Складчина: Пентест. Инструменты и методы проникновения в действии 2026. Модуль 5/6. Web Pentest [Otus] [Тимур Джамгарян, Андрей Бельц, Александр Першин]
Для кого этот курс?
- Для разработчиков, которые хотят оптимизировать свои приложения.
- Курс поможет понять, как работают ОС и фреймворки изнутри. В результате вы будете создавать надежные грамотные решения, которыми не смогут воспользоваться злоумышленники.
- Для администраторов и devops-инженеров, перед которыми стоит задача настроить надежную, безопасную инфраструктуру.
- Курс усилит ваши компетенции умением выявлять уязвимости.
- Для специалистов ИБ и тех, кто хочет развиваться как профессиональный пентестер.
- Курс даст вам необходимые знания в области этичного хакинга и позволит потренировать навыки Пентеста под присмотром опытного специалиста.
- Основы работы TCP/IP
- Основы использования командной строки операционных систем Windows и Linux
- Понимание работы клиент-серверных приложений
- Навыки пентеста не требуются
- Требования к "железу": оперативная память от 8 Гб, высокоскоростное интернет-соединение, 150 ГБ свободного места на жестком диске
- Пентест (penetration testing или тестирование на проникновение) — это процесс санкционированного взлома информационных систем по просьбе заказчика, в ходе которого пентестер (аудитор) выявляет уязвимости информационной системы и дает заказчику рекомендации по их устранению.
- Что вам даст этот курс?
- Вы на практике научитесь проводить детальный анализ сетевых ресурсов, программного обеспечения, web-ресурсов на наличие уязвимостей, их эксплуатацию и дальнейшее устранение.
- Вы познакомитесь с наиболее распространенными сценариями атак и в последствии будете без труда их распознавать.
- Вам предстоит участвовать в онлайн-воркшопах, где преподаватель будет пошагово показывать работу с разными уязвимостями в формате life coding, а вы сможете повторять эти действия на своей виртуальной машине или в специальном сервисе. Каждую уязвимость вы будете изучать на реальном сервисе, который ее содержит.
- Основные этапы проведения тестирования на проникновение
- Использование современных инструментов для проведения анализа защищенности информационной системы или приложения
- Классификацию уязвимостей и методов их исправления
- Навыки программирования для автоматизации рутинных задач
- Знания, необходимые для подготовки к самостоятельному получению сертификатов: CEH (этичный хакинг), OSCP
- Концептуальный
- Сетевая безопасность
- Эскалация привилегий ОС
- Active Directory
- Web Pentest
- Иные векторы атак-прочие цели пентеста
Вы изучите основные уязвимости веб-приложений, включая SQL-инъекции, XSS, CSRF и недостатки в аутентификации. Освоите тестирование API, методы атак на протоколы OAuth и JWT, а также настройку инструментов для пентеста.
- Тема 1: Основы работы при тестировании веб-приложений, основные веб-уязвимости. Настройка инструментария для тестирования
- Тема 2: Серверные уязвимости - виды и эксплуатация SQL-инъекций, автоматизация эксплуатации SQLi // ДЗ
- Тема 3: Серверные уязвимости - недостатки в бизнес-логике веб-приложений, небезопасная загрузка файлов, XXE, SSRF
- Тема 4: Недостатки аутентификации и авторизации - User enumeration, Password spraying, MFA, OTP // ДЗ
- Тема 5: Недостатки аутентификации и авторизации - OAuth, OpenID, SAML, JWT
- Тема 6: Тестирование API и GraphQL // ДЗ
- Тема 7: Уязвимости на стороне клиента - виды и эксплуатация XSS-инъекций
- Тема 8: Уязвимости на стороне клиента - эксплуатация недостатков класса CSRF, обход SOP, правила настройки CORS // ДЗ
- Тема 9: Q&A-сессия
Скрытая ссылка