О курсеКак учимПрограммаПоддержкаПомощь с работойСтоимость
Начать учиться бесплатно

Это курс для специалистов с опытом

  • Разработчиков
  • Автоматизаторов тестирования
  • Системных администраторов
  • Студентов техвузов и начинающих пентестеров

Что вы получите

  • Конкурентоспособность: по данным исследования Orion Market Research, рынок веб-пентеста растёт на 12% в год. Вы сможете повысить свою ценность как специалиста.
  • Новые прикладные навыки: научитесь мыслить как хакер и делать свои продукты безопасными. Это позволит браться за более сложные задачи на текущем месте или сменить работу.
  • Опыт: 9 проектов, которые станут преимуществом при поиске работы и для новичков, и для опытных разработчиков.
  • Возможности: сможете продолжить развиваться в других направлениях ИБ — например, в Application Security.

Чему вы научитесь за 6 месяцев

  • Использовать методики безопасной разработки ПО
  • Анализировать уязвимости и тестировать приложения на проникновение
  • Пользоваться Docker, Kubernetes, DevSecOps и развёртыванием в облаке
  • Эффективно управлять секретами для предотвращения утечек
  • Использовать методики и инструменты для идентификации уязвимостей
  • Пользоваться инструментами тестирования: Burp Suite, SQLMap
  • Находить уязвимости OWASP Top 10 и другие
  • Применять инструменты и методики DevSecOps

После курса сможете расти по карьерной лестнице

Получите новую специальность или расширите стек

Специалист по информационной безопасности, веб-пентестер

Освоите востребованные навыки

Burp Suite
Fiddler
OWASP ZAP
Katana
Ffuf
Dirsearch
HTTPX
X8
Nuclei
SQLMap
Naabu
Nmap
Shodan
Censys
Metasploit
Postman
Amass
Ysoserial
Docker
Kubernetes

Сможете претендовать на более высокую зарплату

С новыми навыками сможете браться за более сложные задачи и расти в цене как специалист

Источник: Профгид
130 000–400 000 ₽
До этой суммы доходили зарплаты пентестеров по всей России в марте 2024

Практика в облачном симуляторе с реальными кейсами

Будете работать с сайтами с формой авторизации, а также с онлайн-магазинами, генераторами паролей, персональным хранилищем файлов и влогами

Будете искать настоящие уязвимости в веб‑приложениях

Вы узнаете, как выглядят уязвимости в существующих приложениях: найдёте их, пощупаете и исправите. Ещё посетите воркшопы, где сможете перенять опыт специалистов из крупных IT‑компаний.

Задание: в проекте онлайн-магазина от подрядчика есть проблемы с поиском. Добудьте скрытые товары, опираясь на ошибки подрядчика.

Посетите воркшопы в формате CTF

Вместе с одногруппниками будете эксплуатировать уязвимости и предлагать способы их устранения. Наставники будут рядом, чтобы дать обратную связь.

Составите собственный чек-лист по всем этапам WAPT

У вас будет свой алгоритм тестирования веб-приложений на проникновение — после курса сможете использовать его в своей работе.

YandexGPT помогает учиться

Когда в теории что-то непонятно, нейросеть объяснит это другими словами. А в конце каждого урока подготовит краткий пересказ о самом главном.

Программа курса

Рассчитана на 6 месяцев, в среднем учёбе нужно уделять 20 часов в неделю. Но вы можете заниматься в своём темпе и брать перерывы в учёбе.
Скачать программу в PDF
20 часов
Бесплатно
Бесплатная вводная часть
Этот модуль — введение в веб-пентест. Мы расскажем, что это такое, из чего состоит обучение на курсе и как оно проходит.
Веб-пентестер и веб-пентест
О профессии веб-пентестера: чем он занимается, какими навыками должен обладать и о каких смежных направлениях информационной безопасности нужно знать
Онбординг на курс
О том, какими знаниями и опытом нужно обладать для начала обучения, а также как и в каком формате проходит обучение на нашем курсе
Разберётесь, как проходит обучение, для кого оно и чему вы научитесь по итогу курса
Бесплатный мини-курс ・40 часов
Инфраструктура и архитектура: основы
Это подарочный модуль — он поможет узнать или повторить необходимую теорию, чтобы учёба по основной программе не оказалась слишком сложной.
  • DNS-сервер
  • Прокси-сервер
  • HTTP и HTTPS
  • Браузер
  • Веб-серверы
  • Базы данных
  • Криптография
  • API
Основы сетей
О принципах работы компьютерной сети (OSI и TCP/IP), о том, как устроены и функционируют DNS- и прокси-серверы
Принципы передачи и защиты данных
Об устройстве протоколов HTTP и HTTPS, их принципах работы и заголовках
Клиент-серверная архитектура
О работе веб-сервера, браузера и базы данных, а также об устройстве API, WebSocket и криптографии
Узнаете или повторите теоретическую базу, которой должен владеть веб-пентестер для своей работы
1
60 часов
Разведка в веб-приложениях
В этом модуле вы разберётесь, как проходит веб-пентест и какие у него есть виды. Также вы глубоко рассмотрите первый этап пентеста — разведку — и изучите все необходимые для него инструменты.
  • WhiteBox, BlackBox
  • Kali Linux
  • Burp Suite
  • ZAP
  • Shodan
  • Censys
  • Чек-листы тестирования
  • Этапы разведки
  • Поиск поддоменов
  • Сканирование портов и уязвимостей
  • Идентификация технологий
Тестирование: виды, этапы и методологии
О том, что такое пентест на самом деле и как именно работает веб-пентестер, когда он проверяет веб-приложение, а ещё — о методологии работы и основных уязвимостях по OWASP
Инструменты веб-пентеста
Об основных инструментах веб-пентестера, вшитых в Kali Linux, особенно о Burp Suite и ZAP, а также о законодательных и этических ограничениях использования инструментов
Как проводить разведку
О каждом шаге, который необходимо сделать веб-пентестеру для проведения качественной разведки веб-приложения — полный майндмэп разведки
Узнаете, как проводить разведку, и научитесь это делать в работе над лабораторными заданиями и финальным проектом
2
200 часов
Основные уязвимости веб-приложений
Это главная часть программы — в ней мы рассмотрим основные уязвимости, которые встречают в веб-приложениях, и научимся их эксплуатировать.
  • XSS
  • CSRF
  • BAC
  • SQL Injection
  • SSRF
  • XXE
  • Race Condition
  • File upload
  • Уязвимости аутентификации, авторизации и API
XSS — Cross-site scripting
О том, какие у XSS бывают разновидности, как её эксплуатировать и защищаться от неё
CSRF — Cross-site Request Forgery
О том, что такое CSRF, где она встречается и как её эксплуатировать, а также о SOP-защите и том, как её обходить
BAC — Broken Access Control
О BAC, её типах и способах эксплуатации, в особенности про IDOR — Insecure Direct Object Reference
SQL Injection
О различных подвидах уязвимости и способах эксплуатации как основных, так и Blind SQLi и Second-Order SQLi
SSRF — Server-Side Request Forgery
Об основных видах уязвимости, SSRF-атаках на сервер и других внутренних системах, а также об обходе защиты, поиске и предотвращении SSRF
XXE — XML External Entity
О языке разметки XML, а также о самой уязвимости XXE и способах её эксплуатации
Уязвимости бизнес-логики
О видах таких уязвимостей и причинах их возникновения, а также о том, как их эксплуатировать
Race Condition
О причинах её возникновения, типах, эксплуатации и обходе лимитов
Небезопасная десериализация
О сериализации в целом и о том, как возникают уязвимости при её работе, а также как эксплуатировать эти уязвимости
File upload vulnerabilities
О том, когда происходит небезопасная загрузка файлов, как её эксплуатировать и как от неё защититься
Механизмы аутентификации
О том, что такое Basic Auth, MFA и JWT, как они работают, какие уязвимости у них бывают, как их эксплуатировать и митигировать
Механизмы управления доступом
О том, что такое SSO, OAuth, OIDC, как они работают, какие уязвимости у них бывают, как их эксплуатировать и митигировать
Основные уязвимости API
О 8 самых часто встречаемых уязвимостях API: BOLA, BA, URC, BFLA, UASBF, SSRF, IIM, UCA — а также о том, как их эксплуатировать
Узнаете, как эксплуатировать основные уязвимости веб-приложений, форм и API. Сможете решать основные задачи веб-пентестера
3
40 часов
Основы безопасной разработки веб-приложений
Вы изучите процесс безопасной разработки и узнаете, как ИБ-специалист может положительно влиять на него.
  • SSDLC
  • Secure by Design
  • Методология минимальных привилегий
  • Управление сеансами и зависимостями
  • Хранение секретов
  • CI/CD
Принципы безопасной разработки
О том, как выглядит процесс безопасной разработки, о роли ИБ-специалиста в нём, а также о различных методологиях и способах предотвращения уязвимостей
Хранение секретов в базах данных
О том, где не стоит хранить секреты, а также о хранении в переменных средах, файлах .env, хранилище HashiCorp Vault
Безопасность и CI/CD
О методологии CI/CD, Pipeline и Jenkins, а также о различных уязвимостях и методах защиты CI/CD
Сможете участвовать в процессе безопасной разработки. Научитесь давать чёткие рекомендации и делать веб-приложения безопасными
4
60 часов
Контейнеризация, Cloud и DevSecOps
Этот модуль мы посвятили темам контейнеризации, облаков и DevSecOps. Несмотря на то что это необязательные знания и навыки для веб-пентестера, они сильно упрощают рабочие процессы и помогают в карьерном росте.
  • Docker
  • Kubernetes
  • Yandex Cloud
  • S3
  • CI/CD-пайплайн
  • DevSecOps-пайплайн
Контейнеризация
О плюсах и минусах контейнеризации в проекте, об основных инструментах контейнеризации и безопасности приложений в контейнерах
Облачные технологии
Об основах облачных технологий и их работе на примере YandexCloud, а также об уязвимости в облаках и облачном хранилище Simple Storage Service
DevSecOps
О том, как настроить CI/CD-пайплайн, внедрить в него инструменты DevSecOps, визуализировать работу DevSecOps-пайплайна, эксплуатировать и нейтрализовывать уязвимости
Научитесь проводить контейнеризацию веб-приложений и работать в облачном хранилище. Освоите основы DevSecOps, сможете находить и эксплуатировать уязвимости
5
20 часов
Правовые аспекты, документирование и отчётность
Изучите последний этап работы веб-пентестера — как составлять отчёт. А ещё вы погрузитесь в законодательство по веб-пентесту и стандарты уязвимостей.
  • Правовые нормы
  • CWE
  • CVE
  • CVSS
  • EPSS
  • Отчёт
Основные правовые аспекты профессии
О том, какие законы регулируют деятельность веб-пентестера, что можно делать, а что нельзя, и какими санкциями это грозит
Документирование и отчётность
О том, какие есть стандарты классификаций уязвимостей, а главное — как составлять отчёт и контролировать устранение уязвимостей
Научитесь составлять отчёт, который будет помогать в устранении уязвимостей, а также узнаете основные НПА профессии
6
50 часов
Выпускной проект
Проведёте полный аудит веб-приложения и пройдёте весь процесс работы веб-пентестера. Повторите полученные знания и навыки: проведёте разведку, найдёте уязвимости, проэксплуатируете их, составите отчёт и подготовите рекомендации по проведённой работе.
Вебинары и воркшопы
Наставники будут регулярно проводить онлайн-встречи.
  • Вебинары посвящены нюансам работы, инструментам веб-пентестера или ответам на вопросы.
  • Воркшопы проходят в основном в формате CTF: студенты делятся на команды и в реальном времени пытаются взломать веб-приложения.

Вернём деньги за курс, если устроитесь веб-пентестером в Яндекс в течение 6 месяцев после выпуска

Мы не можем гарантировать трудоустройство, но подготовим к нему так, чтобы у вас были все шансы

Как и другие кандидаты, вы пройдёте несколько этапов собеседований в Яндекс — и в случае успеха получите полную компенсацию за обучение

Подробнее об акции

10 000+ выпускников Практикума уже нашли новую работу

Это подтверждено исследованием, которое мы провели вместе с Высшей школой экономики. Вот в каких компаниях они работают:

Этот курс может оплатить
ваш работодатель
Работодатель платит за учёбу полностью или разделяет оплату вместе с вами. Сумму можно поделить, например, 50/50 или 75/25.
  • Расскажем всё про курсы
  • Поделимся подробной презентацией
  • Поможем убедить работодателя
  • Подготовим договор и счёт

Если у вас есть вопросы про учёбу, оставьте заявку — мы позвоним

Оставьте заявку — расскажем, как получить скидку 20%

Ответим на ваши вопросы и поможем записаться на курс

Отвечаем на вопросы

Каким требованиям нужно соответствовать?
Этот курс для специалистов с опытом.
Начальные знания в этих областях значительно облегчат прохождение курса:

Основы веб-технологий
Владение HTTP и HTTPS, HTML, CSS, JavaScript и другими веб-технологиями поможет вам понять, как строятся и работают веб-приложения. Полезно будет понимание принципов работы веб-серверов и клиент-серверной архитектуры.

Основы программирования
Хорошо, если вам знакомы основные концепции программирования: переменные, циклы, условные операторы, функции, классы и т. д. Так вам будет проще понять уязвимости в коде и способы их исправления. Если вы знаете некоторые распространённые языки программирования (Python, JavaScript, Java, PHP), это тоже плюс.

Основы сетей и модели OSI
Важно понимать основные принципы работы компьютерных сетей: как работают протоколы передачи данных, маршрутизация и коммутация. Хорошо, если знаете о модели OSI и как она определяет взаимодействие различных сетевых протоколов и служб.

Опыт работы с операционными системами
Вам помогут базовые навыки работы с операционными системами — особенно с Linux. На ней базируются многие инструменты и технологии для веб-разработки и тестирования безопасности.

Опыт работы с командной строкой
Многие инструменты для тестирования безопасности используются через командную строку, поэтому опыт работы с ней будет полезен.

Английский язык
Будет плюсом, если вы можете читать на английском языке — многие ресурсы, документация и статьи по веб-безопасности написаны именно на нём.
Чем вы отличаетесь от других курсов?
• Мы учим не только ломать код, но и защищать веб-приложения от атак. Вы пройдёте 60-часовой модуль по написанию безопасного кода.

• В подарок вы получите целый модуль по основам сетей, вёрстке, API и криптографии — он поможет освежить в памяти важную теорию перед началом обучения.

• В программе есть модуль про законодательство — вы узнаете, как легально работать с чувствительной информацией в РФ и за её пределами.

• Обучение построено на реальных кейсах, а практиковаться вы будете в облаке Яндекса. Ещё в программе есть блок по работе с GPT — мы научим применять нейросети для анализа защищённости веб-приложений.

• Будете участвовать в воркшопах и проектах в формате Capture the flag.
Кто будет меня учить?
Все наставники — практикующие специалисты: сотрудники Яндекса и других крупных компаний. Программу составляют опытные преподаватели и методисты, а ещё действующие специалисты Яндекса, Школы анализа данных и других лидеров технологической и образовательной индустрий.
Что делать, если я не справлюсь с нагрузкой?
В программе предусмотрены каникулы, во время которых можно отдохнуть или повторить сложные темы.

Если вам понадобится сделать паузу в учёбе или уделить больше времени закреплению материала, напишите своему куратору.
Если не понравится, я могу вернуть деньги?
Да, причём в любой момент. Если обучение в потоке уже началось, придётся оплатить прошедшие дни — но мы вернём деньги за оставшееся время обучения. Более подробно рассказываем об этом в седьмом пункте оферты.
Получу ли я какой-то документ после курса?
Если у вас есть среднее профессиональное или высшее образование, после курса вы получите диплом о профессиональной переподготовке.

Если нет, выдадим сертификат о прохождении курса и справку об обучении в электронном виде.
Как можно оплатить?
Банковской картой: внести всю сумму сразу или платить ежемесячно.

Ежемесячные платежи работают так: вы вносите первую оплату, и в этот момент привязывается карта. С этой карты автоматически будут списываться следующие платежи каждые 30 календарных дней. Например, оплатили 25 марта — следующий платёж пройдёт 24 апреля. Обучение будет стоить меньше, если оплатить весь курс сразу.

Через компанию: юридические лица — резиденты РФ также могут оплатить обучение в Практикуме. Оставить заявку на оплату от юрлица можно на странице для корпоративных клиентов.
Можно ли оплатить курс за счёт работодателя?
Да, работодатель может оплатить учёбу полностью или разделить оплату с вами: например, поделить сумму 50/50 или 75/25.

Такая оплата пройдёт по счёту или двустороннему договору, а ИП могут оплатить с бизнес-счёта. Если работодатель купит обучение сразу 10 и больше сотрудникам, сделаем скидку 10%.

Чтобы получить счёт на оплату через компанию, оставьте заявку или напишите нам в чат поддержки.
Что такое налоговый вычет на обучение и как его получить?
Налоговый вычет может оформить тот, кто работает по трудовому договору и является налоговым резидентом Российской Федерации, то есть 183 дня в году находится на территории страны.

Для этого нужно подать заявление на налоговый вычет через личный кабинет на сайте nalog.ru (в него можно войти через аккаунт на Госуслугах).

К заявлению нужно приложить:
•‎ Справку 2-НДФЛ от работодателя.
•‎ Договор на обучение, в вашем случае это оферта Практикума.
•‎ Лицензию на образовательную деятельность. Вот наша.
•‎ Чек об оплате обучения. Мы отправляем его на электронную почту. Если не найдёте чек у себя в почте, напишите в чат службы поддержки — вышлем копию.
•‎ Справку о получении образовательных услуг — её тоже нужно запросить в чате поддержки.

Подробнее о налоговом вычете — на сайте Федеральной налоговой службы.

Давайте поможем

Мы перезваниваем в течение 30 минут каждый день с 10:00 до 19:00. Если оставите заявку сейчас, то перезвоним уже в рабочее время.