Тестирование безопасности — востребованный навык
50%
вакансий Senior QA
включают тестирование безопасности
90%
тестировщиков
интересуются тестированием безопасности
80%
из них
считают, что это слишком сложно
Тестирование безопасности
Никогда не пробовали тестировать безопасность? Думаете, что это сложно, долго и только для избранных? Кончились идеи для тестирования вашего приложения?
Видимо, самое время наконец-то освоить тестирование безопасности. Это совсем не так сложно, как кажется, достаточно просто понять основные принципы работы приложений и использования приемов поиска популярных уязвимостей. Отработайте их на практике — и сразу сможете улучшить тестирование на своем проекте.
Не стоит тратить время на курсы и книги про "хакеров": настоящим хакерам требуются годы на оттачивание своих навыков. Тестировщику нужно куда меньше — поэтому мы даем только самые необходимые знания. А все примеры вы сможете опробовать и отработать на тестовых песочницах.
Посмотрите пример нашей песочницы для поиска простой XSS-уязвимости.
Приходите на курс, и всего за 4 недели научитесь:
Курс нацелен в первую очередь на практику. Вас ждет подготовленный нами сайт-песочница, на котором вы сможете отточить все полученные на курсе навыки и попрактиковаться в поиске всех изученных уязвимостей. Все домашние задания будут проверены преподавателями курса, которые дадут обратную связь.
Видимо, самое время наконец-то освоить тестирование безопасности. Это совсем не так сложно, как кажется, достаточно просто понять основные принципы работы приложений и использования приемов поиска популярных уязвимостей. Отработайте их на практике — и сразу сможете улучшить тестирование на своем проекте.
Не стоит тратить время на курсы и книги про "хакеров": настоящим хакерам требуются годы на оттачивание своих навыков. Тестировщику нужно куда меньше — поэтому мы даем только самые необходимые знания. А все примеры вы сможете опробовать и отработать на тестовых песочницах.
Посмотрите пример нашей песочницы для поиска простой XSS-уязвимости.
Приходите на курс, и всего за 4 недели научитесь:
- Находить уязвимости в формах
- Работать с HTML, JS и XSS инъекциями
- Искать SQL-инъекции в разных запросах
- Использовать бекдоры и перехватывать shell
- Применять социальную инженерию и защищаться от нее
- Выбирать сканеры для автоматической проверки
Курс нацелен в первую очередь на практику. Вас ждет подготовленный нами сайт-песочница, на котором вы сможете отточить все полученные на курсе навыки и попрактиковаться в поиске всех изученных уязвимостей. Все домашние задания будут проверены преподавателями курса, которые дадут обратную связь.
Посмотрите пример занятия
Программа тренинга
- что такое уязвимость
- чем уязвимость отличается от бага
- чем опасны уязвимости
- что такое "вектор атаки" и эксплойт
- смена пароля чужого аккаунта и token
- неавторизованный доступ к контенту
- валидация данных и наборов данных
- что такое брутфорс
- как устроена капча
- словари паролей
- что такое инъекция кода
- чем опасны инъекции
- пример простой HTML-инъекции
- какие бывают способы борьбы с инъекциям
- как устроено веб-приложение
- свойства value, data и т.п.
- чем опасна HTML-инъекция
- пример поиска и использования HTML-инъекции
- где стоит искать JavaScript-инъекцию
- чем опасна JavaScript-инъекция
- пример JavaScript-инъекции
- что такое XSS и отличается ли она от JavaScript-инъекции?
- чем опасны XSS
- что такое self-XSS
- примеры XSS атак
- как устроена авторизация и работа с cookie-файлами
- что такое CSRF
- что такое token запроса
- чем опасен CSRF
- пример CSRF
- что такое SQL-инъекция
- когда стоит искать SQL-инъекцию
- чем опасна SQL-инъекция
- пример инъекции для GET-запроса
- сложный пример SQL-инъекции для POST-запроса - авторизация без пароля
- что такое "слепая (blind) SQL-инъекция", способы поиска
- комментирование в SQL и изменения вида запроса
- пример SQL-инъекции на вставке данных Insert
- работа с ответом сервера
- пример слепой SQL-инъекции
- что такое захват shell
- чем опасен захват shell
- как происходит захват shell и что такое exec
- раскрытие полного пути (Full path disclosure)
- пример захвата shell
- как файлы передаются на сервер
- как обойти валидацию данных
- чем опасен исполняемый файл на сервере
- пример загрузки файла на сервер
- как устроены сканеры безопасности веб-приложений
- что такое социальная инженерия
- что такое Bug Bounty программы и причем тут тестирование безопасности
Как проходит тренинг
1
Занятия
Длительность тренинга — 4 недели. Каждую неделю ученики получают видеозаписи занятий в нашей онлайн-системе обучения
2
Домашние задания
К каждому занятию выдается домашнее задание. Примерное время выполнения 2-3 часа
3
Обратная связь
Тренер просматривает ответы ученика и дает развернутый комментарий. Вопросы учеников разбираются в групповом чате
4
Сертификат
По окончании обучения всем выполнившим домашние задания выдается сертификат о прохождении курса
Остались вопросы?
Записывайтесь на курс и узнайте все о тестировании безопасности. Или сначала задайте все интересующие вас вопросы ведущим преподавателям курса.
Технические требования
Для выполнения заданий вам потребуется:
- Windows 7 или 10, или Mac OS Mohave+, или Ubuntu 16.04+
- Процессор i-серии (i3, i5, i7) или аналогичный от AMD
- Минимум 4 GB RAM
- 1 GB на жёстком диске
- Разрешение экрана минимум 1280 x 800
Для новичков в IT
Мы ожидаем, что вы уже обладаете базовой компьютерной грамотностью. На этом курсе мы будем работать с командной строкой, консолью Chrome DevTools, сетями, клиент-серверной архитектурой.
Если вы не уверены, что знаете все это в должной мере — пройдите простой тест. Если по результатам теста вы получите меньше 20 баллов — мы рекомендуем пройти короткий курс "Азбука IT". На нем вы сможете быстро получить все необходимые знания, которые совершенно точно пригодятся вам в дальнейшем.
Если вы не уверены, что знаете все это в должной мере — пройдите простой тест. Если по результатам теста вы получите меньше 20 баллов — мы рекомендуем пройти короткий курс "Азбука IT". На нем вы сможете быстро получить все необходимые знания, которые совершенно точно пригодятся вам в дальнейшем.
Сертификат участия
По окончании курса каждый ученик, успешно справившийся с заданиями, получает сертификат
Добавьте навык в резюме
Расскажите работодателю о том, чему вы научились на курсе
Варианты тренинга
Выберите подходящий вам набор тренингов. При покупке нескольких курсов в комплекте сроки прохождения суммируются.
Продвинутый
- Тестирование безопасности
- + Chrome DevTools: инструменты тестировщика
Уверенный
- Тестирование безопасности
- + Chrome DevTools: инструменты тестировщика
- + SQL: инструменты тестировщика
Форма заявки для юридических лиц
Для оформления договора и выставления счета заполните форму