- Главная
- Кибербезопасность
- Профессии
- Профессия Специалист по тестированию на проникновение
Профессия
Специалист по тестированию на проникновение
Цель курса — подготовить начинающих и будущих специалистов по тестированию на проникновение к работе, ознакомив их с лучшими практиками и сформировавшимися подходами тестирования и анализа защищенности. А также познакомить специалистов с особенностями процессов анализа ИТ-инфраструктуры, имитации атак на информационные системы и корректному «не деструктивному» подходу к процессу тестирования на проникновение.
на консультацию с экспертом
Код курса
R-400
Длительность
9 месяцев
Формат обучения
Виртуальный класс

Аудитория курса:
Инженеры и администраторы безопасности
Специалисты по комплексной и организационной информационной безопасности
Администраторы ИТ-инфраструктуры и сетей
Разработчики веб-приложений
Выпускники технических направлений ВУЗов
По данным карьерного сервиса CyberEd
на рынке большой дефицит кадров
2500+
вакансий открыто вам после обучения
80 000 ₽
зарплата на старте карьеры
от 250 000 ₽
с опытом от 3-х лет.
Почему стоит начать
прямо сейчас?
Уязвимость бизнеса
98% компаний признают, что их служба кибербезопасности не в полной мере отвечает потребностям организации.
Инвестиции в кибербезопасность
53% компаний увеличили расходы на кибербезопасность в текущем году.
Потребность в специалистах
Порядка 1 500 000 киберпреступлений в год. Бизнес нуждается в защите и в полной мере осознает необходимость развития структуры ИБ в компании.
Школа кибербезопасности №1
CyberEd — занимает лидирующую позицию по обучению и развитию ИБ-специалистов в мире, что позволяет формировать программу с учетом мировых тенденций.
Пентестер
кто это?
Что он делает на практике?
Специалист по тестированию на проникновение занимается тем, что анализирует различные информационные системы на возможность их компрометации.
Главная задача
Продемонстрировать уязвимости системы по отношению к хакерским атакам. Анализ цели, поиск уязвимости и используя цепочку уязвимостей демонстрирует проведение атаки. From zero to hero.
Чему научатся слушатели:
Выполнять разведку среди открытых источников информации автоматизированными средствами.
Применять инструменты для пентеста и анализа защищенности операционных систем, сетевого оборудования, мобильных и веб-приложений.
Программировать скрипты автоматизации и эксплойты для воспроизведения атак на информационные системы.
Проводить аудит защищенности ОС и повышать свои привилегии в ОС через эксплуатацию уязвимостей и ошибок конфигурации.
Производить реверс-инжиниринг компилируемых исполняемых файлов.
Анализировать безопасность кода веб и мобильных приложений.
Анализировать защищенность доменной инфраструктуры и повышать свои привилегии в ней.
Работать с виртуальной инфраструктурой и механизмами виртуализации (Программами виртуализации VirtualBox, VMWare, Parallels и программами контейнеризации Docker).
Программа обучения
9 месяцев
8 модулей
352 ак.часа
88 занятий
2-3 занятия в неделю
- Тестирование на проникновение — Введение, методология.
- Сбор информации (Разведка в сети). OSINT.
- Сканирование сетевой инфраструктуры.
- Поиск и эксплуатация уязвимостей, Metasploit Framework.
- Анализ трафика, Wireshark.
- Взлом паролей. Hashcat. Patator.
- Атаки на WiFi. MitM. DoS/DDoS.
- Атаки с применением методов социальной инженерии.
- Анонимность в сети (VPN, Proxy, Tor).
- Проектная деятельность
- Основы повышения привилегий в Linux
- Эксплуатация уязвимостей в привилегированных системных сервисах Linux I
- Эксплуатация уязвимостей в привилегированных системных сервисах Linux II
- Эксплуатация уязвимостей ядра Linux
- Исследование операционной системы Windows
- Поиск учетных данных и секретов Windows
- Повышение привилегий через известные уязвимости Windows
- Повышение привилегий через уязвимости конфигурации Windows
- Проникновение через внешний периметр ИТ-инфраструктуры.
- Сетевые атаки
- Metasploit-Framework и типовые вектора атак I
- Metasploit-Framework и типовые вектора атак II
- Закрепление доступа и постэксплуатация в Linux
- Проброс сетевого трафика (“Pivoting”)
- Горизонтальное перемещение и атака PassTheHash
- Kerberos и атаки на механизмы Kerberos
- Разведка в домене и атака password spraying
- Работа с инструментами mimikatz и responder
- Атаки на Active Directory
- Атаки типа “Relay”
- Закрепление доступа и постэксплуатация в Windows (“Red teaming”)
- Введение в ЯП Python и окружение
- Структуры данных и работа с ними
- Работа с файловой системой и обработка ошибок
- Функции и magic-методы
- Работа с окружением ОС
- «Парсинг» веб-страниц
- Работа с сокетами
- Сетевое взаимодействие: Взаимодействие с протоколами I
- Сетевое взаимодействие: Взаимодействие с протоколами II
- Scapy и сетевое сканирование
- Сетевые атаки
- Дополнительные инструменты задач тестирования на проникновение
- Знакомство с базовыми технологиями веба
- Устройство современных веб-приложений и сбор информации
- Уязвимости OS Command injection
- Уязвимость SQL Injection I
- Уязвимость SQL Injection II
- Аутентификация и менеджмент сессий
- Уязвимость Path traversal. Уязвимость File Upload. Атака Local File Read
- Уязвимость Broken Access Control
- Небезопасное сравнение и приведение типов в PHP. Состояние гонки
- Небезопасная десериализация
- Уязвимость Server Side Request Forgery
- Уязвимость XML External Entity
- Same Origin Policy. Cross-Site Request Forgery
- Cross-origin resource sharing. Cross-Site Scripting
- Content Security Policy. Security Headers
- Финальное занятие
- Введение в ОС Android
- Работа с Android OS и пакетами APK
- Разработка Android приложения
- Реверс-инжиниринг Android приложений
- Типовые уязвимости мобильных приложений Android
- Типовые уязвимости мобильных приложений Android 2
- SSL-pinning и Frida-tools
- Инструменты автоматизации анализа
- Проведение работ по анализу защищенности мобильного приложения Android
- Введение в iOS
- Архитектура безопасности iOS
- Jailbreaking iOS
- Динамический анализ приложений iOS
- Типовые уязвимости приложений iOS
- BugBounty, CTF, Проектная деятельность
- Задачи анализа вредоносного ПО и обратной разработки
- Понятие процесса и исполняемого файла. Основы языка C
- Ассемблер. Структура разработки, инструкции, регистры
- Отладка с помощью инструмента x64gdb
- Отладка с помощью инструмента IDA Pro
- Техники и особенности работы «зловредов» 1
- Техники и особенности работы «зловредов» 2
- Антиотладка и «запаковка»
- Индикаторы компрометации («IOC»). YARA-правила. Примеры атак на ПО
- Итоговая самостоятельная работа
- Обзор и сравнение сертификаций
- Подготовка к формату экзамена I
- Подготовка к формату экзамена II
- Работа с материалами для подготовки
на консультацию с экспертом
Как проходит обучение
Фокус на практике. Более 70% времени обучения вы уделите развитию практических навыков.
Обновляем контент перед каждым запуском курса, снимая актуальные запросы с рынка и ориентируемся на них, создавая программы обучения.
Наши преподаватели проходят тестирование на соответствие требованиям CyberEd. Мы приглашаем лучших экспертов — практиков, которые каждый день сталкиваются с реальными задачами и решают их.
После каждого практического занятия вы получаете домашнее задание с обязательной обратной связью от преподавателя. Experience makes experts.




Что вы получите
после 9 месяцев обучения?
Диплом о профессиональной переподготовке установленного образца.
Знания и навыки необходимые для начала работы в этой области и контакты с экспертами.
Ваше резюме
после окончания обучения

Сергей Инкогнитов
Специалист по тестированию на проникновение
Ожидаемая зарплата
120 000 ₽
Навыки
- Проведение анализа защищенности мобильного или веб-приложения
- Проведение тестирования на проникновение/анализа защищенности внешнего периметра IT-инфраструктуры компании
- Проведение тестирования на проникновение/анализа защищенности внутренней сети компании
- Проведение тестирования сотрудников компании с применением методов социальной инженерии
- Написание эксплойтов для обнаруженных уязвимостей или использование существующих эксплойтов
- Проведение реверс-инжиниринга вредоносного ПО
Ожидаемая зарплата
120 000 ₽
Записаться на консультацию с экспертом



user search complete

Преподаватели — эксперты-практики, работающие в ТОП-компаниях

Суммарный опыт разработки приложений под Android более 10 лет.
Разработал несколько десятков учебных и коммерческих приложений под ОС Андроид для частных и корпоративных
клиентов.
Эксперт в таких областях и направлениях, как Android development, Mobile seсurity, Python, Java, теория программирования, теория алгоритмов и структур данных, алгоритмы на графах.
Ключевые компетенции: мобильная разработка (Android, Java/Kotlin), безопасность мобильных приложений, разработка на Python.
Автор курсов по разработке под Android, Python, основы С/С++, алгоритмы и структуры данных.
Разработал, внедрил и вел учебные комплексы по мобильной разработке, языку Python, языкам С/С++, основам программирования. Преподавал в МТИ.
Разработал несколько десятков учебных и коммерческих приложений под ОС Андроид для частных и корпоративных клиентов.
Преподаватель в2 образовательных программах

Эксперт в области Тестирование на проникновение внешнего периметра.
Сертификат: OSCP-2020.
Эксперт в области Тестирование на проникновение внешнего периметра.
Сертификат: OSCP-2020.
Преподаватель в1 образовательной программе

Эксперт в области информационной безопасности и пентеста.
Более 4 лет преподавательской деятельности
Эксперт и участник конференций PHDays и ZeroNights
Сертификаты: OSCP-2020, OSWE-202
Реализовал более 50 проектов по тестированию на проникновение.
Обнаружил десятки критических уязвимостей информационных системах.
Ключевые компетенции: безопасность веб-приложений, анализ безопасности сетей, анализ безопасности операционных систем, проведение тестирования на проникновение, аудит защищенности
Сертификаты: Offensive Security Web Expert (OSWE), Offensive Security Certified Professional (OSCP-2020).


Отзывы студентов
«В школе есть очень крутые преподы, готовые делиться своими знаниями, что большая редкость в данной специальности. И готовы они делиться не только во время пар, но и после»

«В двух словах: меня реально всё устроило. Как-то очень удачно сбалансировали и теорию, и практику. Если бы что-то добавили — спешили бы, убавили — было бы скучно»

FAQ — ответы на часто задаваемые вопросы
Рекомендуемые технические требования к компьютеру (для комфортного прохождения модуля и сохранения всех полученных материалов):
- Не менее 8 Гб оперативной памяти
- Процессор не менее восьми ядер с частотой не менее 2.3 Ггц
- Жесткий диск SSD со свободным местом не менее 256 ГБ
- Поддержка аппаратной виртуализации (Intel VT-x, AMD-V)
- Современная операционная система (Минимально: Windows 10 x64, Linux, MacOS 10.13.6)
Для успешного прохождения программы участник должен:
- Уметь читать специализированную документацию и техническую литературу на английском со словарем
- Иметь опыт написания кода на любом языке программирования
- Знать основы сетевого взаимодействия
- Уметь работать с ОС Linux
- Уметь работать с системами виртуализации (VirtualBox, VMWare)
- Иметь начальные представления о механизмах, работающих в сети Интернет (веб-серверы, почтовые сервисы, мобильные приложения, локальная сеть)
Все ответы

Остались вопросы?.
Оставьте номер телефона и мы перезвоним вам в течение нескольких минут
Заказать обратный звонок
Мы используем cookie
Используя наш сайт, вы соглашаетесь с использованием файлов cookie и сервисов сбора технических данных посетителей (IP-адресов, местоположения и др.) для обеспечения работоспособности и улучшения качества обслуживания.