1300+ выпускников

Профессия: инженер по безопасности приложений (AppSec)

Практический курс по безопасности приложений (AppSec), в котором вы научитесь находить уязвимости в коде и архитектуре, использовать AppSec-инструменты и внедрять безопасность в процесс разработки.

Безопасность приложений

Разберётесь в ключевых принципах защиты веб- и backend-приложений.

Поиск уязвимостей

Научитесь находить ошибки в коде, логике и архитектуре приложений.

безопасный цикл разработки (Secure SDLC)

Освоите внедрение безопасности на всех этапах разработки.

Практика AppSec

Будете работать с реальными кейсами и инструментами безопасности приложений.

О чем этот курс

За 7 месяцев в рамках программы курса вы научитесь:

понимать принципы безопасности веб- и backend-приложений;
находить и анализировать уязвимости в коде и архитектуре;
применять Secure SDLC и встраивать безопасность в процессы разработки;
использовать статический анализ безопасности (SAST), динамический анализ безопасности (DAST) и другие AppSec-инструменты;
выявлять логические ошибки и типовые классы уязвимостей (OWASP);
работать с безопасностью программного интерфейса приложений (API) и веб-сервисов;
выстраивать процессы AppSec в реальных проектах.

Как проходит обучение?

Ведение в AppSec
Ведение в AppSec
Подготовительная часть
Основы python
Основы html + css
Базы данных. SQL запросы
Изучение уязвимостей веб-приложения
SQL Injection (основы)
SQL Injection – dump всей БД
Cross-Site Scripting (отражённый/сохранённый)
Cross-Site Scripting (DOM)
Cross-site request forgery (CSRF)
Server-side request forgery (SSRF)
Уязвимость бизнес логики
Directory Traversal
File Inclusion / LFI
Clickjacking
XXE (XML External Entity)
Race condition
IDOR
Path traversal (вариант)
Безопасность API
Полезные утилиты
SQLmap
XSStriker
Технологии
git
docker
docker-compose
SAST
Знакомство с semgrep
Первичная разметка
Написание кастомных правил
DAST
Burp Suite
Знакомство с ZAP
Поднятие через контейнер и проброс конфигов
Разбор отчётов ZAP
Подключение OAST к ZAP
Знакомство с nuclei
Разбор отчётов nuclei
Написание кастомных правил (DAST)
SCA
Знакомство с trivy
Первичная разметка
Технологии и их потенциальные уязвимости
CORS
JWT токены
Протоколы/методы авторизации
Атаки на OAuth 2.0
SDLC
Оценивание критичности уязвимостей CWE,CVE,CVSS
Безопасность аутентификации и хранения паролей
Разбор аутентификации и безопасных способов хранения паролей
Secrets Management
Разбор безопасного хранения секретов
Threat Modeling
Провести моделирование угроз веб приложения
Подходы безопасной разработки CTF
Подходы безопасной разработки CTF
Резюме и вакансии
Резюме и вакансии

Узнать подробнее о программе

Кому будет полезен курс

Разработчикам ПО

Курс поможет писать более безопасный код, понимать слабые места и выявлять уязвимости до продакшена.

DevOps (практики автоматизации и инфраструктуры) / Безопасная разработка (DevSecOps)-инженерам

Будет полезен тем, кто внедряет безопасность в непрерывная интеграция и доставка (CI/CD)-процессы и автоматизирует Безопасность приложений (AppSec)-сканирование.

Тестировщикам (QA)

Научитесь проводить security-тесты, находить уязвимости и повышать ценность своей экспертизы.

Специалистам по ИБ

Поможет углубиться в безопасность приложений, стать востребованным AppSec-инженером и расширить профиль компетенций.

Сможете больше зарабатывать

Junior

Пройдите это обучение, чтобы сразу перейти на уровень Middle

от 60 000

Middle

Освоив данный курс, вы сможете вырасти по зарплате до позиции Middle

до 350 000

Senior

Сможете перейти на более высокий грейд, продолжив обучение на курсе

до 600 000

7245 ₽ / мес

При поэтапной оплате на 24 месяца

120000 ₽ 173 880 ₽

При оплате сразу со скидкой

Оставить заявку

Скидка 30% за оплату курса целиком

Налоговый вычет 13% — поможем оформить документы

Работникам в сфере информационной безопасности

Вернём деньги в первые 14 дней, если не понравится курс
144000 ₽

Для юридических лиц

Оставить заявку

Полный комплект документов для бухгалтерии

Выгодные условия для корпоративных команд