Кому будет полезен этот курс?

Веб-разработчикам

Поможет понять корень зла — причины возникновения уязвимостей, а также простой факт: современные фреймворки вполне себе позволяют писать уязвимый код.

Будущим пентестерам

Поможет за 2 месяца усвоить ключевые навыки по аудиту веб-приложений, набраться опыта и пополнить список успешно выполненных пентестов.

DevOps-инженерам

Поможет построить безопасную инфраструктуру в компании и автоматизировать обнаружение и отражение атак.

Работодателям

Поможет повысить безопасность коммерческих данных компании и эффективно инвестировать в человеческие ресурсы.

Какова цель курса?

«Безопасность веб-приложений» — практический курс, направленный на выявление уязвимостей, оценку их рисков для проекта и устранение их различными способами. Это не очередной мануал по запуску sqlmap или acunetix, наша цель — не сделать «однокнопочных хакеров», а дать знания для настоящих ресечеров и пентестеров.

Для этого вам придется изучить (и опробовать на практике) client side и server side уязвимости, ручной аудит исходного кода, автоматизацию эксплуатации уязвимостей, постэксплуатацию, повышение привилегий и другие полезные для пентестера навыки.

Какой уровень знаний нужен?

Курсанту необходимо понимать принципы работы сети Интернет, в идеале — знать какой-либо язык для веб-приложений (на курсе в основном будет php). Для настройки рабочего места очень пригодятся базовые навыки администрирования Linux, умение поднять веб-сервер, настроить виртуальную машину.

Также на время прохождения курса вам нужен будет ноутбук или комп, способный потянуть хотя бы 1 виртуалку. Что и как нужно настраивать — будет объяснено на курсе.

Чему я научусь в итоге?

  1. Эксплуатировать уязвимости OWASP Top-10;
  2. Выявлять уязвимости белым и черным ящиком;
  3. Правильно анализировать защищенность кода;
  4. Внедрять практики безопасной разработки.

Программа курса

Продолжительность курса — 2 месяца (38 академических часов). Уроки будут проводиться 2 раза в неделю (вторник и четверг) по 2 академических часа. Периодически будут выдаваться домашние задания, на которые желательно тратить хотя бы час.

В конце курса будут экзамены, по результатам которых участник получит именной сертификат.

Модули курса:

В этом модуле вы подготовитесь к курсу: настроите рабочее место, распланируете график занятий, подтянете недостающие знания.

Уроки:
  • Знакомство со структурой курса и используемым программным обеспечением
  • Классификация OWASP top 10

В этом модуле вас ожидает насыщенное погружение в особенности разных видов веб-уязвимостей, в которых должен уверенно разбираться профессиональный пентестер.

Уроки:
  • ClientSide: Open Redirect, CSRF, HTML Injection and Content Spoofing, Cross-Site Scripting
  • ServerSide: HTTP Parameter Pollution, CRLF Injection, ServerSide Request Forgery
  • ServerSide: SQL Injection
  • ServerSide: RCE, LFI, Deserialization
  • ServerSide: XXE, Template Injections
  • ServerSide: Race condition, IDOR

В этом модуле вы научитесь проходить обязательный этап любого тестирования на проникновение: предварительный сбор информации и ее анализ.

Уроки:
  • Сбор информации (разведка) о веб-приложении и его компонентах
  • Статические анализаторы кода и ручной анализ
  • Fuzzing

В этом модуле вы научитесь использовать инструменты пентестера, которые упрощают и ускоряют проникновение за защищенный периметр.

Уроки:
  • Инструменты для автоматического поиска и эксплуатации уязвимостей
  • Самописные инструменты для автоматизации поиска и эксплуатации
  • Web-shells и постэксплуатация
  • Права доступа и повышение привилегий

И наконец, в этом модуле вы самостоятельно распланируете, проведете и задокументируете аудит реального веб-приложения.

Уроки:
  • Методологии анализа защищенности и написание отчета по аудиту
  • Выбор темы и организация проектной работы
  • Консультации по проектной работе
  • Защита проектных работ
Записаться на курс

Ведущий курса:

Александр Twost Пушкин

Профессиональный пентестер с опытом работы более 15 лет

  • Обладатель сертификатов OSCP (Offensive Security Certified Professional)
  • Победитель и двухкратный призер PHDays Standoff
  • Более 100 успешных пентестов — от стартапов до банков
  • Спикер KazHackStan
  • Ведущий YouTube канала [NO OFFENCE] про практическую безопасность

Полная стоимость курса:

48 000 рублей

При полной оплате курса вы дополнительно получите годовую подписку от организатора курса — образовательной платформы Xakep.ru. Если у вас уже есть накопительная скидка на «Хакере», она будет автоматически учтена при оплате курса (скидка до 80%).

При оплате от юрлица добавляется НДС 20%.


Дата старта курса:

Курс начался 18 января 2021 года

Набор на курс закончен. Когда будет известна дата набора следующей группы, уведомление будет отправлено всем, кто оставлял заявку.

Продолжительность курса составит 2 месяца (38 академических часов). В конце курса пройдет практический экзамен, по результатам которого участник получит именной сертификат.

Записаться на курс

Регистрация на курс

Курс начался, набор групп временно не производится! Вы можете оставить заявку, чтобы получить уведомление о начале набора и расписании следующей группы.