О курсеКак учимПрограммаКоманда курсаПомощь с работойТарифы
Начать бесплатно
Для тех, кто хочет изучить основы информационной безопасности, есть отдельный курс
С нуля научитесь защищать компании от киберугроз, настроите корпоративную сеть и узнаете, как обеспечить её безопасность

Смотреть курс «Специалист по информационной безопасности»
Почему стоит учиться веб-пентесту в 2025 году
Рост атак на веб‑приложения
Каждая вторая кибератака в 2025 году — через веб. Компании ищут тех, кто умеет находить и устранять уязвимости до взлома.
Спрос на специалистов растёт
Количество вакансий по информационной безопасности растёт быстрее, чем в других IT‑сферах. Пентестеры — в топе по зарплатам и востребованности.
Рынок нуждается в практиках, а не в теоретиках
Мало хороших специалистов, которые реально умеют тестировать веб.
Возможность зарабатывать в Bug Bounty
Навыки веб-пентеста позволяют участвовать в программах по поиску уязвимостей и зарабатывать независимо от места работы.
Переход в ИБ из смежной сферы
Этот курс — отличная точка входа для тех, кто хочет сменить фокус и перейти в кибербезопасность.
Понимание, как мыслят хакеры
Начнёте думать как атакующий, а это ключ ко всем задачам в AppSec, DevSecOps и защите систем.
Чему вы научитесь
  • Проводить полный цикл веб‑пентеста: от разведки до финального отчёта
  • Находить и эксплуатировать уязвимости из OWASP Top 10 и API Top 10
  • Проверять безопасность авторизации, аутентификации и API: OAuth, JWT, SSO
  • Использовать инструменты пентеста: Burp Suite, SQLMap, ffuf, Nmap и другие
  • Участвовать в программах Bug Bounty и монетизировать навыки
  • Помогать команде разработчиков устранять уязвимости
  • Применять подходы Secure by Design и SSDLC в разработке и анализе ПО
  • Работать с контейнерами и облачными средами: Docker, Kubernetes, S3, Yandex Cloud
После курса сможете расти по карьерной лестнице

Получите новую специальность или расширите стек

Веб-пентестер

Освоите востребованные навыки

Burp Suite
Fiddler
OWASP ZAP
Ffuf
Dirsearch
HTTPX
Nuclei
SQLMap
Naabu
Nmap
Shodan
Censys
Postman
Amass
Ysoserial
Docker
Kubernetes

Сможете претендовать на более высокую зарплату

С новыми навыками сможете браться за более сложные задачи и расти в цене как специалист

Источник: Профгид
130 000–400 000 ₽
До этой суммы доходили зарплаты пентестеров по всей России в марте 2024
Практика в облачном симуляторе с реальными кейсами
Будете работать с сайтами с формой авторизации, а также с онлайн-магазинами, генераторами паролей, персональным хранилищем файлов и влогами
Будете искать настоящие уязвимости в веб‑приложениях
Вы узнаете, как выглядят уязвимости в существующих приложениях: найдёте их, пощупаете и исправите. Ещё посетите воркшопы, где сможете перенять опыт специалистов из крупных IT‑компаний.
Посетите воркшопы в формате CTF
Вместе с одногруппниками будете эксплуатировать уязвимости и предлагать способы их устранения. Наставники будут рядом, чтобы дать обратную связь.
Составите собственный чек-лист по всем этапам WAPT
У вас будет свой алгоритм тестирования веб-приложений на проникновение — после курса сможете использовать его в своей работе.
Практикум AI помогает учиться
Когда в теории что-то непонятно, нейросеть объяснит это другими словами. А в конце каждого урока подготовит краткий пересказ о самом главном.
2 формата обучения на выбор
  • С дедлайнами. Модули открываются по расписанию — их важно проходить за определённое время. Проекты тоже нужно сдавать точно в срок.
  • В своём темпе. Темы и задания открываются по мере прохождения. Можно завершить курс быстрее или продлить обучение на месяц.

    Подробнее об обучении в своём темпе
Регулярно обновляем программу, чтобы вы проходили только актуальное
Есть базовый, расширенный и индивидуальный форматы, в каждом из них учёбе нужно уделять от 10 до 20 часов в неделю в зависимости от ваших изначальных навыков
Скачать программу в PDF
2 часа
Бесплатно
Бесплатная вводная часть
Этот модуль — введение в веб-пентест. Мы расскажем, что это такое, из чего состоит обучение на курсе и как оно проходит.
Веб-пентест: профессия и навык
Разберётесь, кто такой веб-пентестер, чем он занимается, какие задачи решает и какие навыки нужны для работы. Узнаете, как устроена сфера информационной безопасности и как в неё попасть.
Как проходит обучение
Узнаете, как устроен курс, какие есть тарифы, сколько длится обучение и в каком формате проходит, какой нужен стартовый уровень и чему вы научитесь в итоге.
Входное тестирование
Пройдёте тест из 14 вопросов по сетям, протоколам, Linux и веб‑технологиям, чтобы оценить свои стартовые знания и понять, готовы ли вы к курсу.
Разберётесь, как проходит обучение, для кого оно и чему вы научитесь по итогу курса
Бонус: основы инфраструктуры и архитектуры
Дополнительный модуль, чтобы повторить теорию и учёба не оказалась слишком сложной.
  • DNS-сервер
  • Прокси-сервер
  • HTTP и HTTPS
  • Браузер
  • Веб-серверы
  • Базы данных
  • Криптография
  • API
Основы сетей
О принципах работы компьютерной сети (OSI и TCP/IP), о том, как устроены и функционируют DNS- и прокси-серверы
Принципы передачи и защиты данных
Об устройстве протоколов HTTP и HTTPS, их принципах работы и заголовках
Клиент-серверная архитектура
О работе веб-сервера, браузера и базы данных, а также об устройстве API, WebSocket и криптографии
Узнаете или повторите теоретическую базу, которой должен владеть веб-пентестер для своей работы
1
3 недели
Разведка в веб-приложениях
В этом модуле вы разберётесь, как проходит веб-пентест и какие у него есть виды. Также вы глубоко рассмотрите первый этап пентеста — разведку — и изучите все необходимые для него инструменты.
  • WhiteBox, BlackBox
  • Kali Linux
  • Burp Suite
  • ZAP
  • Shodan
  • Censys
  • Чек-листы тестирования
  • Этапы разведки
  • Поиск поддоменов
  • Сканирование портов и уязвимостей
  • Идентификация технологий
Тестирование: виды, этапы и методологии
О том, что такое пентест на самом деле и как именно работает веб-пентестер, когда он проверяет веб-приложение, а ещё — о методологии работы и основных уязвимостях по OWASP
Инструменты веб-пентеста
Об основных инструментах веб-пентестера, вшитых в Kali Linux, особенно о Burp Suite и ZAP, а также о законодательных и этических ограничениях использования инструментов
Как проводить разведку
О каждом шаге, который необходимо сделать веб-пентестеру для проведения качественной разведки веб-приложения — полный майндмэп разведки
Узнаете, как проводить разведку, и научитесь это делать в работе над лабораторными заданиями и финальным проектом
2
10 недель
Анализ защищённости веб-приложений
Это главная часть программы — в ней мы рассмотрим основные уязвимости, которые встречают в веб-приложениях, и научимся их эксплуатировать.
  • XSS
  • CSRF
  • BAC
  • SQL Injection
  • SSRF
  • XXE
  • Race Condition
  • File upload
  • Уязвимости аутентификации, авторизации и API
XSS — Cross-site scripting
О том, какие у XSS бывают разновидности, как её эксплуатировать и защищаться от неё
CSRF — Cross-site Request Forgery
О том, что такое CSRF, где она встречается и как её эксплуатировать, а также о SOP-защите и том, как её обходить
BAC — Broken Access Control
О BAC, её типах и способах эксплуатации, в особенности про IDOR — Insecure Direct Object Reference
SQL Injection
О различных подвидах уязвимости и способах эксплуатации как основных, так и Blind SQLi и Second-Order SQLi
SSRF — Server-Side Request Forgery
Об основных видах уязвимости, SSRF-атаках на сервер и других внутренних системах, а также об обходе защиты, поиске и предотвращении SSRF
XXE — XML External Entity
О языке разметки XML, а также о самой уязвимости XXE и способах её эксплуатации
Уязвимости бизнес-логики
О видах таких уязвимостей и причинах их возникновения, а также о том, как их эксплуатировать
Race Condition
О причинах её возникновения, типах, эксплуатации и обходе лимитов
Небезопасная десериализация
О сериализации в целом и о том, как возникают уязвимости при её работе, а также как эксплуатировать эти уязвимости
File upload vulnerabilities
О том, когда происходит небезопасная загрузка файлов, как её эксплуатировать и как от неё защититься
Механизмы аутентификации
О том, что такое Basic Auth, MFA и JWT, как они работают, какие уязвимости у них бывают, как их эксплуатировать и митигировать
Механизмы управления доступом
О том, что такое SSO, OAuth, OIDC, как они работают, какие уязвимости у них бывают, как их эксплуатировать и митигировать
Основные уязвимости API
О 8 самых часто встречаемых уязвимостях API: BOLA, BA, URC, BFLA, UASBF, SSRF, IIM, UCA — а также о том, как их эксплуатировать
Узнаете, как эксплуатировать основные уязвимости веб-приложений, форм и API. Сможете решать основные задачи веб-пентестера
3
1 неделя
Правовые аспекты, документирование и отчётность
Изучите последний этап работы веб-пентестера — как составлять отчёт. А ещё вы погрузитесь в законодательство по веб-пентесту и стандарты уязвимостей.
  • Правовые нормы
  • CWE
  • CVE
  • CVSS
  • EPSS
  • Отчёт
Основные правовые аспекты профессии
О том, какие законы регулируют деятельность веб-пентестера, что можно делать, а что нельзя, и какими санкциями это грозит
Документирование и отчётность
О том, какие есть стандарты классификаций уязвимостей, а главное — как составлять отчёт и контролировать устранение уязвимостей
Научитесь составлять отчёт, который будет помогать в устранении уязвимостей, а также узнаете основные НПА профессии
4
4 недели
Итоговый проект
Проведёте полный аудит веб-приложения и пройдёте весь процесс работы веб-пентестера. Повторите полученные знания и навыки: проведёте разведку, найдёте уязвимости, проэксплуатируете их, составите отчёт и подготовите рекомендации по проведённой работе.
Вебинары и воркшопы
Наставники будут регулярно проводить онлайн‑встречи, которые посвящены нюансам работы, инструментам веб‑пентестера ответам на вопросы.

На воркшопах студенты практикуются во взломе веб‑приложения.
5
Только на расширенном и индивидуальном курсе・2 недели
Основы безопасной разработки веб-приложений
Вы изучите процесс безопасной разработки и узнаете, как ИБ-специалист может положительно влиять на него.
  • SSDLC
  • Secure by Design
  • Методология минимальных привилегий
  • Управление сеансами и зависимостями
  • Хранение секретов
  • CI/CD
Принципы безопасной разработки
О том, как выглядит процесс безопасной разработки, о роли ИБ-специалиста в нём, а также о различных методологиях и способах предотвращения уязвимостей
Хранение секретов в базах данных
О том, где не стоит хранить секреты, а также о хранении в переменных средах, файлах .env, хранилище HashiCorp Vault
Безопасность и CI/CD
О методологии CI/CD, Pipeline и Jenkins, а также о различных уязвимостях и методах защиты CI/CD
Сможете участвовать в процессе безопасной разработки. Научитесь давать чёткие рекомендации и делать веб-приложения безопасными
6
Только на расширенном и индивидуальном курсе・4 недели
Контейнеризация, Cloud и DevSecOps
Этот модуль мы посвятили темам контейнеризации, облаков и DevSecOps. Несмотря на то что это необязательные знания и навыки для веб-пентестера, они сильно упрощают рабочие процессы и помогают в карьерном росте.
  • Docker
  • Kubernetes
  • Yandex Cloud
  • S3
  • CI/CD-пайплайн
  • DevSecOps-пайплайн
Контейнеризация
О плюсах и минусах контейнеризации в проекте, об основных инструментах контейнеризации и безопасности приложений в контейнерах
Облачные технологии
Об основах облачных технологий и их работе на примере YandexCloud, а также об уязвимости в облаках и облачном хранилище Simple Storage Service
DevSecOps
О том, как настроить CI/CD-пайплайн, внедрить в него инструменты DevSecOps, визуализировать работу DevSecOps-пайплайна, эксплуатировать и нейтрализовывать уязвимости
Научитесь проводить контейнеризацию веб-приложений и работать в облачном хранилище. Освоите основы DevSecOps, сможете находить и эксплуатировать уязвимости
Только на индивидуальном курсе
Индивидуальные встречи с экспертом
Эксперт — опытный веб-пентестер, на встречах с которым вы сможете разбирать любые вопросы, даже если их нет в программе. За весь курс у вас будет 8 встреч по 45 минут.
Этот курс может оплатить
ваш работодатель
Полностью или разделив оплату с вами,
например 50/50 или 75/25
  • Расскажем всё про курс
  • Сообщим стоимость
  • Ответим на ваши вопросы
  • Подготовим договор и счёт
 
Есть оплата через работодателя, свою компанию или ИП.
  •                                        

Если у вас есть вопросы про учёбу, оставьте заявку — мы позвоним

Мы перезваниваем в течение 30 минут каждый день с 10:00 до 19:00. Если оставите заявку сейчас, то перезвоним уже в рабочее время

Как планируете учиться?
Или позвоните нам сами:
8 800 700-93-29
А если не любите голосом — напишите:
Политика конфиденциальности
Отвечаем на вопросы
Каким требованиям нужно соответствовать?
Этот курс для специалистов с опытом.
Начальные знания в этих областях значительно облегчат прохождение курса:

Основы веб-технологий
Владение HTTP и HTTPS, HTML, CSS, JavaScript и другими веб-технологиями поможет вам понять, как строятся и работают веб-приложения. Полезно будет понимание принципов работы веб-серверов и клиент-серверной архитектуры.

Основы программирования
Хорошо, если вам знакомы основные концепции программирования: переменные, циклы, условные операторы, функции, классы и т. д. Так вам будет проще понять уязвимости в коде и способы их исправления. Если вы знаете некоторые распространённые языки программирования (Python, JavaScript, Java, PHP), это тоже плюс.

Основы сетей и модели OSI
Важно понимать основные принципы работы компьютерных сетей: как работают протоколы передачи данных, маршрутизация и коммутация. Хорошо, если знаете о модели OSI и как она определяет взаимодействие различных сетевых протоколов и служб.

Опыт работы с операционными системами
Вам помогут базовые навыки работы с операционными системами — особенно с Linux. На ней базируются многие инструменты и технологии для веб-разработки и тестирования безопасности.

Опыт работы с командной строкой
Многие инструменты для тестирования безопасности используются через командную строку, поэтому опыт работы с ней будет полезен.

Английский язык
Будет плюсом, если вы можете читать на английском языке — многие ресурсы, документация и статьи по веб-безопасности написаны именно на нём.
Чем различаются тарифы?
На курсе есть 3 формата: базовый, расширенный и индивидуальный. В каждом из них учёбе нужно уделять от 10 до 20 часов в неделю в зависимости от ваших изначальных навыков.

Базовый:
• Длится 4 месяца.
• 7 проектов без обратной связи.
• Ревью итогового проекта от специалиста по информационной безопасности.

Расширенный:
• 6 месяцев.
• 8 проектов с обратной связью.
• Дополнительные модули по безопасной разработке, контейнеризации, Cloud и DevSecOps.

Индивидуальный:
• 6 месяцев.
• 8 проектов с обратной связью.
• Дополнительные модули по безопасной разработке, контейнеризации, Cloud и DevSecOps.
• 8 индивидуальных встреч с экспертом по 45 минут.
Чем вы отличаетесь от других курсов?
• Мы учим не только ломать код, но и защищать веб-приложения от атак. Вы пройдёте 60-часовой модуль по написанию безопасного кода.

• В подарок вы получите целый модуль по основам сетей, вёрстке, API и криптографии — он поможет освежить в памяти важную теорию перед началом обучения.

• В программе есть модуль про законодательство — вы узнаете, как легально работать с чувствительной информацией в РФ и за её пределами.

• Обучение построено на реальных кейсах, а практиковаться вы будете в облаке Яндекса. Ещё в программе есть блок по работе с GPT — мы научим применять нейросети для анализа защищённости веб-приложений.

• Будете участвовать в воркшопах и проектах в формате Capture the flag.
Кто будет меня учить?
Все наставники — практикующие специалисты: сотрудники Яндекса и других крупных компаний. Программу составляют опытные преподаватели и методисты, а ещё действующие специалисты Яндекса, Школы анализа данных и других лидеров технологической и образовательной индустрий.
Что делать, если я не справлюсь с нагрузкой?
В программе предусмотрены каникулы, во время которых можно отдохнуть или повторить сложные темы.

Если вам нужно больше времени на выполнение проекта, напишите куратору. Он подскажет, как согласовать новый дедлайн.
Обучение в своём темпе — это как?
Этот курс можно пройти в одном из двух форматов:

С дедлайнами. Обучение идёт спринтами, модули открываются по расписанию, а задания нужно выполнять точно в срок.
В своём темпе. Темы и задания открываются по мере их прохождения. Можно регулировать свою нагрузку и проходить курс быстрее или медленнее. Подробнее об обучении в своём темпе.

Обучение в своём темпе подойдёт тем, кому сложно подстроить свой график под расписание курса. Но важно помнить, что такой формат требует самоконтроля и высокой мотивации. С дедлайнами будет проще поддерживать темп занятий и пройти курс до конца.
Если не понравится, я могу вернуть деньги?
Конечно. Если поток ещё не стартовал, вернём всю сумму. Если учёба уже началась, придётся оплатить прошедшие дни со старта вашего потока — но мы вернём деньги за остаток курса. Более подробно рассказываем об этом в 7 пункте оферты.
Получу ли я какой-то документ после курса?
Да, для этого нужно закончить курс и успешно выполнить итоговый проект.

Тогда вы получите диплом о профессиональной переподготовке, если у вас есть среднее профессиональное или высшее образование. Если нет, отправим вам сертификат о прохождении курса в электронном виде.

А если не получится пройти курс целиком и выполнить итоговый проект, по запросу выдадим вам электронную справку об обучении — с перечнем модулей, которые вы освоили.
Вы поможете сменить или найти работу?
На этом курсе не предусмотрена помощь с трудоустройством, поскольку он для действующих специалистов, у которых уже есть навыки поиска работы.

Но если у вас появится вопрос о карьерном развитии, обратитесь в нашу службу поддержки — постараемся ответить.
Как можно оплатить?
Банковской картой: внести всю сумму сразу или платить ежемесячно.

Ежемесячные платежи работают так: вы вносите первую оплату, и в этот момент привязывается карта. С этой карты автоматически будут списываться следующие платежи каждые 30 календарных дней. Например, оплатили 25 марта — следующий платёж пройдёт 24 апреля. Обучение будет стоить меньше, если оплатить весь курс сразу.

Через компанию, если она налоговый резидент РФ. Условия для юридических лиц и ИП отличаются — чтобы узнать подробнее, оставьте заявку или уточните у вашего менеджера.
Можно ли оплатить курс за счёт работодателя?
Да, работодатель может оплатить учёбу полностью или разделить сумму с вами, например 50/50 или 75/25.

Такая оплата пройдёт по счёту или двустороннему договору, а ИП могут оплатить с бизнес-счёта. Если работодатель купит обучение сразу 10 сотрудникам или больше, сделаем скидку 10%.

Условия для юридических лиц и ИП отличаются — чтобы узнать подробнее, оставьте заявку или уточните у вашего менеджера.
Что такое налоговый вычет на обучение и как его получить?
Налоговый вычет может получить тот, кто работает по трудовому договору и является налоговым резидентом Российской Федерации, то есть 183 дня в году находится на территории страны.

Вот инструкция, которая поможет всё оформить.

Давайте поможем

Мы перезваниваем в течение 30 минут каждый день с 10:00 до 19:00. Если оставите заявку сейчас, то перезвоним уже в рабочее время.

Как планируете учиться?
Политика конфиденциальности