Безопасность веб-приложений, поиск и устранение уязвимостей, разработка надежных веб-приложения
⚡ Подписка на курсы OTUS!
Интенсивная прокачка навыков для IT-специалистов!
Подробнее

Курсы

Программирование
iOS Developer. Professional Kotlin Backend Developer Flutter Mobile Developer Symfony Framework C++ Developer. Basic Unity Game Developer. Basic Java Developer. Professional
-35%
Highload Architect Unity Game Developer. Professional React.js Developer Специализация Java-разработчик
-25%
Алгоритмы и структуры данных
-16%
Scala-разработчик C# Developer. Professional
-23%
Разработчик голосовых ассистентов и чат-ботов Team Lead Архитектура и шаблоны проектирования NoSQL Web-разработчик на Python Golang Developer. Professional PostgreSQL Vue.js разработчик Супер-практикум по использованию и настройке GIT Разработчик IoT Подготовка к сертификации Oracle Java Programmer (OCAJP) Программист С HTML/CSS
Инфраструктура
Инфраструктурная платформа на основе Kubernetes Microservice Architecture Базы данных Highload Architect Reverse-Engineering. Professional
-8%
Network engineer. Basic Administrator Linux.Basic MongoDB Infrastructure as a code MS SQL Server Developer Cloud Solution Architecture Мониторинг и логирование: Zabbix, Prometheus, ELK Супер-практикум по использованию и настройке GIT Разработчик IoT Экcпресс-курс «ELK» Супер-интенсив "Tarantool" Экспресс-курс «CI/CD или Непрерывная поставка с Docker и Kubernetes» Экспресс-курс «Введение в непрерывную поставку на базе Docker»
Корпоративные курсы
Безопасность веб-приложений Экосистема Hadoop, Spark, Hive Пентест. Практика тестирования на проникновение Node.js Developer Java QA Engineer. Basic
-18%
Reverse-Engineering. Professional
-8%
DevOps практики и инструменты NoSQL Reverse-Engineering. Basic Cloud Solution Architecture Внедрение и работа в DevSecOps Супер-практикум по работе с протоколом BGP Game QA Engineer Супер - интенсив по Kubernetes Дизайн сетей ЦОД Экспресс-курс «IaC Ansible» Экспресс-курс по управлению миграциями (DBVC) Экспресс-курс "Версионирование и командная работа с помощью Git" Основы Windows Server
Специализации Курсы в разработке Подготовительные курсы Подписка
+7 499 938-92-02

Безопасность веб-приложений

Освойте на практике поиск и устранение уязвимостей, чтобы создавать надежные веб-приложения

Длительность обучения:

3 месяца

4 ак. часа в нед.

Формат:

Online

Что даст вам этот курс

Вы поймете, как и почему возникают уязвимости в разных составляющих вашего веб-приложения: фронтенде, на сервере и в API. Вы сможете распознавать их в коде и устранять, оценивать безопасность проекта по методологии OWASP.

Для кого этот курс?

Навыки актуальны для всех специалистов, разрабатывающих и поддерживающих веб-проект: программистов, администраторов, DevOps-ов и специалистов ИБ. Для обучения достаточно уверенно владеть любым языком программирования.

Вы научитесь

    • Искать уязвимости в коде вручную и автоматизированно;
    • Внедрять практики безопасной разработки (Secure SDLC);
    • Выявлять уязвимости белым и черным ящиком;
    • Эксплуатировать уязвимости OWASP Top-10.

Как организована практика?

Вы сможете самостоятельно попробовать эксплуатировать уязвимости, чтобы на личном опыте увидеть возможные последствия.

Вот лишь несколько примеров:

    • Захватить браузер пользователя чужого веб-приложения.
    • Получить доступ к базе данных, эксплуатируя SQL-инъекции.
    • Выполнить действие от имени администратора, не владея его учеткой.
    • Вставить дополнительный нелегитимный контент в страницу.


Каждую изученную уязвимость вы потренируетесь устранять на коде реальных сайтов или запуская приложение на виртуальной машине.

В конце обучения вас ждет проектный модуль, где вы проведете полный цикл анализа защищенности веб-приложения. Его можно выполнить на своем рабочем проекте, или на учебном. От вас потребуется найти уязвимости в сайте, предоставить части кода, которые их содержат, и предложить изменения.

Старт нового потока курсу - по мере набора группы.

Преподаватели

Павел Пархомец
eJPT, OSCP, eWPT | Penetration Tester в Awillix
Александр Мелких
Яндекс
Сергей Гоппиков
Backend Lead, Alyce.com (Boston, MA)
Александр Колесников
Вирусный аналитик в международной компании
Выпускник направления безопасности компьютерный систем (Информационная безопасноть 10.03.01) НИЯУ МИФИ, имею победы в международных конкурсах по кибербезопасности, например HITB AI Challenge, Kasperky SecurIT Cup, призер отраслевых чемпионатов по кибербезопасности. Имею такие международные сертификации, как eJPT и OSCP.

В данный момент работаю в службе информационной безопасности Яндекса: проверяю различные веб/мобильные-приложения на безопасность, консультирую разработчиков, продумываю новые security-фичи и дизайн, пишу код.

До этого занимался пентестом АСУТП/SCADA/IoT: ездил по различным заводам и останавливал технологические процессы :)

Программирую и увлекаюсь IT более 20 лет, с 14 лет.

Профессиональный опыт:
- 5 лет опыт построения комьютерных сетей и информационных систем на базе MS, сертификация MCSA
- 8 лет программирования на Python, JavaScript, PHP, Kotlin.
последние 5 лет, кроме написания кода занимаюсь архитектурой, внедрением практик DevOps и оптимизацией инфраструктуры.

Прошел путь от fullstack до руководителя и руководил отделом разработки хостинга и регистратора доменных имен Beget.com (парк 500+ серверов),
участововал в разработке и выполнял роль архитектора в различных стартапах.
В качестве OpenSource проекта запускал при поддержке компании проект облачного файл-менеджера sprut.io.

В данный момент являюсь руководителем backend команды и разрабатываю архитектуру для гео-распределенного стартапа, объединяю внутренние разработки и облачные сервисы AWS, GCP и адаптирую инфраструктуру к непрерывному росту.

Специалист по комплексной защите объектов информатизации с большим опытом в реверс-инжиниринге, исследовании вредоносного кода и анализе уязвимостей.

Сертификаты: BEC II Advanced (2013), CEH (2016)

Навыки:
Анализ вредоносного ПО
Реверс-инжиниринг
Обнаружение уязвимостей
Форензика
Разработка под iOS и Android
Системное программирование
Анализ сетевого трафика

Павел
Пархомец
Александр
Мелких
Сергей
Гоппиков
Александр
Колесников

Преподаватели

Павел Пархомец
eJPT, OSCP, eWPT | Penetration Tester в Awillix
Выпускник направления безопасности компьютерный систем (Информационная безопасноть 10.03.01) НИЯУ МИФИ, имею победы в международных конкурсах по кибербезопасности, например HITB AI Challenge, Kasperky SecurIT Cup, призер отраслевых чемпионатов по кибербезопасности. Имею такие международные сертификации, как eJPT и OSCP.

Александр Мелких
Яндекс
В данный момент работаю в службе информационной безопасности Яндекса: проверяю различные веб/мобильные-приложения на безопасность, консультирую разработчиков, продумываю новые security-фичи и дизайн, пишу код.

До этого занимался пентестом АСУТП/SCADA/IoT: ездил по различным заводам и останавливал технологические процессы :)

Сергей Гоппиков
Backend Lead, Alyce.com (Boston, MA)
Программирую и увлекаюсь IT более 20 лет, с 14 лет.

Профессиональный опыт:
- 5 лет опыт построения комьютерных сетей и информационных систем на базе MS, сертификация MCSA
- 8 лет программирования на Python, JavaScript, PHP, Kotlin.
последние 5 лет, кроме написания кода занимаюсь архитектурой, внедрением практик DevOps и оптимизацией инфраструктуры.

Прошел путь от fullstack до руководителя и руководил отделом разработки хостинга и регистратора доменных имен Beget.com (парк 500+ серверов),
участововал в разработке и выполнял роль архитектора в различных стартапах.
В качестве OpenSource проекта запускал при поддержке компании проект облачного файл-менеджера sprut.io.

В данный момент являюсь руководителем backend команды и разрабатываю архитектуру для гео-распределенного стартапа, объединяю внутренние разработки и облачные сервисы AWS, GCP и адаптирую инфраструктуру к непрерывному росту.

Александр Колесников
Вирусный аналитик в международной компании
Специалист по комплексной защите объектов информатизации с большим опытом в реверс-инжиниринге, исследовании вредоносного кода и анализе уязвимостей.

Сертификаты: BEC II Advanced (2013), CEH (2016)

Навыки:
Анализ вредоносного ПО
Реверс-инжиниринг
Обнаружение уязвимостей
Форензика
Разработка под iOS и Android
Системное программирование
Анализ сетевого трафика

Отзывы

Yuri
Katz
курс для меня был непростой,но открыл целый мир о существовании которого только догадывался,я познакомился с инструментами,которыйе моментально вошли в ежедневное использование, в моей профессиональной деятельности также ознакомился с существующими инструментами позволяющими далее повышать профессионализм в данной области.

спасибо всем преподавателям,особенно Александру Мелких и Павелу Пархомец
Читать целиком
Yuri
Katz
курс для меня был непростой,но открыл целый мир о существовании которого только догадывался,я познакомился с инструментами,которыйе моментально вошли в ежедневное использование, в моей профессиональной деятельности также ознакомился с существующими инструментами позволяющими далее повышать профессионализм в данной области.

спасибо всем преподавателям,особенно Александру Мелких и Павелу Пархомец
Читать целиком

Необходимые знания

Минимальные требования

  • Основы HTML и CSS;
    • Иметь опыт разработки бэкенда сайта на одном из языков: Python, PHP, Java, C# или JS (Node.JS);
      • Понимание работы HTTP;
        • Понимать основы разработки веб-приложений.
Корпоративное обучение для ваших сотрудников
>
Программа обучения
В процессе обучения вы получите комплексные знания и навыки.
Тема 1. Знакомство со структурой курса и используемым программным обеспечением
Тема 2. Основы технологий, необходимые для понимания уязвимостей. Классификация OWASP top 10
Тема 3. Уязвимости класса: Open Redirect, CSRF
Тема 4. Уязвимости класса: HTML Injection, Content Spoofing, Cross-Site Scripting
Тема 5. Уязвимсоти класса: ServerSide Request Forgery, Subdomain Takeover
Тема 6. Уязвимости OAuth2, HTTP Response Splitting, CRLF Injection,
Тема 7. Уязвимости класса: HTTP Parameter Pollution, SQL Injection, Template Injections
Тема 8. Уязвимости класса: XXE
Тема 9. Методологии безопасной разработки (SSDL): обзор сравнение, практическое применения
Тема 10. Утилиты для статического и динамического анализа защищенности веб-приложений: DAST/SAST/IAST
Тема 11. Утилиты для статического и динамического анализа защищенности: Fuzzing
Тема 12. Анализ защищенности веб-приложения: TTP. Часть 1: сбор информации о веб-приложении и его компонентах
Тема 13. Анализ защищенности веб-приложения: TTP. Часть 2: эксплуатация и репортинг
Тема 14. Целенаправленная атака на инфраструктуру: утилиты для реализации полного цикла атаки
Тема 15. Методологии анализа защищенности OWASP
Тема 16. Автоматизация анализа защищенности веб-приложений
Тема 17. Выбор темы и организация проектной работы
Тема 18. Консультация по проектам и домашним заданиям
Тема 19. Защита проектных работ
Скачать подробную программу

Процесс обучения

Обучение на курсе "Безопасность веб-приложений" проходит в формате онлайн вебинаров. Слушателям предлагаются к выполнению домашние задания, которые позволят применить на практике полученные во время вебинаров знания. По каждому домашнему заданию преподаватель даёт развернутый фидбек. Преподаватель находится в едином коммуникационном пространстве с группой, т. е. слушатель может задавать преподавателю уточняющие вопросы по материалам лекций и домашних заданий.

Интенсивность: 2 онлайн-вебинара в неделю по 2 академических часа каждый, раз в 2 недели предлагается домашнее задание.
Получить консультацию
Наш специалист свяжется с вами в ближайшее время. Если у вас возникли трудности в выборе курса или проблемы технического плана, то мы с радостью поможем вам.
Спасибо!
Мы получили Вашу заявку, в ближайшее время с Вами свяжется наш менеджер.

После обучения вы


  • заберете с собой полный комплект обучающих материалов: видеозаписи всех вебинаров, презентации к занятиям, а также решение задач и проектов в виде кода на github и другие дополнительные материалы;

  • получите сертификат о прохождении курса;

  • научитесь выявлять и устранять уязвимости веб-приложений;

  • получите приглашение пройти собеседование в компаниях-партнерах (эту возможность получают самые успешные студенты).

Дата выдачи сертификата: 5 августа 2021 года
Ваш сертификат

онлайн-образование

Сертификат №0001

Константин Константинопольский

Успешно закончил курс «Безопасность веб-приложений»
Выполнено практических заданий: 16 из 16

Общество с ограниченной ответственностью “Отус Онлайн-Образование”

Город:
Москва

Генеральный директор ООО “Отус Онлайн-Образование”
Виталий Чибриков

Лицензия на осуществление образовательной деятельности
№ 039825 от 28 декабря 2018 года.

онлайн-образование

Сертификат №0001

Константин Константинопольский

Успешно закончил курс «Безопасность веб-приложений»
Выполнено практических заданий: 16 из 16

Общество с ограниченной ответственностью “Отус Онлайн-Образование”

Город:
Москва

Генеральный директор ООО “Отус Онлайн-Образование”
Виталий Чибриков

Лицензия на осуществление образовательной деятельности
№ 039825 от 28 декабря 2018 года.
Прошедшие открытые вебинары
Открытый вебинар — это настоящее занятие в режиме он-лайн с преподавателем курса, которое позволяет посмотреть, как проходит процесс обучения. В ходе занятия слушатели имеют возможность задать вопросы и получить знания по реальным практическим кейсам.
Основы технологий, необходимые для понимания уязвимостей. Классификация OWASP TOP 10
Павел Пархомец
День открытых дверей
17 ноября 2020 года в 20:00
Для доступа к прошедшим мероприятиям необходимо пройти входное тестирование
Возможность пройти вступительное тестирование повторно появится только через 2 недели
Результаты тестирования будут отправлены вам на e-mail, указанный при регистрации.
Тест рассчитан на 30 минут, после начала тестирования отложить тестирование не получится!
Стоимость обучения
55 000 ₽
Продолжительность
3 месяца