участвовать в процессе безопасной разработки. Научитесь давать чёткие рекомендации и делать веб-приложения безопасными
4
60 часов
Контейнеризация, Cloud и DevSecOps
Этот модуль мы посвятили темам контейнеризации, облаков и DevSecOps. Несмотря на то что это необязательные знания и навыки для веб-пентестера, они сильно упрощают рабочие процессы и помогают в карьерном росте.
  • Docker
  • Kubernetes
  • Yandex Cloud
  • S3
  • CI/CD-пайплайн
  • DevSecOps-пайплайн
Контейнеризация
О плюсах и минусах контейнеризации в проекте, об основных инструментах контейнеризации и безопасности приложений в контейнерах
Облачные технологии
Об основах облачных технологий и их работе на примере YandexCloud, а также об уязвимости в облаках и облачном хранилище Simple Storage Service
DevSecOps
О том, как настроить CI/CD-пайплайн, внедрить в него инструменты DevSecOps, визуализировать работу DevSecOps-пайплайна, эксплуатировать и нейтрализовывать уязвимости
Научитесь проводить контейнеризацию веб-приложений и работать в облачном хранилище. Освоите основы DevSecOps, сможете находить и эксплуатировать уязвимости
5
20 часов
Правовые аспекты, документирование и отчётность
Изучите последний этап работы веб-пентестера — как составлять отчёт. А ещё вы погрузитесь в законодательство по веб-пентесту и стандарты уязвимостей.
  • Правовые нормы
  • CWE
  • CVE
  • CVSS
  • EPSS
  • Отчёт
Основные правовые аспекты профессии
О том, какие законы регулируют деятельность веб-пентестера, что можно делать, а что нельзя, и какими санкциями это грозит
Документирование и отчётность
О том, какие есть стандарты классификаций уязвимостей, а главное — как составлять отчёт и контролировать устранение уязвимостей
Научитесь составлять отчёт, который будет помогать в устранении уязвимостей, а также узнаете основные НПА профессии
6
50 часов
Выпускной проект
Проведёте полный аудит веб-приложения и пройдёте весь процесс работы веб-пентестера. Повторите полученные знания и навыки: проведёте разведку, найдёте уязвимости, проэксплуатируете их, составите отчёт и подготовите рекомендации по проведённой работе.
Вебинары и воркшопы
Наставники будут регулярно проводить онлайн-встречи.
  • Вебинары посвящены нюансам работы, инструментам веб-пентестера или ответам на вопросы.
  • Воркшопы проходят в основном в формате CTF: студенты делятся на команды и в реальном времени пытаются взломать веб-приложения.

Более 10 000 выпускников уже нашли новую работу*

90% трудоустроились в первые полгода

*Данные исследования ВШЭ основаны на опыте выпускников Яндекс Практикума на российском рынке труда

Этот курс может оплатить
ваш работодатель
Работодатель платит за учёбу полностью или разделяет оплату вместе с вами. Сумму можно поделить, например, 50/50 или 75/25.
  • Расскажем всё про курсы
  • Поделимся подробной презентацией
  • Поможем убедить работодателя
  • Подготовим договор и счёт

Если у вас есть вопросы про учёбу, оставьте заявку — мы позвоним

Или позвоните нам сами:

+7(775)020-45-15, +998(78)122-86-14

А если не любите голосом — напишите:

Отвечаем на вопросы

Каким требованиям нужно соответствовать?
Этот курс для специалистов с опытом.
Начальные знания в этих областях значительно облегчат прохождение курса:

Основы веб-технологий
Владение HTTP и HTTPS, HTML, CSS, JavaScript и другими веб-технологиями поможет вам понять, как строятся и работают веб-приложения. Полезно будет понимание принципов работы веб-серверов и клиент-серверной архитектуры.

Основы программирования
Хорошо, если вам знакомы основные концепции программирования: переменные, циклы, условные операторы, функции, классы и т. д. Так вам будет проще понять уязвимости в коде и способы их исправления. Если вы знаете некоторые распространённые языки программирования (Python, JavaScript, Java, PHP), это тоже плюс.

Основы сетей и модели OSI
Важно понимать основные принципы работы компьютерных сетей: как работают протоколы передачи данных, маршрутизация и коммутация. Хорошо, если знаете о модели OSI и как она определяет взаимодействие различных сетевых протоколов и служб.

Опыт работы с операционными системами
Вам помогут базовые навыки работы с операционными системами — особенно с Linux. На ней базируются многие инструменты и технологии для веб-разработки и тестирования безопасности.

Опыт работы с командной строкой
Многие инструменты для тестирования безопасности используются через командную строку, поэтому опыт работы с ней будет полезен.

Английский язык
Будет плюсом, если вы можете читать на английском языке — многие ресурсы, документация и статьи по веб-безопасности написаны именно на нём.
Чем вы отличаетесь от других курсов?
• Мы учим не только ломать код, но и защищать веб-приложения от атак. Вы пройдёте 60-часовой модуль по написанию безопасного кода.

• В подарок вы получите целый модуль по основам сетей, вёрстке, API и криптографии — он поможет освежить в памяти важную теорию перед началом обучения.

• В программе есть модуль про законодательство — вы узнаете, как легально работать с чувствительной информацией в РФ и за её пределами.

• Обучение построено на реальных кейсах, а практиковаться вы будете в облаке Яндекса. Ещё в программе есть блок по работе с GPT — мы научим применять нейросети для анализа защищённости веб-приложений.

• Будете участвовать в воркшопах и проектах в формате Capture the flag.
Кто будет меня учить?
Все наставники — практикующие специалисты: сотрудники Яндекса и других крупных компаний. Программу составляют опытные преподаватели и методисты, а ещё действующие специалисты Яндекса, Школы анализа данных и других лидеров технологической и образовательной индустрий.
Что делать, если я не справлюсь с нагрузкой?
В программе предусмотрены каникулы, во время которых можно отдохнуть или повторить сложные темы.

Если вам понадобится сделать паузу в учёбе или уделить больше времени закреплению материала, напишите своему куратору.
Если не понравится, я могу вернуть деньги?
Да, причём в любой момент. Если обучение в потоке уже началось, придётся оплатить прошедшие дни — но мы вернём деньги за оставшееся время обучения. Более подробно рассказываем об этом в седьмом пункте оферты.
Получу ли я какой-то документ после курса?
Да, вы получите сертификат о переподготовке.
Как можно оплатить?
Банковской картой: внести всю сумму сразу или платить ежемесячно.

Ежемесячные платежи работают так: вы вносите первую оплату, и в этот момент привязывается карта. С этой карты автоматически будут списываться следующие платежи каждые 30 календарных дней. Например, оплатили 25 марта — следующий платёж пройдёт 24 апреля. Обучение будет стоить меньше, если оплатить весь курс сразу.

Через компанию: юридические лица также могут оплатить обучение в Практикуме. Чтобы заказать счёт для оплаты, оставьте заявку на странице для корпоративных клиентов.
На каком языке проходит обучение?
Всё будет на русском: теория, практические задания и вебинары, а ещё чаты с куратором, наставником и другими студентами.

Давайте поможем

Напишите, как вас зовут и по какому номеру можно связываться — позвоним и расскажем всё про курсы

Или позвоните нам сами:

+7(775)020-45-15, +998(78)122-86-14

А если не любите голосом — напишите: