Vendetta
Администратор
- Регистрация
- 16 Сен 2015
- Сообщения
- 187.461
- Реакции
- 425.873
Складчина: Pentest для QA на стероидах [Stepik] [Александр Six-Skills]
О курсе
Этот курс поможет тестировщику системно подойти к вопросам безопасности: понять, где искать уязвимости, как их отличать от обычных багов, как оценивать риски и взаимодействовать с безопасниками.
Разбираются реальные уязвимости в веб-приложениях и API — от IDOR и XSS до ошибок бизнес-логики, SSRF, race condition и небезопасной авторизации. Всё объясняется с точки зрения QA: как находить, как тестировать, как описывать.
Материал ориентирован на практику и легко встраивается в повседневную работу — без избыточной теории или "хакинга ради хакинга".
Удобный формат теории — весь материал представлен в виде лаконичных конспектов и скриншотов.
Полезные практические задания — как авторские, так и с отсылкой к реальным платформам.
Проверка заданий — все задания проходят либо автоматическую, либо ручную проверку. В случае ручной — вы получите развёрнутую обратную связь с пояснениями.
Подготовка к собеседованиям — многие теоретические блоки структурированы как ответы на реальные вопросы рекрутеров.
Регулярные обновления — курс пополняется актуальными материалами, чтобы вы оставались в контексте рынка.
Этот курс — уверенный старт в направлении безопасного тестирования и понимания уязвимостей
Чему вы научитесь
Понимать, какие уязвимости бывают в веб-приложениях и API
Отличать баги от рисков, которые реально угрожают бизнесу
Находить ошибки в логике и проверках доступа
Проверять безопасность обычных фич: логин, заказы, профили, купоны
Формулировать уязвимости как понятные баг-репорты
Тестировать безопасность ручками: без сложных скриптов
Использовать Burp Suite и другие инструменты для базового пентеста
Имитировать атаки вроде IDOR, XSS, SSRF, CSRF, Race Condition
Разбираться в приоритете уязвимостей: что критично, а что нет
Добавлять проверку безопасности в обычные тест-кейсы и чек-листы
Спойлер: Программа курса
Вводная
Приветствие
Почему QA-специалисту нужен «пентестерский» взгляд
Введение в пентест для QA
Основы информационной безопасности
Пентест vs обычное функциональное тестирование
Терминология и ключевые понятия
OWASP Top 10: краткий обзор
Мини-практика
Этические и правовые аспекты пентеста
Этические и правовые аспекты пентеста
Подготовка среды и инструменты
Работа с Burp Suite
Обзор основных инструментов
Мини-практика
Разведка и сканирование (Reconnaissance & Scanning)
Методы пассивного и активного сбора информации
Сети
Сканирование сети и веб-приложений
Практическая работа: разведка целевого веб-приложения
Распространённые уязвимости и их эксплуатация
XSS — Cross-site scripting
CSRF — Cross-site Request Forgery
SSRF — Server-Side Request Forgery
SSTI — Server Side Template Injection
XXE — XML External Entity
IDOR — Insecure Direct Object References
SQL Injection
Race Condition / Rate Limit
Open Redirect
File upload vulnerabilities
Небезопасная десериализация
Уязвимости бизнес-логики
Основные уязвимости API
Бонус
Общая методология
Brute-force
Рекомендуемые источники
Заключение
Слова напутствия, тем кто дошел до конца!
В курс входят
32 урока
118 тестов
6 интерактивных задач
Автор: Александр Six-Skills
СКАЧАТЬ КУРСЫ
О курсе
Этот курс поможет тестировщику системно подойти к вопросам безопасности: понять, где искать уязвимости, как их отличать от обычных багов, как оценивать риски и взаимодействовать с безопасниками.
Разбираются реальные уязвимости в веб-приложениях и API — от IDOR и XSS до ошибок бизнес-логики, SSRF, race condition и небезопасной авторизации. Всё объясняется с точки зрения QA: как находить, как тестировать, как описывать.
Материал ориентирован на практику и легко встраивается в повседневную работу — без избыточной теории или "хакинга ради хакинга".
Удобный формат теории — весь материал представлен в виде лаконичных конспектов и скриншотов.
Полезные практические задания — как авторские, так и с отсылкой к реальным платформам.
Проверка заданий — все задания проходят либо автоматическую, либо ручную проверку. В случае ручной — вы получите развёрнутую обратную связь с пояснениями.
Подготовка к собеседованиям — многие теоретические блоки структурированы как ответы на реальные вопросы рекрутеров.
Регулярные обновления — курс пополняется актуальными материалами, чтобы вы оставались в контексте рынка.
Этот курс — уверенный старт в направлении безопасного тестирования и понимания уязвимостей
Чему вы научитесь
Понимать, какие уязвимости бывают в веб-приложениях и API
Отличать баги от рисков, которые реально угрожают бизнесу
Находить ошибки в логике и проверках доступа
Проверять безопасность обычных фич: логин, заказы, профили, купоны
Формулировать уязвимости как понятные баг-репорты
Тестировать безопасность ручками: без сложных скриптов
Использовать Burp Suite и другие инструменты для базового пентеста
Имитировать атаки вроде IDOR, XSS, SSRF, CSRF, Race Condition
Разбираться в приоритете уязвимостей: что критично, а что нет
Добавлять проверку безопасности в обычные тест-кейсы и чек-листы
Спойлер: Программа курса
Вводная
Приветствие
Почему QA-специалисту нужен «пентестерский» взгляд
Введение в пентест для QA
Основы информационной безопасности
Пентест vs обычное функциональное тестирование
Терминология и ключевые понятия
OWASP Top 10: краткий обзор
Мини-практика
Этические и правовые аспекты пентеста
Этические и правовые аспекты пентеста
Подготовка среды и инструменты
Работа с Burp Suite
Обзор основных инструментов
Мини-практика
Разведка и сканирование (Reconnaissance & Scanning)
Методы пассивного и активного сбора информации
Сети
Сканирование сети и веб-приложений
Практическая работа: разведка целевого веб-приложения
Распространённые уязвимости и их эксплуатация
XSS — Cross-site scripting
CSRF — Cross-site Request Forgery
SSRF — Server-Side Request Forgery
SSTI — Server Side Template Injection
XXE — XML External Entity
IDOR — Insecure Direct Object References
SQL Injection
Race Condition / Rate Limit
Open Redirect
File upload vulnerabilities
Небезопасная десериализация
Уязвимости бизнес-логики
Основные уязвимости API
Бонус
Общая методология
Brute-force
Рекомендуемые источники
Заключение
Слова напутствия, тем кто дошел до конца!
В курс входят
32 урока
118 тестов
6 интерактивных задач
Автор: Александр Six-Skills
СКАЧАТЬ КУРСЫ
Для просмотра скрытого содержимого вы должны зарегистрироваться
Возможно, Вас ещё заинтересует:
- Тренды в визуальном контенте 2026-2027 [Тариф В оба глаза] [Анастасия Максимова]
- Школа творцов будущего Ai art pro [Тариф Art Easy] [Ольга Никитина]
- Формула привлечения щедрых мужчин [Тариф Премиум] [Елена Чурзина]
- [WP] Мини-приложения Telegram. WordPress плагин [Валерий Данюк]
- Навигатор по детскому чтению [Bibliohunter] [Ксения Ежова]
- Курс ЕГЭ-2026 по профильной математике с Борисом Трушиным с 0 до 70 баллов для 10-11 классов [Фоксфорд] [Борисом Трушин]
- Курс ЕГЭ-2026 по профильной математике с Борис Трушиным с 60 до 100 баллов для 11 класса [Фоксфорд] [Борисом Трушин]
- [Аудиокнига] Музыкальный редактор. Как музыка попадает в кино и сериалы? [Денис Шарко]