Кому будет полезен этот курс?

Веб-разработчикам

Поможет понять корень зла — причины возникновения уязвимостей, а также простой факт: современные фреймворки вполне себе позволяют писать уязвимый код.

Будущим пентестерам

Поможет за 2 месяца усвоить ключевые навыки по аудиту веб-приложений, набраться опыта и пополнить список успешно выполненных пентестов.

DevOps-инженерам

Поможет построить безопасную инфраструктуру в компании и автоматизировать обнаружение и отражение атак.

Работодателям

Поможет повысить безопасность коммерческих данных компании и эффективно инвестировать в человеческие ресурсы.

Какова цель курса?

«Безопасность веб-приложений» — практический курс, направленный на выявление уязвимостей, оценку их рисков для проекта и устранение их различными способами. Это не очередной мануал по запуску sqlmap или acunetix, наша цель — не сделать «однокнопочных хакеров», а дать знания для настоящих ресечеров и пентестеров.

Для этого вам придется изучить (и опробовать на практике) client side и server side уязвимости, ручной аудит исходного кода, автоматизацию эксплуатации уязвимостей, постэксплуатацию, повышение привилегий и другие полезные для пентестера навыки.

Какой уровень знаний нужен?

Курсанту необходимо понимать принципы работы сети Интернет, в идеале — знать какой-либо язык для веб-приложений (на курсе в основном будет php). Для настройки рабочего места очень пригодятся базовые навыки администрирования Linux, умение поднять веб-сервер, настроить виртуальную машину.

Также на время прохождения курса вам нужен будет ноутбук или комп, способный потянуть хотя бы 1 виртуалку. Что и как нужно настраивать — будет объяснено на курсе.

Чему я научусь в итоге?

  1. Эксплуатировать уязвимости OWASP Top-10;
  2. Выявлять уязвимости белым и черным ящиком;
  3. Правильно анализировать защищенность кода;
  4. Внедрять практики безопасной разработки.

Программа курса

Продолжительность курса — 2 месяца (38 академических часов). Уроки будут проводиться 2 раза в неделю (вторник и четверг) по 2 академических часа. Периодически будут выдаваться домашние задания, на которые желательно тратить хотя бы час.

В конце курса будут экзамены, по результатам которых участник получит именной сертификат.

Модули курса:

В этом модуле вы подготовитесь к курсу: настроите рабочее место, распланируете график занятий, подтянете недостающие знания.

Уроки:
  • Знакомство со структурой курса и используемым программным обеспечением
  • Классификация OWASP top 10

В этом модуле вас ожидает насыщенное погружение в особенности разных видов веб-уязвимостей, в которых должен уверенно разбираться профессиональный пентестер.

Уроки:
  • ClientSide: Open Redirect, CSRF, HTML Injection and Content Spoofing, Cross-Site Scripting
  • ServerSide: HTTP Parameter Pollution, CRLF Injection, ServerSide Request Forgery, Subdomain Takeover
  • ServerSide: SQL Injection
  • ServerSide: RCE, LFI, Deserialization
  • ServerSide: XXE, Template Injections
  • ServerSide: Race condition, IDOR

В этом модуле вы научитесь проходить обязательный этап любого тестирования на проникновение: предварительный сбор информации и ее анализ.

Уроки:
  • Сбор информации (разведка) о веб-приложении и его компонентах
  • Статические анализаторы кода и ручной анализ
  • Fuzzing

В этом модуле вы научитесь использовать инструменты пентестера, которые упрощают и ускоряют проникновение за защищенный периметр.

Уроки:
  • Инструменты для автоматического поиска и эксплуатации уязвимостей
  • Самописные инструменты для автоматизации поиска и эксплуатации
  • Web-shells и постэксплуатация
  • Права доступа и повышение привилегий

И наконец, в этом модуле вы самостоятельно распланируете, проведете и задокументируете аудит реального веб-приложения.

Уроки:
  • Методологии анализа защищенности и написание отчета по аудиту
  • Выбор темы и организация проектной работы
  • Консультации по проектной работе
  • Защита проектных работ
Записаться на курс

Ведущий курса:

Александр Twost Пушкин

Профессиональный пентестер с опытом работы более 15 лет

  • Обладатель сертификатов OSCP (Offensive Security Certified Professional)
  • Победитель и двухкратный призер PHDays Standoff
  • Более 100 успешных пентестов — от стартапов до банков
  • Спикер KazHackStan
  • Ведущий YouTube канала [NO OFFENCE] про практическую безопасность

Полная стоимость курса:

48 000 рублей

При полной оплате курса вы дополнительно получите годовую подписку от организатора курса — образовательной платформы Xakep.ru. Если у вас уже есть накопительная скидка на «Хакере», она будет автоматически учтена при оплате курса (скидка до 80%).

При оплате от юрлица добавляется НДС 20%.


Ожидаемая дата старта курса:

18 января 2021 года

Продолжительность курса составит 2 месяца (38 академических часов). В конце курса пройдет практический экзамен, по результатам которого участник получит именной сертификат.

Записаться на курс

Регистрация на курс

Если у вас есть подписка на «Хакер», накопительная скидка применится автоматически. Если вы хотите оплатить курс от юрлица, укажите это в пожеланиях к заявке или напишите на lapina@glc.ru. Уведомления об изменениях в расписании и программе будут отправляться по указанным контактам.