Онлайн-обучение на курсе «Специалист по информационной безопасности: веб-пентест» от сервиса Яндекс Практикум. Научитесь пентесту с нуля. Станьте специалистом по компьютерной безопасности.
- Введение. Основные цели Web penetration testing. Направления в информационной безопасности: AppSec, RedTeam, BlueTeam, PurpleTeam, Cyber Intelligence.
- Принципы работы протоколов HTTP. Метод HTTP-запросов. Request и Response: основные понятия. Основные коды ответа от веб-сервера. Протоколы HTTP и заголовки.
- Подготовка среды для веб-пентеста. Подготовка окружающей среды для тестирования на проникновение.
- Тестирование: типы, этапы и методологии. Виды тестирования: BlackBox, WhiteBox и GreyBox. Этапы тестирования на безопасность. Методологии и чек-листы OWASP. Стандарты классификаций уязвимостей: CWE, CVE, CVSS, EPSS.
- Инструменты тестирования. Автоматизированные инструменты: SonarQube, Nessus, Trivy, MobSF, Dependency check. Ручные инструменты: OWASP ZAP, Burp Suite, Metasploit.
- Reconnaissance and Mapping. Этап разведки. Поиск поддоменов, открытых портов, веб-сервисов, баз данных, сторонних компонентов и скрытых файлов. Анализ JS-файлов. Поиск в GitHub. Пассивный сбор данных.
- Основные уязвимости. Часть 1. XSS-уязвимость: Stored, Reflected, DOM. Уязвимость Cross Site Request Forgery. Уязвимость Broken Access Control. Уязвимость File Upload Vulnerabilities. SQL-инъекции.
- Основные уязвимости. Часть 2. Уязвимость XXE. Небезопасная десериализация. Уязвимость Server Sire Request Forgery. Уязвимость Race Condition. Уязвимости бизнес-логики.
- Принципы дизайна. Security by Design и методологии минимальных привилегий. Обработка пользовательского ввода. Управление сессией и зависимостями. Тестирование безопасности кода (CI/CD).
- Принципы хранения секретов. Основные правила для работы с базами данных. Способы хранения конфиденциальных данных. Лучшие практики работы с секретами.
- Контейнеризация. Роль в разработке, преимущества и недостатки. Docker, Kubernetes. Развёртывание в облачных платформах. Безопасность: контроль доступа, управление конфигурацией и мониторинг.
- Облачные технологии. Роль, архитектура, принципы безопасности и уязвимости. Безопасность серверов и хранилищ данных. Инструменты тестирования безопасности. Разработка безопасной архитектуры.
- DevSecOps. Основные принципы и роль в безопасной разработке. Инструменты и практика: политики доступа, логирование и отслеживание угроз. Автоматизация проверок с помощью CI/CD пайплайнов.
- Основные правовые аспекты. Правовые нормы РФ в сфере информационной безопасности. Основные законы в пентесте. GDPR: основные правовые нормы. Правовые аспекты профессии.
- Документирование и отчётность. Подготовка отчёта по найденным уязвимостям: подходы и принципы. Формирование тикетов для разработчиков. Как контролировать устранение уязвимости.
- Дипломный проект. Описание отсутствует
- Программа трудоустройства. Мы расскажем, как правильно составить резюме, собрать портфолио и сделать свой отклик заметнее с помощью сопроводительного письма. А ещё подготовим вас к собеседованию.
