PENETRATION TESTING
Навчіться тестувати системи на проникнення, щоб виявляти слабкі місця раніше за зловмисників та будувати кар’єру в ІТ
Максим Либа
Senior Security Testing Engineer у компанії зі списку S&P 500
7+ років досвіду в кібербезпеці

Цей penetration testing курс для:
про курс
-
7 модулів
-
20 домашніх завдань
Це курс, на якому ви опануєте основи кібербезпеки й пентестингу, навчитеся працювати з мережами, вебвразливостями та ключовими інструментами. Зможете налаштовувати середовище, тестувати різні системи — від вебу до хмари та Wi-Fi — і готувати зрозумілі звіти.
А ще ви отримаєте практичні навички, необхідні для старту карʼєри та проходження співбесід у кібербезпеці.
До програми пентестинг-курсу входять:
-
01
ІНСТРУМЕНТИ
Ви опануєте інструменти для тестування безпеки хмарних сервісів, ОС, Wi-Fi, мобільних і вебзастосунків — зокрема Kali Linux, Burp Suite, Nuclei, Nmap і Wireshark.
-
02
СТРАТЕГІЇ КІБЕРЗАХИСТУ
Навчитесь аналізувати безпеку з погляду зловмисників, щоб знаходити вразливі місця в системах і давати ефективні рекомендації з усунення вразливостей систем.
-
03
ПРАКТИКА
Відпрацюєте здобуті знання в середовищі «пісочниці», опануєте складні сценарії атак на вебзастосунки, АРІ, хмарні платформи, мобільні екосистеми та мережі.
-
04
КЕЙС У ПОРТФОЛІО
Організуєте і проведете пентест на виявлення вразливостей реальної системи, а потім підготуєте звіт з рекомендаціями та поясненнями як технічній, так і нетехнічній аудиторії.
лектор
Максим Либа
• Senior Security Testing Engineer у компанії зі списку S&P 500
• 7+ років досвіду в кібербезпеці
• Основний фокус роботи: тестування на проникнення вебзастосунків, мобільних додатків, API.
-
Має успішний досвід виявлення Critical та High-risk вразливостей (RCE, SQLi, SSRF, IDOR), що дозволило запобігти потенційним фінансовим та репутаційним збиткам клієнтів.
-
Досвід у Blue Team включає аналіз інцидентів безпеки, налаштування систем моніторингу (SIEM), аналіз логів та розробку рекомендацій щодо hardening інфраструктури.
-
У межах Red Team-операцій брав участь у симуляції реальних атак, тестуванні фішингу (Social Engineering) та оцінці стійкості внутрішнього периметра компаній.
-
Має практичний досвід менеджменту Bug Bounty програм з боку замовника: від визначення області тестування та правил програми до комунікації з дослідниками безпеки, валідації звітів і координації процесу виправлення вразливостей з командами розробки.
-
Має сертифікацію eWPTXv2.
-
У своїй роботі керується такими професійними стандарами, як OWASP Application Security Verification Standard, OWASP Testing Guide, OWASP Top 10, OWASP API Security та OWASP Mobile Application Security Verification Standard.
Програма курсу
-
01 заняття
Вступ до кібербезпеки та Penetration Testing
- Зрозумієте основи кібербезпеки, принципи CIA та важливість пентестингу
- Розглянете основні ролі та напрями розвитку кар'єри у сфері кібербезпеки
- Ознайомитесь з основними інструментами, які будуть використовуватися під час курсу
-
02 заняття
Основи мереж
- Зрозумієте принципи роботи мереж та їхні основні типи (LAN, WAN, WLAN, VPN)
- Ознайомитесь із моделями OSI та TCP/IP та ключовими мережевими протоколами
- Навчитеся працювати з IP-адресацією та підмережами
- Отримаєте практичні навички використання інструментів (Wireshark, Nmap, TCPdump) для сканування та аналізу трафіку
- Зможете виявляти типові мережеві вразливості (DNS/DHCP, MITM, відкриті порти) й оцінювати пов’язані ризики
-
03 заняття
Налаштування інфраструктури для пентесту
- Налаштуєте середовище для пентесту і попрацюєте з інструментами Kali Linux
- Зрозумієте життєвий цикл пентесту і навчитесь готувати технічні звіти
- Опануєте базу ОС, Bash і Python для автоматизації задач та напишете перший скрипт
- Розберетесь із хмарними сервісами та розгортанням інструментів на віддалених серверах
-
04 заняття
Open Source Intelligence (OSINT): розвідка на основі відкритих джерел
- Зрозумієте методології пошуку інформації з відкритих джерел для розширення поверхні атаки
- Навчитеся користуватися основними інструментами OSINT
-
05 заняття
Фішинг та соціальна інженерія
- Зрозумієте різні методології фішингових атак
- Розробите й проведете фішингову кампанію
-
06 заняття
Вступ до експлуатації вебзастосунків
- Зрозумієте основи вебзастосунків та їхньої архітектури
- Дізнаєтеся про роль тестування на проникнення в Secure SDLC
- Зрозумієте різницю між SAST, DAST та IAST
- Зрозумієте значення CWE та CVE у безпеці
-
07 заняття
Налаштування Burp-Suite і знайомство з Nuclei
- Встановите й налаштуєте Burp Suite для роботи з вебтрафіком
- Ознайомитесь з основними модулями програми (Proxy, Scanner, Intruder, Repeater, Sequencer) та їхнім призначенням
- Навчитеся перехоплювати й змінювати HTTP/HTTPS-запити за допомогою Burp Proxy
- Зможете налаштувати проксі у браузері для інтеграції з Burp Suite
- Отримаєте практичні навички захоплення та аналізу вебтрафіку для подальшого виявлення вразливостей
-
08 заняття
Client Side Vulnerabilities: XSS, CSRF
- Зрозумієте принципи виникнення клієнтських вразливостей (XSS, CSRF)
- Навчитесь ідентифікувати місця потенційних XSS у вебзастосунках та проводити успішні атаки для тестування
- Зможете імітувати CSRF-атаки та розуміти механізми обходу автентифікації користувачів
- Дізнаєтеся, як пропонувати й впроваджувати основні заходи захисту від XSS і CSRF (вихідне кодування, CSP, CSRF-токени)
- Зможете пояснити розробникам кращі практики щодо безпеки на боці клієнта
-
09 заняття
SSRF, XXE attacks
- Зрозумієте принципи SSRF- та XXE-вразливостей
- Навчитесь ідентифікувати й експлуатувати SSRF- та XXE-вразливості
- Дізнаєтеся про методи запобігання та пом'якшення ризиків цих вразливостей
-
10 заняття
SSTi, вразливості включення файлів
- Зрозумієте принципи SSTi й вразливості включення файлів
- Навчитеся виявляти й експлуатувати SSTi, LFI та RFI
- Дізнаєтеся про заходи безпеки для запобігання цим вразливостям
-
11 заняття
Вразливості обходу директорій, SQL/NoSQL Injection
- Зрозумієте суть SQL- та NoSQL-ін'єкцій
- Отримаєте навички виявлення та експлуатації SQLi та NoSQLi
- Дізнаєтеся про ефективні методи захисту баз даних від ін'єкцій
- Попрацюєте з інструментами автоматизованого виявлення та постексплуатації SQL/NoSQL injection
-
12 заняття
RCE, ACE, Command Injection
- Зрозумієте вразливості RCE, ACE та ін'єкції команд
- Навчитесь експлуатувати ці вразливості в контрольованому середовищі
- Дізнаєтеся про заходи безпеки для запобігання виконанню довільного коду й команд
-
13 заняття
Вразливості при завантаженні файлів
- Зрозумієте ризики та вразливості, пов'язані з завантаженням файлів у вебзастосунках
- Навчитеся виявляти й експлуатувати вразливості при завантаженні файлів
- Дізнаєтеся про ефективні методи захисту вебзастосунків від небезпечного завантаження файлів
- Ознайомитеся з інструментами й методиками для тестування завантаження файлів
-
14 заняття
Експлуатація вразливостей десеріалізації
- Отримаєте глибоке розуміння процесів серіалізації та десеріалізації
- Навчитеся виявляти й експлуатувати вразливості десеріалізації в різних мовах програмування
- Здобудете знання ефективних методів захисту застосунків від небезпечної десеріалізації
- Ознайомитеся з інструментами для аналізу та експлуатації вразливостей десеріалізації
-
15 заняття
Вразливості порушення контролю доступу, вразливості бізнес-логіки
- Зрозумієте концепції контролю доступу та як їх можна порушити
- Навчитеся виявляти й експлуатувати вразливості IDOR та бізнес-логіки
- Дізнаєтеся про методи захисту від порушення контролю доступу та вразливостей бізнес-логіки
-
16 заняття
Атаки на JWT; OAuth і неправильні налаштування API
- Зрозумієте принципи роботи JWT (структура, використання в автентифікації та авторизації) та основні вразливості токенів
- Навчитеся проводити типові атаки на JWT: підробка токенів, маніпуляція заявами, повторне використання
- Засвоїте методи захисту від атак на JWT: використання безпечних алгоритмів, валідація цілісності, контроль терміну дії токенів
- Ознайомитесь із фреймворком OAuth 2.0, його потоками авторизації та ризиками неправильних налаштувань
- Отримаєте практичні навички виявлення та експлуатації вразливостей в API, а також застосування стратегій їхнього пом’якшення (безпечний дизайн, обмеження доступу, регулярні аудити)
-
17 заняття
Q&A-сесія
- Отримаєте відповіді на свої запитання від лектора
-
18 заняття
Мобільна безпека. Part 1
- Отримаєте навички аналізу мобільних застосунків
- Дізнаєтеся про методи атак на мобільні пристрої та застосунки
- Зрозумієте методи захисту мобільних екосистем
-
19 заняття
Мобільна безпека. Part 2
- Зрозумієте, як влаштована архітектура безпеки iOS-застосунків
- Зрозумієте, в яких випадках доцільно застосовувати іOS Jailbreak
- Дізнаєтеся про етапи перевірки вразливостей застосунків на iOS
- Опануєте інструменти пентесту iOS-застосунків
-
20 заняття
Хмарне тестування на проникнення
- Дізнаєтеся про методи та інструменти тестування безпеки хмар
- Отримаєте навички пошуку вразливостей в хмарних середовищах
- Зрозумієте основи захисту хмарних платформ
-
21 заняття
Тестування Wi-Fi мереж
- Зрозумієте основні принципи роботи й стандарти бездротових мереж Wi-Fi
- Зможете ідентифікувати найпоширеніші типи атак на Wi-Fi мережі та вразливості
- Налаштуєте інструментарій (aircrack-ng suite, інші утиліти) для проведення тестів на проникнення у Wi-Fi
- Виконаєте перехоплення та аналіз трафіку, деавтентифікаційні атаки, атаки на слабкі паролі
- Зможете формувати базові рекомендації щодо підвищення безпеки бездротових мереж
-
22 заняття
AI-безпека
- Зрозумієте, як працює LLM у контексті кібербезпеки
- Зрозумієте, на що варто звертати увагу з точки зору тестувальника безпеки при роботі з LLM
- Отримаєте навички тестування LLM на вразливості, розуміння процесу
-
23 заняття
Експлуатація ОС: Linux
- Зрозумієте різноманітні вектори підвищення привілеїв у Linux
- Отримаєте навички зловживання налаштуваннями системи, привілейованими групами та вразливими службами
- Дізнаєтеся про методи захисту й аудиту Linux-систем для запобігання експлуатації
-
24 заняття
Експлуатація ОС: Windows
- Зрозумієте основні техніки підвищення привілеїв у Windows
- Засвоїте навички зловживання налаштуваннями прав доступу, групових привілеїв та вразливих служб
- Дізнаєтеся про методи захисту Windows від експлуатації привілеїв
-
25 заняття
Експлуатація Windows та Linux на практиці
- Проведете privilege escalation у Linux та Windows у реалістичних сценаріях пентесту
- Навчитеся знаходити та експлуатувати типові помилки конфігурації в Linux і Windows-системах
- Здобудете практичний досвід роботи з інструментами автоматизованої розвідки та локальної ескалації привілеїв
- Будете експлуатувати вразливі служби, системні дозволи і привілейовані групи в двох операційних системах
-
26 заняття
Docker Container Penetration Testing
- Розумітимете загрози безпеки контейнерів
- Отримаєте навички аналізу і експлуатації вразливостей Docker
- Опануєте методи закріплення контейнерних середовищ
-
27 заняття
Пентест мереж і мережевих сервісів, тунелювання та обхід захистів
- Отримаєте розуміння процесу мережевого сканування та збору інформації
- Отримаєте навички експлуатації мережевих вразливостей
- Дізнаєтеся про техніки тунелювання та обходу захистів
- Отримаєте навички з латерального переміщення для розширення доступу
-
28 заняття
Q&A-сесія
- Отримаєте відповіді на свої запитання від лектора
-
29 заняття
Написання звіту
- Зрозумієте повний життєвий цикл пентесту: від первинного контакту з клієнтом — до верифікації усунених вразливостей
- Засвоїте структуру професійного звіту з пентесту (Executive Summary, Findings, Recommendations, Scope, Caveats, Appendix) та їхнє призначення
- Навчитеся формулювати знахідки та рекомендації так, щоб вони були зрозумілими як для технічної, так і для бізнес-аудиторії
- Отримаєте навички написання звіту з урахуванням вимог до чіткості, лаконічності, технічної точності й граматики
- Ознайомитесь із прикладами реальних пентест-звітів та дізнаєтесь, як AI-інструменти можуть допомогти у створенні якісних структурованих репортів
-
30 заняття
Розбір запитань на співбесіді
- Підготуєтесь до типових технічних і практичних запитань, які ставлять пентестерам на співбесідах
- Засвоїте, як правильно формулювати відповіді, демонструючи не лише знання теорії, але й практичний досвід
- Ознайомитесь із прикладами складних кейсів та дізнаєтесь, як їх ефективно презентувати рекрутеру або технічному інтерв’юеру
-
31 заняття
Презентація проєктів
- Навчитесь ефективно передавати інформацію клієнту
- Впевнитеся, що клієнт розуміє знайдені проблеми та шляхи їхнього розв’язання
- Дізнаєтесь, як формувати довіру між клієнтом і пентестером
реєстрація
Долучайтеся до навчання, щоб стати пентестером і зростати в галузі інформаційної безпеки. СТАРТ КУРСУ — СІЧЕНЬ 2027 року