Pentest для QA на стероидах [Stepik] [Александр Six-Skills]

Складчина: Pentest для QA на стероидах [Stepik] [Александр Six-Skills]

Этот курс поможет тестировщику системно подойти к вопросам безопасности: понять, где искать уязвимости, как их отличать от обычных багов, как оценивать риски и взаимодействовать с безопасниками.

Разбираются реальные уязвимости в веб-приложениях и API — от IDOR и XSS до ошибок бизнес-логики, SSRF, race condition и небезопасной авторизации. Всё объясняется с точки зрения QA: как находить, как тестировать, как описывать.

Материал ориентирован на практику и легко встраивается в повседневную работу — без избыточной теории или "хакинга ради хакинга".

• Удобный формат теории — весь материал представлен в виде лаконичных конспектов и скриншотов.
• Полезные практические задания — как авторские, так и с отсылкой к реальным платформам.
• Проверка заданий — все задания проходят либо автоматическую, либо ручную проверку. В случае ручной — вы получите развёрнутую обратную связь с пояснениями.
• Подготовка к собеседованиям — многие теоретические блоки структурированы как ответы на реальные вопросы рекрутеров.
• Регулярные обновления — курс пополняется актуальными материалами, чтобы вы оставались в контексте рынка.

Этот курс — уверенный старт в направлении безопасного тестирования и понимания уязвимостей

Чему вы научитесь:

• Понимать, какие уязвимости бывают в веб-приложениях и API
• Отличать баги от рисков, которые реально угрожают бизнесу
• Находить ошибки в логике и проверках доступа
• Проверять безопасность обычных фич: логин, заказы, профили, купоны
• Формулировать уязвимости как понятные баг-репорты
• Тестировать безопасность ручками: без сложных скриптов
• Использовать Burp Suite и другие инструменты для базового пентеста
• Имитировать атаки вроде IDOR, XSS, SSRF, CSRF, Race Condition
• Разбираться в приоритете уязвимостей: что критично, а что нет
• Добавлять проверку безопасности в обычные тест-кейсы и чек-листы

В курс входят

• 32 урока
• 118 тестов
• 6 интерактивных задач

Программа курса:
Вводная

• Приветствие

• Почему QA-специалисту нужен «пентестерский» взгляд

Введение в пентест для QA

• Основы информационной безопасности
• Пентест vs обычное функциональное тестирование
• Терминология и ключевые понятия
• OWASP Top 10: краткий обзор
• Мини-практика

Этические и правовые аспекты пентеста

• Этические и правовые аспекты пентеста

Подготовка среды и инструменты

• Работа с Burp Suite
• Обзор основных инструментов
• Мини-практика

Разведка и сканирование (Reconnaissance & Scanning)

• Методы пассивного и активного сбора информации
• Сети
• Сканирование сети и веб-приложений
• Практическая работа: разведка целевого веб-приложения

Распространённые уязвимости и их эксплуатация

• XSS — Cross-site scripting
• CSRF — Cross-site Request Forgery
• SSRF — Server-Side Request Forgery
• SSTI — Server Side Template Injection
• XXE — XML External Entity
• IDOR — Insecure Direct Object References
• SQL Injection
• Race Condition / Rate Limit
• Open Redirect
• File upload vulnerabilities
• Небезопасная десериализация
• Уязвимости бизнес-логики
• Основные уязвимости API

Бонус

• Общая методология
• Brute-force
• Рекомендуемые источники

Заключение

• Слова напутствия, тем кто дошел до конца!

Автор: Александр Six-Skills

• Действующий техлид QA (fullstack) с 9-летним опытом работы в таких областях, как финтех (forex), госсектор и embedded finance платформы.
• Мой стек: Pytest, Gatling, JMeter, k6, Rabbit, Kafka, k8s, Allure, ReportPortal, Docker, GitlabCi

Цена: 1990 руб.
Скрытая ссылка