Специалист по тестированию на проникновение в веб-приложений (Web Application Penetration Testing Specialist)
Цели трека: Подготовить начинающих специалистов по тестированию уязвимостей веб-приложений через 3 основных этапа:
- Знакомство с основами работы в направлении тестирования на проникновение: термины, процессы, стандарты, актуальные практики, тактики и инструменты.
- Обучение языку Python для проведения испытаний на проникновение.
- Обучение работе с инструментами для анализа и эскплуатации современных веб-приложений.
Код курса
R-420
Длительность
4 месяца
Стоимость для физических лиц
104 000 рублей
Аудитория курса:
Профессиональные задачи, которые мы научим решать
Проведение тестов на проникновение
Анализ веб-приложения на возможность их компрометации
Автоматизировать выполнение этих задач
Программа обучения
38 занятий
250 ак. часов
152 ак. часов занятия с преподавателем
98 ак. часов самостоятельной работы
Базовый модуль
- Тестирование на проникновение: введение, методология
- Сбор информации (Разведка в сети) OSINT
- Сканирование сетевой инфраструктуры
- Поиск и эксплуатация уязвимостей, Metasploit Framework
- Анализ трафика, Wireshark
- Взлом паролей. Hashcat. Patator
- Атаки на WiFi. MitM. DoS/DDoS
- Атаки с применением методов социальной инженерии
- Анонимность в сети (VPN, Proxy, Tor)
- Проектная деятельность
Специализированный модуль
- Введение в ЯП Python и окружение
- Структуры данных и работа с ними
- Работа с файловой системой и обработка ошибок
- Функции и magic-методы
- Работа с окружением ОС (Самостоятельное занятие)
- «Парсинг» веб-страниц
- Работа с сокетами
- Сетевое взаимодействие: Взаимодействие с протоколами I
- Сетевое взаимодействие: Взаимодействие с протоколами II
- Scapy и сетевое сканирование
- Сетевые атаки
- Дополнительные инструменты задач тестирования на проникновение
Специализированный модуль
- Знакомство с базовыми технологиями веба
- Устройство современных веб-приложений и сбор информации
- Уязвимости OS Command injection
- Уязвимость SQL Injection I
- Уязвимость SQL Injection II
- Аутентификация и менеджмент сессий
- Уязвимость Path traversal. Уязвимость File Upload. Атака Local File Read
- Уязвимость Broken Access Control
- Небезопасное сравнение и приведение типов в PHP. Состояние гонки
- Небезопасная десериализация
- Уязвимость Server Side Request Forgery
- Уязвимость XML External Entity
- Same Origin Policy. Cross-Site Request Forgery
- Cross-origin resource sharing. Cross-Site Scripting
- Content Security Policy. Security Headers
- Финальное занятием
Пример учебного проекта:
оказание среднестатистической услуги по тестированию на проникновение
Планирование всех этапов процесса: от заказа до сдачи результата
Декларация проверок и поиска уязвимостей (покрытие)
Работа с заказчиком: особенности коммуникации и организации совместного процесса
Знакомство с юридическими аспектами пентеста
Разработка замечаний (findings), составление отчета
Примеры практических заданий:
Работа с платформой CTFd
Поиск информации об аккаунте через соц.сети, git и т.д.
Отправка фейковых писем через Emkei`s mailer
Написание полоценной консольной утилиты, меняющей mac-адрес сетевой карты
Написание простейшего клиент-серверного приложения с использованием сокетов
Написание простейшего "трояна" - reverse shell на python
Практика на Portswigger
Примеры логических ошибок разработчиков
Пример Blind SSRF: сканирование портов
Формирование отчета с использованием стандарта CVSS
Подготовка к собеседованиям
CTF
18 задач разных типов в соответствии с пройденным на модуле материалом
80 задач разных типов с автоматической проверкой
Модель обучения
участник трека полностью погружается в профессиональную среду, в которой он в будущем сможет применить свои знания и навыки.
участник через собственный опыт (постояннные небольшие задачи) получает представление о том, что он умеет здесь и сейчас, а где — его точки роста. Преподаватель выступает в качестве наставника, который помогает расти в нужных направлениях и обучает эффективным стратегиям устранения ошибок.
строится на микропроектах, каждый из которых участник тренируется делать, используя актуальные рекомендации от преподавателя из профессионального опыта.
Требования к слушателям курса:
Уметь читать специализированную документацию и техническую литературу на английском языке
Знать основы сетевого взаимодействия между узлами сети
Уметь работать с ОС Linux или ОС Windows на уровне продвинутого пользователя (Установка пакетов, работа с терминальной оболочкой, менеджмент прав доступа)
Уметь работать с системами виртуализации (VirtualBox, VMWare)
Программа профессиональной подготовки
при успешном прохождении программы
Диплом о профессиональной переподготовке
FAQ — ответы на частозадаваемые вопросы
Рекомендуемые технические требования
для комфортного прохождения модуля и сохранения всех полученных материалов:
- Не менее 16 ГБ оперативной памяти
- Процессор не менее четырех ядер с частотой не менее 2.3 Ггц
- Жесткий диск SSD со свободным местом не менее 250 ГБ
- Поддержка аппаратной виртуализации (Intel VT-x, AMD-V)
- Дополнительный — второй монитор (Диагональ от 17 дюймов, разрешением от 1280×720p c частотой обновления от 60 Гц)
- Современная операционная система (Минимально: Windows 10 x64, Linux, MacOS 10.13.6)
Все ответы
Остались вопросы?.
Оставьте номер телефона и мы перезвоним вам в течение нескольких минут
Гражданство?
Сколько вам полных лет?
В какой сфере вы работаете/учитесь?
Умеете ли вы работать с прикладными программами: MS Office, Windows Explorer, браузеры?
Вам знакомы такие сетевые модели, как OSI или TCP/IP?
Есть ли у вас опыт работы с системами виртуализации (VirtualBox, VMWare)?
Умеете ли вы работать с ОС Linux или ОС Windows при помощи терминальной оболочки?
Вы умеете программировать? Можете написать на языке python, powershell или каком-либо другом скрипт или мини-программу?
Спасибо,
менеджер свяжеться с вами в ближайшее время
Подпишитесь на нас в социальных сетях
Спасибо,
за регистрацию на вебинар
Подпишитесь на нас в социальных сетях