Penetration Testing Курс: Практичне навчання пентестингу та етичному хакінгу | robot_dreams
Зареєструватися
< онлайн-курс > < 31 заняття >
< підготовка до співбесіди >

PENETRATION TESTING

Опануйте інструменти пентестера, щоб знаходити вразливості й давати ефективні рекомендації щодо їхнього усунення

Максим Либа

Senior Security Testing Engineer в

EPAM Systems

Читати далі
Цей penetration testing курс для:
Розробників

які хочуть підвищити рівень безпеки власного коду, щоб захищати продукти від атак, розширити стек навичок або перейти в кібербезпеку

QA-інженерів

які хочуть перейти в пентестинг і розібратися в аспектах кібербезпеки, але не мають достатньо знань і практики на реальних продуктах

ІТ-фахівців інших напрямів

які хочуть розібратися в основах кібербезпеки та зрозуміти, як відбуваються кібератаки, де шукати вразливі місця в ІТ-системах і захищати їх

Результати курсу:

- знаєте основи кібербезпеки та penetration testing
- розумієтеся на мережевих технологіях і знаєте поширені вебвразливості
- вмієте налаштовувати середовище тестування та орієнтуєтеся в ключових інструментах пентестера
- обізнані у фішингу та соціальній інженерії
- проводите пентести для ОС, хмарних платформ, Wi-Fi-мереж, мобільних і вебзастосунків
- формуєте ґрунтовні та зрозумілі звіти
- готові до запитань на співбесіді у сфері кібербезпеки

До програми пентестинг-курсу входять:
01
ІНСТРУМЕНТИ

Ви опануєте десятки інструментів для тестування безпеки хмарних сервісів, ОС, Wi-Fi мереж, мобільних та вебзастосунків. Зокрема вивчите спеціалізовані ОС для пентестерів (Kali Linux), інструменти для тестування вебзастосунків (Burp Suite та Nuclei) та виявлення мережевих вразливостей (Nmap і Wireshark).

02
СТРАТЕГІЇ КІБЕРЗАХИСТУ

Навчитесь аналізувати безпеку з погляду зловмисників, щоб знаходити вразливі місця в системах і давати ефективні рекомендації з усунення вразливостей систем.

03
ПРАКТИКА

Відпрацюєте здобуті знання в середовищі «пісочниці», опануєте складні сценарії атак на вебзастосунки, АРІ, хмарні платформи, мобільні екосистеми та мережі.

04
КЕЙС У ПОРТФОЛІО

Організуєте й проведете пентест на виявлення вразливостей реальної системи, а потім підготуєте звіт з рекомендаціями та поясненнями як технічній, так і нетехнічній аудиторії.

Лектор
Максим Либа
Senior Security Testing Engineer в EPAM Systems
Має понад 5 років практичного досвіду в кібербезпеці, працював як у blue team, так і в red team
Основний фокус роботи: тестування на проникнення вебзастосунків, мобільних застосунків, API
Проводив пентести проєктів у галузях медицини, банкінгу, комунікацій тощо
У своїй роботі керується професійними стандартами: OWASP Application Security Verification Standard, OWASP Testing Guide, OWASP Top 10, OWASP API Security та OWASP Mobile Application Security Verification Standard
Має сертифікацію eWPTXv2
Неодноразовий учасник програми EPAM eKids, яка спрямована на навчання підлітків у різних сферах IT, зокрема кібербезпеці
Програма курсу
01
Вступ до кібербезпеки та Penetration Testing
  • Зрозумієте основи кібербезпеки, принципи CIA та важливість пентестингу
  • Розглянете основні ролі та напрями розвитку кар'єри у сфері кібербезпеки
  • Ознайомитесь з основними інструментами, які будуть використовуватися під час курсу
02
Основи мереж
  • Зрозумієте принципи роботи мереж та їхні основні типи (LAN, WAN, WLAN, VPN)
  • Ознайомитесь із моделями OSI та TCP/IP та ключовими мережевими протоколами
  • Навчитеся працювати з IP-адресацією та підмережами
  • Отримаєте практичні навички використання інструментів (Wireshark, Nmap, TCPdump) для сканування та аналізу трафіку
  • Зможете виявляти типові мережеві вразливості (DNS/DHCP, MITM, відкриті порти) й оцінювати пов’язані ризики
03
Налаштування середовища
  • Налаштуєте середовище для тестування на проникнення та зможете працювати з основними інструментами Kali Linux
  • Отримаєте розуміння життєвого циклу тестування на проникнення та навички підготовки технічних звітів
04
Основи роботи з ОС, серверами та хмарними провайдерами для пентесту
  • Зрозумієте основи роботи різних операційних систем
  • Дізнаєтеся основи Bash та Python для автоматизації задач пентестингу
  • Напишете базовий скрипт для пентесту
  • Зрозумієте хмарні сервіси та адміністрування віддалених серверів
  • Навчитесь автоматично розгортати інструменти на віддаленому сервері
05
Open Source Intelligence (OSINT): розвідка на основі відкритих джерел
  • Зрозумієте методології пошуку інформації з відкритих джерел для розширення поверхні атаки
  • Навчитеся користуватися основними інструментами OSINT
06
Фішинг та соціальна інженерія
  • Зрозумієте різні методології фішингових атак
  • Розробите й проведете фішингову кампанію
07
Вступ до експлуатації вебзастосунків
  • Зрозумієте основи вебзастосунків та їхньої архітектури
  • Дізнаєтеся про роль тестування на проникнення в Secure SDLC
  • Зрозумієте різницю між SAST, DAST та IAST
  • Зрозумієте значення CWE та CVE у безпеці
08
Налаштування Burp-Suite і знайомство з Nuclei
  • Встановите й налаштуєте Burp Suite для роботи з вебтрафіком
  • Ознайомитесь з основними модулями програми (Proxy, Scanner, Intruder, Repeater, Sequencer) та їхнім призначенням
  • Навчитеся перехоплювати й змінювати HTTP/HTTPS-запити за допомогою Burp Proxy
  • Зможете налаштувати проксі у браузері для інтеграції з Burp Suite
  • Отримаєте практичні навички захоплення та аналізу вебтрафіку для подальшого виявлення вразливостей
09
Client Side Vulnerabilities: XSS, CSRF
  • Зрозумієте принципи виникнення клієнтських вразливостей (XSS, CSRF)
  • Навчитесь ідентифікувати місця потенційних XSS у вебзастосунках та проводити успішні атаки для тестування
  • Зможете імітувати CSRF-атаки та розуміти механізми обходу автентифікації користувачів
  • Дізнаєтеся, як пропонувати й впроваджувати основні заходи захисту від XSS і CSRF (вихідне кодування, CSP, CSRF-токени)
  • Зможете пояснити розробникам кращі практики щодо безпеки на боці клієнта
10
SSRF, XXE attacks
  • Зрозумієте принципи SSRF- та XXE-вразливостей
  • Навчитесь ідентифікувати й експлуатувати SSRF- та XXE-вразливості
  • Дізнаєтеся про методи запобігання та пом'якшення ризиків цих вразливостей
11
SSTi, вразливості включення файлів
  • Зрозумієте принципи SSTi й вразливості включення файлів
  • Навчитеся виявляти й експлуатувати SSTi, LFI та RFI
  • Дізнаєтеся про заходи безпеки для запобігання цим вразливостям
12
Вразливості обходу директорій, SQL/NoSQL Injection
  • Зрозумієте суть SQL- та NoSQL-ін'єкцій
  • Отримаєте навички виявлення та експлуатації SQLi та NoSQLi
  • Дізнаєтеся про ефективні методи захисту баз даних від ін'єкцій
  • Попрацюєте з інструментами автоматизованого виявлення та постексплуатації SQL/NoSQL injection
13
RCE, ACE, Command Injection
  • Зрозумієте вразливості RCE, ACE та ін'єкції команд
  • Навчитесь експлуатувати ці вразливості в контрольованому середовищі
  • Дізнаєтеся про заходи безпеки для запобігання виконанню довільного коду й команд
14
Вразливості при завантаженні файлів
  • Зрозумієте ризики та вразливості, пов'язані з завантаженням файлів у вебзастосунках
  • Навчитеся виявляти й експлуатувати вразливості при завантаженні файлів
  • Дізнаєтеся про ефективні методи захисту вебзастосунків від небезпечного завантаження файлів
  • Ознайомитеся з інструментами й методиками для тестування завантаження файлів
15
Експлуатація вразливостей десеріалізації
  • Отримаєте глибоке розуміння процесів серіалізації та десеріалізації
  • Навчитеся виявляти й експлуатувати вразливості десеріалізації в різних мовах програмування
  • Здобудете знання ефективних методів захисту застосунків від небезпечної десеріалізації
  • Ознайомитеся з інструментами для аналізу та експлуатації вразливостей десеріалізації
16
Вразливості порушення контролю доступу, вразливості бізнес-логіки
  • Зрозумієте концепції контролю доступу та як їх можна порушити
  • Навчитеся виявляти й експлуатувати вразливості IDOR та бізнес-логіки
  • Дізнаєтеся про методи захисту від порушення контролю доступу та вразливостей бізнес-логіки
17
Атаки на JWT; OAuth і неправильні налаштування API
  • Зрозумієте принципи роботи JWT (структура, використання в автентифікації та авторизації) та основні вразливості токенів
  • Навчитеся проводити типові атаки на JWT: підробка токенів, маніпуляція заявами, повторне використання
  • Засвоїте методи захисту від атак на JWT: використання безпечних алгоритмів, валідація цілісності, контроль терміну дії токенів
  • Ознайомитесь із фреймворком OAuth 2.0, його потоками авторизації та ризиками неправильних налаштувань
  • Отримаєте практичні навички виявлення та експлуатації вразливостей в API, а також застосування стратегій їхнього пом’якшення (безпечний дизайн, обмеження доступу, регулярні аудити)
18
Q&A-сесія
  • Отримаєте відповіді на свої запитання від лектора
19
Мобільна безпека. Part 1
  • Отримаєте навички аналізу мобільних застосунків
  • Дізнаєтеся про методи атак на мобільні пристрої та застосунки
  • Зрозумієте методи захисту мобільних екосистем
20
Мобільна безпека. Part 2
  • Зрозумієте, як влаштована архітектура безпеки iOS-застосунків
  • Зрозумієте, в яких випадках доцільно застосовувати іOS Jailbreak
  • Дізнаєтеся про етапи перевірки вразливостей застосунків на iOS
  • Опануєте інструменти пентесту iOS-застосунків
21
Хмарне тестування на проникнення
  • Дізнаєтеся про методи та інструменти тестування безпеки хмар
  • Отримаєте навички пошуку вразливостей в хмарних середовищах
  • Зрозумієте основи захисту хмарних платформ
22
Тестування Wi-Fi мереж
  • Зрозумієте основні принципи роботи й стандарти бездротових мереж Wi-Fi
  • Зможете ідентифікувати найпоширеніші типи атак на Wi-Fi мережі та вразливості
  • Налаштуєте інструментарій (aircrack-ng suite, інші утиліти) для проведення тестів на проникнення у Wi-Fi
  • Виконаєте перехоплення та аналіз трафіку, деавтентифікаційні атаки, атаки на слабкі паролі
  • Зможете формувати базові рекомендації щодо підвищення безпеки бездротових мереж
23
AI-безпека
  • Зрозумієте, як працює LLM у контексті кібербезпеки
  • Зрозумієте, на що варто звертати увагу з точки зору тестувальника безпеки при роботі з LLM
  • Отримаєте навички тестування LLM на вразливості, розуміння процесу
24
Експлуатація ОС: Linux
  • Зрозумієте різноманітні вектори підвищення привілеїв у Linux
  • Отримаєте навички зловживання налаштуваннями системи, привілейованими групами та вразливими службами
  • Дізнаєтеся про методи захисту й аудиту Linux-систем для запобігання експлуатації
25
Експлуатація ОС: Windows
  • Зрозумієте основні техніки підвищення привілеїв у Windows
  • Засвоїте навички зловживання налаштуваннями прав доступу, групових привілеїв та вразливих служб
  • Дізнаєтеся про методи захисту Windows від експлуатації привілеїв
26
Docker Container Penetration Testing
  • Отримаєте розуміння загроз безпеці контейнерів
  • Засвоїте навички аналізу та експлуатації вразливостей Docker
  • Дізнаєтеся про методи закріплення контейнерних середовищ
27
Пентест мереж і мережевих сервісів, тунелювання та обхід захистів
  • Отримаєте розуміння процесу мережевого сканування та збору інформації
  • Отримаєте навички експлуатації мережевих вразливостей
  • Дізнаєтеся про техніки тунелювання та обходу захистів
  • Отримаєте навички з латерального переміщення для розширення доступу
28
Написання звіту
  • Зрозумієте повний життєвий цикл пентесту — від первинного контакту з клієнтом до верифікації усунених вразливостей
  • Засвоїте структуру професійного звіту з пентесту (Executive Summary, Findings, Recommendations, Scope, Caveats, Appendix) та їхнє призначення
  • Навчитеся формулювати знахідки та рекомендації так, щоб вони були зрозумілими як для технічної, так і для бізнес-аудиторії
  • Отримаєте навички написання звіту з урахуванням вимог до чіткості, лаконічності, технічної точності й граматики
  • Ознайомитесь із прикладами реальних пентест-звітів та дізнаєтесь, як AI-інструменти можуть допомогти у створенні якісних структурованих репортів
29
Розбір запитань на співбесіді
  • Підготуєтесь до типових технічних і практичних запитань, які ставлять пентестерам на співбесідах
  • Засвоїте, як правильно формулювати відповіді, демонструючи не лише знання теорії, але й практичний досвід
  • Ознайомитесь із прикладами складних кейсів та дізнаєтесь, як їх ефективно презентувати рекрутеру або технічному інтерв’юеру
30
Презентація проєктів
  • Навчитесь ефективно передавати інформацію клієнту
  • Впевнитеся, що клієнт розуміє знайдені проблеми та шляхи їхнього розв’язання
  • Дізнаєтесь, як формувати довіру між клієнтом і пентестером
31
Q&A-сесія
  • Отримаєте відповіді на свої запитання від лектора

Реєстрація



Підключайтеся до навчання, щоб стати пентестером і зростати в галузі інформаційної безпеки.

СТАРТ КУРСУ — У СЕРПНІ 2026 РОКУ
 
 
 
Реєструючись, ви погоджуєтесь з умовами договору-оферти та політикою конфіденційності.