Профессия
Специалист по тестированию на проникновение

Цель курса — подготовить начинающих и будущих специалистов по тестированию на проникновение к работе, ознакомив их с лучшими практиками и сформировавшимися подходами тестирования и анализа защищенности. А также познакомить специалистов с особенностями процессов анализа ИТ-инфраструктуры, имитации атак на информационные системы и корректному «не деструктивному» подходу к процессу тестирования на проникновение.

Записаться

на консультацию с экспертом

Код курса

R-400

Длительность

9 месяцев

Формат обучения

Виртуальный класс

Аудитория курса:

Инженеры и администраторы безопасности

Специалисты по комплексной и организационной информационной безопасности

Администраторы ИТ-инфраструктуры и сетей

Разработчики веб-приложений

Выпускники технических направлений ВУЗов

По данным карьерного сервиса CyberEd
на рынке большой дефицит кадров

2500+

вакансий открыто вам после обучения

80 000 ₽

зарплата на старте карьеры

от 250 000 ₽

с опытом от 3-х лет.

Почему стоит начать
прямо сейчас?

Уязвимость бизнеса

98% компаний признают, что их служба кибербезопасности не в полной мере отвечает потребностям организации.

Инвестиции в кибербезопасность

53% компаний увеличили расходы на кибербезопасность в текущем году.

Потребность в специалистах

Порядка 1 500 000 киберпреступлений в год. Бизнес нуждается в защите и в полной мере осознает необходимость развития структуры ИБ в компании.

Школа кибербезопасности №1

CyberEd — занимает лидирующую позицию по обучению и развитию ИБ-специалистов в мире, что позволяет формировать программу с учетом мировых тенденций.

Пентестер
кто это?

Что он делает на практике?

Специалист по тестированию на проникновение занимается тем, что анализирует различные информационные системы на возможность их компрометации.

Главная задача

Продемонстрировать уязвимости системы по отношению к хакерским атакам. Анализ цели, поиск уязвимости и используя цепочку уязвимостей демонстрирует проведение атаки. From zero to hero.

Чему научатся слушатели:

Выполнять разведку среди открытых источников информации автоматизированными средствами.

Применять инструменты для пентеста и анализа защищенности операционных систем, сетевого оборудования, мобильных и веб-приложений.

Программировать скрипты автоматизации и эксплойты для воспроизведения атак на информационные системы.

Проводить аудит защищенности ОС и повышать свои привилегии в ОС через эксплуатацию уязвимостей и ошибок конфигурации.

Производить реверс-инжиниринг компилируемых исполняемых файлов.

Анализировать безопасность кода веб и мобильных приложений.

Анализировать защищенность доменной инфраструктуры и повышать свои привилегии в ней.

Работать с виртуальной инфраструктурой и механизмами виртуализации (Программами виртуализации VirtualBox, VMWare, Parallels и программами контейнеризации Docker).

Программа обучения

9 месяцев

8 модулей

352 ак.часа

88 занятий

2-3 занятия в неделю

Модуль R-215. Введение в тестирование на проникновение
10 занятий
  • Тестирование на проникновение — Введение, методология.
  • Сбор информации (Разведка в сети). OSINT.
  • Сканирование сетевой инфраструктуры.
  • Поиск и эксплуатация уязвимостей, Metasploit Framework.
  • Анализ трафика, Wireshark.
  • Взлом паролей. Hashcat. Patator.
  • Атаки на WiFi. MitM. DoS/DDoS.
  • Атаки с применением методов социальной инженерии.
  • Анонимность в сети (VPN, Proxy, Tor).
  • Проектная деятельность
Модуль R-316. Эскалация привилегий в операционных системах
8 занятий
  • Основы повышения привилегий в Linux
  • Эксплуатация уязвимостей в привилегированных системных сервисах Linux I
  • Эксплуатация уязвимостей в привилегированных системных сервисах Linux II
  • Эксплуатация уязвимостей ядра Linux
  • Исследование операционной системы Windows
  • Поиск учетных данных и секретов Windows
  • Повышение привилегий через известные уязвимости Windows
  • Повышение привилегий через уязвимости конфигурации Windows
Модуль R-317. Атаки на сетевую инфраструктуру
13 занятий
  • Проникновение через внешний периметр ИТ-инфраструктуры.
  • Сетевые атаки
  • Metasploit-Framework и типовые вектора атак I
  • Metasploit-Framework и типовые вектора атак II
  • Закрепление доступа и постэксплуатация в Linux
  • Проброс сетевого трафика (“Pivoting”)
  • Горизонтальное перемещение и атака PassTheHash
  • Kerberos и атаки на механизмы Kerberos
  • Разведка в домене и атака password spraying
  • Работа с инструментами mimikatz и responder
  • Атаки на Active Directory
  • Атаки типа “Relay”
  • Закрепление доступа и постэксплуатация в Windows (“Red teaming”)
Модуль R-218. Программирование на Python для пентестеров
12 занятий
  • Введение в ЯП Python и окружение
  • Структуры данных и работа с ними
  • Работа с файловой системой и обработка ошибок
  • Функции и magic-методы
  • Работа с окружением ОС
  • «Парсинг» веб-страниц
  • Работа с сокетами
  • Сетевое взаимодействие: Взаимодействие с протоколами I
  • Сетевое взаимодействие: Взаимодействие с протоколами II
  • Scapy и сетевое сканирование
  • Сетевые атаки
  • Дополнительные инструменты задач тестирования на проникновение
Модуль R-319. Анализ защищенности веб-приложений
16 занятий
  • Знакомство с базовыми технологиями веба
  • Устройство современных веб-приложений и сбор информации
  • Уязвимости OS Command injection
  • Уязвимость SQL Injection I
  • Уязвимость SQL Injection II
  • Аутентификация и менеджмент сессий
  • Уязвимость Path traversal. Уязвимость File Upload. Атака Local File Read
  • Уязвимость Broken Access Control
  • Небезопасное сравнение и приведение типов в PHP. Состояние гонки
  • Небезопасная десериализация
  • Уязвимость Server Side Request Forgery
  • Уязвимость XML External Entity
  • Same Origin Policy. Cross-Site Request Forgery
  • Cross-origin resource sharing. Cross-Site Scripting
  • Content Security Policy. Security Headers
  • Финальное занятие
Модуль R-220. Анализ безопасности мобильных приложений
15 занятий
  • Введение в ОС Android
  • Работа с Android OS и пакетами APK
  • Разработка Android приложения
  • Реверс-инжиниринг Android приложений
  • Типовые уязвимости мобильных приложений Android
  • Типовые уязвимости мобильных приложений Android 2
  • SSL-pinning и Frida-tools
  • Инструменты автоматизации анализа
  • Проведение работ по анализу защищенности мобильного приложения Android
  • Введение в iOS
  • Архитектура безопасности iOS
  • Jailbreaking iOS
  • Динамический анализ приложений iOS
  • Типовые уязвимости приложений iOS
  • BugBounty, CTF, Проектная деятельность
Модуль R-321. Реверс-инжиниринг и введение в анализ зловредных программ
10 занятий
  • Задачи анализа вредоносного ПО и обратной разработки
  • Понятие процесса и исполняемого файла. Основы языка C
  • Ассемблер. Структура разработки, инструкции, регистры
  • Отладка с помощью инструмента x64gdb
  • Отладка с помощью инструмента IDA Pro
  • Техники и особенности работы «зловредов» 1
  • Техники и особенности работы «зловредов» 2
  • Антиотладка и «запаковка»
  • Индикаторы компрометации («IOC»). YARA-правила. Примеры атак на ПО
  • Итоговая самостоятельная работа
Модуль R-222. Подготовка к международным экзаменам
4 занятия
  • Обзор и сравнение сертификаций
  • Подготовка к формату экзамена I
  • Подготовка к формату экзамена II
  • Работа с материалами для подготовки
Записаться

на консультацию с экспертом

Как проходит обучение

  • Иммерсивный подход
  • Фокус на практике. Более 70% времени обучения вы уделите развитию практических навыков.

  • Никаких записей с прошлых потоков
  • Обновляем контент перед каждым запуском курса, снимая актуальные запросы с рынка и ориентируемся на них, создавая программы обучения.

  • Эксперты — реальные практики
  • Наши преподаватели проходят тестирование на соответствие требованиям CyberEd. Мы приглашаем лучших экспертов — практиков, которые каждый день сталкиваются с реальными задачами и решают их. 

  • Домашние задания с поддержкой эксперта
  • После каждого практического занятия вы получаете домашнее задание с обязательной обратной связью от преподавателя. Experience makes experts.

    01   / 05

    Что вы получите
    после 9 месяцев обучения?

    Диплом о профессиональной переподготовке установленного образца.
    Знания и навыки необходимые для начала работы в этой области и контакты с экспертами.

    Ваше резюме
    после окончания обучения

    Сергей Инкогнитов

    Специалист по тестированию на проникновение

    Ожидаемая зарплата

    120 000 ₽

    Навыки

    • Проведение анализа защищенности мобильного или веб-приложения
    • Проведение тестирования на проникновение/анализа защищенности внешнего периметра IT-инфраструктуры компании
    • Проведение тестирования на проникновение/анализа защищенности внутренней сети компании
    • Проведение тестирования сотрудников компании с применением методов социальной инженерии
    • Написание эксплойтов для обнаруженных уязвимостей или использование существующих эксплойтов
    • Проведение реверс-инжиниринга вредоносного ПО

    Ожидаемая зарплата

    120 000 ₽

    Записаться на консультацию с экспертом

    !
    !
    Программа разработана на основе опыта наших экспертов работающих в компаниях

    user search complete

    Преподаватели — эксперты-практики, работающие в ТОП-компаниях

    Все преподаватели
    Назад

    Отзывы студентов

    «В школе есть очень крутые преподы, готовые делиться своими знаниями, что большая редкость в данной специальности. И готовы они делиться не только во время пар, но и после»
    Андрей Лёвкин
    Выпускник курса «Специалист по проведению тестов на проникновение»
    «В двух словах: меня реально всё устроило. Как-то очень удачно сбалансировали и теорию, и практику. Если бы что-то добавили — спешили бы, убавили — было бы скучно»
    Леонид Козлов
    Выпускник курса «Специалист по проведению тестов на проникновение»
    Все отзывы 82

    FAQ — ответы на часто задаваемые вопросы

    Требования к слушателям курса?

    Для успешного прохождения программы участник должен:

    • Уметь читать специализированную документацию и техническую литературу на английском со словарем
    • Иметь опыт написания кода на любом языке программирования
    • Знать основы сетевого взаимодействия
    • Уметь работать с ОС Linux
    • Уметь работать с системами виртуализации (VirtualBox, VMWare)
    • Иметь начальные представления о механизмах, работающих в сети Интернет (веб-серверы, почтовые сервисы, мобильные приложения, локальная сеть)
    Требования к программному обеспечению?

    Рекомендуемые технические требования

    для комфортного прохождения модуля и сохранения всех полученных материалов:

    • Не менее 16 ГБ оперативной памяти
    • Процессор не менее четырех ядер с частотой не менее 2.3 Ггц
    • Жесткий диск SSD со свободным местом не менее 250 ГБ
    • Поддержка аппаратной виртуализации (Intel VT-x, AMD-V)
    • Дополнительный — второй монитор (Диагональ от 17 дюймов, разрешением от 1280×720p c частотой обновления от 60 Гц)
    • Современная операционная система (Минимально: Windows 10 x64, Linux, MacOS 10.13.6)

    Все ответы

    Остались вопросы?.

    Оставьте номер телефона и мы перезвоним вам в течение нескольких минут

    !
    !
    Получить консультацию
    !
    !

    Спасибо,
    менеджер свяжеться с вами в ближайшее время

    Спасибо,
    за регистрацию на вебинар

    Заказать обратный звонок

    !
    Заполните это поле
    !
    Заполните это поле