Pentest для QA на стероидах [Stepik] [Александр Six-Skills]
Этот курс поможет тестировщику системно подойти к вопросам безопасности: понять, где искать уязвимости, как их отличать от обычных багов, как оценивать риски и взаимодействовать с безопасниками.
Разбираются реальные уязвимости в веб-приложениях и API — от IDOR и XSS до ошибок бизнес-логики, SSRF, race condition и небезопасной авторизации. Всё объясняется с точки зрения QA: как находить, как тестировать, как описывать.
Материал ориентирован на практику и легко встраивается в повседневную работу — без избыточной теории или "хакинга ради хакинга".
Чему вы научитесь:
Вводная
Этот курс поможет тестировщику системно подойти к вопросам безопасности: понять, где искать уязвимости, как их отличать от обычных багов, как оценивать риски и взаимодействовать с безопасниками.
Разбираются реальные уязвимости в веб-приложениях и API — от IDOR и XSS до ошибок бизнес-логики, SSRF, race condition и небезопасной авторизации. Всё объясняется с точки зрения QA: как находить, как тестировать, как описывать.
Материал ориентирован на практику и легко встраивается в повседневную работу — без избыточной теории или "хакинга ради хакинга".
- Удобный формат теории — весь материал представлен в виде лаконичных конспектов и скриншотов.
- Полезные практические задания — как авторские, так и с отсылкой к реальным платформам.
- Проверка заданий — все задания проходят либо автоматическую, либо ручную проверку. В случае ручной — вы получите развёрнутую обратную связь с пояснениями.
- Подготовка к собеседованиям — многие теоретические блоки структурированы как ответы на реальные вопросы рекрутеров.
- Регулярные обновления — курс пополняется актуальными материалами, чтобы вы оставались в контексте рынка.
Чему вы научитесь:
- Понимать, какие уязвимости бывают в веб-приложениях и API
- Отличать баги от рисков, которые реально угрожают бизнесу
- Находить ошибки в логике и проверках доступа
- Проверять безопасность обычных фич: логин, заказы, профили, купоны
- Формулировать уязвимости как понятные баг-репорты
- Тестировать безопасность ручками: без сложных скриптов
- Использовать Burp Suite и другие инструменты для базового пентеста
- Имитировать атаки вроде IDOR, XSS, SSRF, CSRF, Race Condition
- Разбираться в приоритете уязвимостей: что критично, а что нет
- Добавлять проверку безопасности в обычные тест-кейсы и чек-листы
- 32 урока
- 118 тестов
- 6 интерактивных задач
Вводная
- Приветствие
- Почему QA-специалисту нужен «пентестерский» взгляд
- Основы информационной безопасности
- Пентест vs обычное функциональное тестирование
- Терминология и ключевые понятия
- OWASP Top 10: краткий обзор
- Мини-практика
- Этические и правовые аспекты пентеста
- Работа с Burp Suite
- Обзор основных инструментов
- Мини-практика
- Методы пассивного и активного сбора информации
- Сети
- Сканирование сети и веб-приложений
- Практическая работа: разведка целевого веб-приложения
- XSS — Cross-site scripting
- CSRF — Cross-site Request Forgery
- SSRF — Server-Side Request Forgery
- SSTI — Server Side Template Injection
- XXE — XML External Entity
- IDOR — Insecure Direct Object References
- SQL Injection
- Race Condition / Rate Limit
- Open Redirect
- File upload vulnerabilities
- Небезопасная десериализация
- Уязвимости бизнес-логики
- Основные уязвимости API
- Общая методология
- Brute-force
- Рекомендуемые источники
- Слова напутствия, тем кто дошел до конца!
- Действующий техлид QA (fullstack) с 9-летним опытом работы в таких областях, как финтех (forex), госсектор и embedded finance платформы.
- Мой стек: Pytest, Gatling, JMeter, k6, Rabbit, Kafka, k8s, Allure, ReportPortal, Docker, GitlabCi
https://stepik.org/course/240387/promo