Это курс для специалистов с опытом

  • Разработчиков
  • Автоматизаторов тестирования
  • Системных администраторов
  • Студентов техвузов и начинающих пентестеров
Пройдите бесплатный тест, чтобы понять, подойдёт ли вам курс

Что вы получите

  • Конкурентоспособность: по данным исследования Orion Market Research, рынок веб-пентеста растёт на 12% в год. Вы сможете повысить свою ценность как специалиста.
  • Новые прикладные навыки: научитесь мыслить как хакер и делать свои продукты безопасными. Это позволит браться за более сложные задачи на текущем месте или сменить работу.
  • Опыт: 9 проектов, которые станут преимуществом при поиске работы и для новичков, и для опытных разработчиков.
  • Возможности: сможете продолжить развиваться в других направлениях ИБ — например, в Application Security.

Чему вы научитесь за 6 месяцев

  • Использовать методики безопасной разработки ПО
  • Анализировать уязвимости и тестировать приложения на проникновение
  • Пользоваться Docker, Kubernetes, DevSecOps и развёртыванием в облаке
  • Эффективно управлять секретами для предотвращения утечек
  • Использовать методики и инструменты для идентификации уязвимостей
  • Пользоваться инструментами тестирования: Burp Suite, SQLMap
  • Находить уязвимости OWASP Top 10 и другие
  • Применять инструменты и методики DevSecOps

После курса сможете расти по карьерной лестнице

Получите новую специальность или расширите стек

Специалист по информационной безопасности, веб-пентестер

Освоите востребованные навыки

Burp Suite
Fiddler
OWASP ZAP
Katana
Ffuf
Dirsearch
HTTPX
X8
Nuclei
SQLMap
Naabu
Nmap
Shodan
Censys
Metasploit
Postman
Amass
Ysoserial
Docker
Kubernetes

Сможете претендовать на более высокую зарплату

С новыми навыками сможете браться за более сложные задачи и расти в цене как специалист

Источник: Профгид
130 000–400 000 ₽
До этой суммы доходили зарплаты пентестеров по всей России в марте 2024

Практика в облачном симуляторе с реальными кейсами

Будете работать с сайтами с формой авторизации, а также с онлайн-магазинами, генераторами паролей, персональным хранилищем файлов и влогами

YandexGPT помогает учиться

Когда в теории что-то непонятно, нейросеть объяснит это другими словами. А в конце каждого урока подготовит краткий пересказ о самом главном.

Программа курса

Рассчитана на 6 месяцев. В среднем учёбе нужно уделять 20 часов в неделю, но можно заниматься в своём темпе.
2 часа
Бесплатно
Бесплатная вводная часть
Этот модуль — введение в веб-пентест. Мы расскажем, что это такое, из чего состоит обучение на курсе и как оно проходит.
Веб-пентестер и веб-пентест
О профессии веб-пентестера: чем он занимается, какими навыками должен обладать и о каких смежных направлениях информационной безопасности нужно знать
Онбординг на курс
О том, какими знаниями и опытом нужно обладать для начала обучения, а также как и в каком формате проходит обучение на нашем курсе
Тестирование
14 вопросов о компьютерных сетях, протоколах, веб-администрировании и Linux, чтобы проверить свои знания
Разберётесь, как проходит обучение, для кого оно и чему вы научитесь по итогу курса
40 часов
Бонус: основы инфраструктуры и архитектуры
Дополнительный модуль, чтобы повторить теорию и учёба не оказалась слишком сложной.
  • DNS-сервер
  • Прокси-сервер
  • HTTP и HTTPS
  • Браузер
  • Веб-серверы
  • Базы данных
  • Криптография
  • API
Основы сетей
О принципах работы компьютерной сети (OSI и TCP/IP), о том, как устроены и функционируют DNS- и прокси-серверы
Принципы передачи и защиты данных
Об устройстве протоколов HTTP и HTTPS, их принципах работы и заголовках
Клиент-серверная архитектура
О работе веб-сервера, браузера и базы данных, а также об устройстве API, WebSocket и криптографии
Узнаете или повторите теоретическую базу, которой должен владеть веб-пентестер для своей работы
1
60 часов
Разведка в веб-приложениях
В этом модуле вы разберётесь, как проходит веб-пентест и какие у него есть виды. Также вы глубоко рассмотрите первый этап пентеста — разведку — и изучите все необходимые для него инструменты.
  • WhiteBox, BlackBox
  • Kali Linux
  • Burp Suite
  • ZAP
  • Shodan
  • Censys
  • Чек-листы тестирования
  • Этапы разведки
  • Поиск поддоменов
  • Сканирование портов и уязвимостей
  • Идентификация технологий
Тестирование: виды, этапы и методологии
О том, что такое пентест на самом деле и как именно работает веб-пентестер, когда он проверяет веб-приложение, а ещё — о методологии работы и основных уязвимостях по OWASP
Инструменты веб-пентеста
Об основных инструментах веб-пентестера, вшитых в Kali Linux, особенно о Burp Suite и ZAP, а также о законодательных и этических ограничениях использования инструментов
Как проводить разведку
О каждом шаге, который необходимо сделать веб-пентестеру для проведения качественной разведки веб-приложения — полный майндмэп разведки
Узнаете, как проводить разведку, и научитесь это делать в работе над лабораторными заданиями и финальным проектом
2
200 часов
Основные уязвимости веб-приложений
Это главная часть программы — в ней мы рассмотрим основные уязвимости, которые встречают в веб-приложениях, и научимся их эксплуатировать.
  • XSS
  • CSRF
  • BAC
  • SQL Injection
  • SSRF
  • XXE
  • Race Condition
  • File upload
  • Уязвимости аутентификации, авторизации и API
XSS — Cross-site scripting
О том, какие у XSS бывают разновидности, как её эксплуатировать и защищаться от неё
CSRF — Cross-site Request Forgery
О том, что такое CSRF, где она встречается и как её эксплуатировать, а также о SOP-защите и том, как её обходить
BAC — Broken Access Control
О BAC, её типах и способах эксплуатации, в особенности про IDOR — Insecure Direct Object Reference
SQL Injection
О различных подвидах уязвимости и способах эксплуатации как основных, так и Blind SQLi и Second-Order SQLi
SSRF — Server-Side Request Forgery
Об основных видах уязвимости, SSRF-атаках на сервер и других внутренних системах, а также об обходе защиты, поиске и предотвращении SSRF
XXE — XML External Entity
О языке разметки XML, а также о самой уязвимости XXE и способах её эксплуатации
Уязвимости бизнес-логики
О видах таких уязвимостей и причинах их возникновения, а также о том, как их эксплуатировать
Race Condition
О причинах её возникновения, типах, эксплуатации и обходе лимитов
Небезопасная десериализация
О сериализации в целом и о том, как возникают уязвимости при её работе, а также как эксплуатировать эти уязвимости
File upload vulnerabilities
О том, когда происходит небезопасная загрузка файлов, как её эксплуатировать и как от неё защититься
Механизмы аутентификации
О том, что такое Basic Auth, MFA и JWT, как они работают, какие уязвимости у них бывают, как их эксплуатировать и митигировать
Механизмы управления доступом
О том, что такое SSO, OAuth, OIDC, как они работают, какие уязвимости у них бывают, как их эксплуатировать и митигировать
Основные уязвимости API
О 8 самых часто встречаемых уязвимостях API: BOLA, BA, URC, BFLA, UASBF, SSRF, IIM, UCA — а также о том, как их эксплуатировать
Узнаете, как эксплуатировать основные уязвимости веб-приложений, форм и API. Сможете решать основные задачи веб-пентестера
3
40 часов
Основы безопасной разработки веб-приложений
Вы изучите процесс безопасной разработки и узнаете, как ИБ-специалист может положительно влиять на него.
  • SSDLC
  • Secure by Design
  • Методология минимальных привилегий
  • Управление сеансами и зависимостями
  • Хранение секретов
  • CI/CD
Принципы безопасной разработки
О том, как выглядит процесс безопасной разработки, о роли ИБ-специалиста в нём, а также о различных методологиях и способах предотвращения уязвимостей
Хранение секретов в базах данных
О том, где не стоит хранить секреты, а также о хранении в переменных средах, файлах .env, хранилище HashiCorp Vault
Безопасность и CI/CD
О методологии CI/CD, Pipeline и Jenkins, а также о различных уязвимостях и методах защиты CI/CD
Сможете участвовать в процессе безопасной разработки. Научитесь давать чёткие рекомендации и делать веб-приложения безопасными
4
60 часов
Контейнеризация, Cloud и DevSecOps
Этот модуль мы посвятили темам контейнеризации, облаков и DevSecOps. Несмотря на то что это необязательные знания и навыки для веб-пентестера, они сильно упрощают рабочие процессы и помогают в карьерном росте.
  • Docker
  • Kubernetes
  • Yandex Cloud
  • S3
  • CI/CD-пайплайн
  • DevSecOps-пайплайн
Контейнеризация
О плюсах и минусах контейнеризации в проекте, об основных инструментах контейнеризации и безопасности приложений в контейнерах
Облачные технологии
Об основах облачных технологий и их работе на примере YandexCloud, а также об уязвимости в облаках и облачном хранилище Simple Storage Service
DevSecOps
О том, как настроить CI/CD-пайплайн, внедрить в него инструменты DevSecOps, визуализировать работу DevSecOps-пайплайна, эксплуатировать и нейтрализовывать уязвимости
Научитесь проводить контейнеризацию веб-приложений и работать в облачном хранилище. Освоите основы DevSecOps, сможете находить и эксплуатировать уязвимости
5
20 часов
Правовые аспекты, документирование и отчётность
Изучите последний этап работы веб-пентестера — как составлять отчёт. А ещё вы погрузитесь в законодательство по веб-пентесту и стандарты уязвимостей.
  • Правовые нормы
  • CWE
  • CVE
  • CVSS
  • EPSS
  • Отчёт
Основные правовые аспекты профессии
О том, какие законы регулируют деятельность веб-пентестера, что можно делать, а что нельзя, и какими санкциями это грозит
Документирование и отчётность
О том, какие есть стандарты классификаций уязвимостей, а главное — как составлять отчёт и контролировать устранение уязвимостей
Научитесь составлять отчёт, который будет помогать в устранении уязвимостей, а также узнаете основные НПА профессии
6
50 часов
Выпускной проект
Проведёте полный аудит веб-приложения и пройдёте весь процесс работы веб-пентестера. Повторите полученные знания и навыки: проведёте разведку, найдёте уязвимости, проэксплуатируете их, составите отчёт и подготовите рекомендации по проведённой работе.
Вебинары и воркшопы
Наставники будут регулярно проводить онлайн-встречи.
  • Вебинары посвящены нюансам работы, инструментам веб-пентестера или ответам на вопросы.
  • Воркшопы проходят в основном в формате CTF: студенты делятся на команды и в реальном времени пытаются взломать веб-приложения.
Этот курс может оплатить
ваш работодатель
Полностью или разделив оплату с вами,
например 50/50 или 75/25
  • Расскажем всё про курс
  • Поделимся презентацией
  • Ответим на ваши вопросы
  • Подготовим договор и счёт

Вернём деньги за курс, если устроитесь веб-пентестером в Яндекс в течение 6 месяцев после выпуска

Мы не можем гарантировать трудоустройство, но подготовим к нему так, чтобы у вас были все шансы

Как и другие кандидаты, вы пройдёте несколько этапов собеседований в Яндекс — и в случае успеха получите полную компенсацию за обучение

Подробнее об акции

10 000+ выпускников Практикума уже нашли новую работу

Это подтверждено исследованием, которое мы провели вместе с Высшей школой экономики. Вот в каких компаниях они работают:

Если у вас есть вопросы про учёбу, оставьте заявку — мы позвоним

Отвечаем на вопросы

Каким требованиям нужно соответствовать?
Этот курс для специалистов с опытом.
Начальные знания в этих областях значительно облегчат прохождение курса:

Основы веб-технологий
Владение HTTP и HTTPS, HTML, CSS, JavaScript и другими веб-технологиями поможет вам понять, как строятся и работают веб-приложения. Полезно будет понимание принципов работы веб-серверов и клиент-серверной архитектуры.

Основы программирования
Хорошо, если вам знакомы основные концепции программирования: переменные, циклы, условные операторы, функции, классы и т. д. Так вам будет проще понять уязвимости в коде и способы их исправления. Если вы знаете некоторые распространённые языки программирования (Python, JavaScript, Java, PHP), это тоже плюс.

Основы сетей и модели OSI
Важно понимать основные принципы работы компьютерных сетей: как работают протоколы передачи данных, маршрутизация и коммутация. Хорошо, если знаете о модели OSI и как она определяет взаимодействие различных сетевых протоколов и служб.

Опыт работы с операционными системами
Вам помогут базовые навыки работы с операционными системами — особенно с Linux. На ней базируются многие инструменты и технологии для веб-разработки и тестирования безопасности.

Опыт работы с командной строкой
Многие инструменты для тестирования безопасности используются через командную строку, поэтому опыт работы с ней будет полезен.

Английский язык
Будет плюсом, если вы можете читать на английском языке — многие ресурсы, документация и статьи по веб-безопасности написаны именно на нём.
Чем вы отличаетесь от других курсов?
• Мы учим не только ломать код, но и защищать веб-приложения от атак. Вы пройдёте 60-часовой модуль по написанию безопасного кода.

• В подарок вы получите целый модуль по основам сетей, вёрстке, API и криптографии — он поможет освежить в памяти важную теорию перед началом обучения.

• В программе есть модуль про законодательство — вы узнаете, как легально работать с чувствительной информацией в РФ и за её пределами.

• Обучение построено на реальных кейсах, а практиковаться вы будете в облаке Яндекса. Ещё в программе есть блок по работе с GPT — мы научим применять нейросети для анализа защищённости веб-приложений.

• Будете участвовать в воркшопах и проектах в формате Capture the flag.
Кто будет меня учить?
Все наставники — практикующие специалисты: сотрудники Яндекса и других крупных компаний. Программу составляют опытные преподаватели и методисты, а ещё действующие специалисты Яндекса, Школы анализа данных и других лидеров технологической и образовательной индустрий.
Что делать, если я не справлюсь с нагрузкой?
В программе предусмотрены каникулы, во время которых можно отдохнуть или повторить сложные темы.

Если случилось непредвиденное или понадобилось больше времени на закрепление материала, напишите своему куратору. Он поможет перенести дедлайн сдачи проекта или перевестись в более поздний поток. На общую стоимость курса это не повлияет.
Если не понравится, я могу вернуть деньги?
Конечно. Если поток ещё не стартовал, вернём всю сумму. Если учёба уже началась, придётся оплатить прошедшие дни со старта вашего первого потока — но мы вернём деньги за остаток курса. Более подробно рассказываем об этом в 7 пункте оферты.
Получу ли я какой-то документ после курса?
Если у вас есть среднее профессиональное или высшее образование, после курса вы получите диплом о профессиональной переподготовке.

Если нет, выдадим сертификат о прохождении курса и справку об обучении в электронном виде.
Как можно оплатить?
Банковской картой: внести всю сумму сразу или платить ежемесячно.

Ежемесячные платежи работают так: вы вносите первую оплату, и в этот момент привязывается карта. С этой карты автоматически будут списываться следующие платежи каждые 30 календарных дней. Например, оплатили 25 марта — следующий платёж пройдёт 24 апреля. Обучение будет стоить меньше, если оплатить весь курс сразу.

Через компанию: юридические лица — резиденты РФ также могут оплатить обучение в Практикуме. Условия предоставления услуг для юридических лиц могут отличаться — чтобы узнать подробнее, оставьте заявку или уточните у вашего менеджера.
Можно ли оплатить курс за счёт работодателя?
Да, работодатель может оплатить учёбу полностью или разделить оплату с вами: например, поделить сумму 50/50 или 75/25.

Такая оплата пройдёт по счёту или двустороннему договору, а ИП могут оплатить с бизнес-счёта. Если работодатель купит обучение сразу 10 сотрудникам или больше, сделаем скидку 10%.

Условия предоставления услуг для юридических лиц могут отличаться — чтобы узнать подробнее, оставьте заявку или уточните у вашего менеджера.
Что такое налоговый вычет на обучение и как его получить?
Налоговый вычет может оформить тот, кто работает по трудовому договору и является налоговым резидентом Российской Федерации, то есть 183 дня в году находится на территории страны.

Заявление на налоговый вычет нужно подать через личный кабинет на сайте nalog.ru (в него можно войти через аккаунт на Госуслугах).

К заявлению нужно приложить:
  • Справку 2-НДФЛ от работодателя.
  • Договор на обучение, в вашем случае это оферта Практикума.
  • Лицензию на образовательную деятельность. Вот наша.
  • Чек об оплате обучения. Мы отправляем его на электронную почту. Если не найдёте чек у себя в почте, напишите в чат службы поддержки — вышлем копию.
  • Справку о получении образовательных услуг — её тоже нужно запросить в чате поддержки.
Подробнее о налоговом вычете — на сайте Федеральной налоговой службы.

Давайте поможем

Напишите, как вас зовут и по какому номеру можно связываться — позвоним и расскажем всё про курсы