Скачать [Stepik] Pentest для QA на стероидах [Александр Six-Skills]

[Kail]

Ссылка на картинку

Этот курс поможет тестировщику системно подойти к вопросам безопасности: понять, где искать уязвимости, как их отличать от обычных багов, как оценивать риски и взаимодействовать с безопасниками.

Разбираются реальные уязвимости в веб-приложениях и API — от IDOR и XSS до ошибок бизнес-логики, SSRF, race condition и небезопасной авторизации. Всё объясняется с точки зрения QA: как находить, как тестировать, как описывать.

Материал ориентирован на практику и легко встраивается в повседневную работу — без избыточной теории или "хакинга ради хакинга".

• Удобный формат теории — весь материал представлен в виде лаконичных конспектов и скриншотов.
• Полезные практические задания — как авторские, так и с отсылкой к реальным платформам.
• Проверка заданий — все задания проходят либо автоматическую, либо ручную проверку. В случае ручной — вы получите развёрнутую обратную связь с пояснениями.
• Подготовка к собеседованиям — многие теоретические блоки структурированы как ответы на реальные вопросы рекрутеров.
• Регулярные обновления — курс пополняется актуальными материалами, чтобы вы оставались в контексте рынка.

Этот курс — уверенный старт в направлении безопасного тестирования и понимания уязвимостей

Чему вы научитесь

• Понимать, какие уязвимости бывают в веб-приложениях и API
• Отличать баги от рисков, которые реально угрожают бизнесу
• Находить ошибки в логике и проверках доступа
• Проверять безопасность обычных фич: логин, заказы, профили, купоны
• Формулировать уязвимости как понятные баг-репорты
• Тестировать безопасность ручками: без сложных скриптов
• Использовать Burp Suite и другие инструменты для базового пентеста
• Имитировать атаки вроде IDOR, XSS, SSRF, CSRF, Race Condition
• Разбираться в приоритете уязвимостей: что критично, а что нет
• Добавлять проверку безопасности в обычные тест-кейсы и чек-листы

Вводная

1. Приветствие
2. Почему QA-специалисту нужен «пентестерский» взгляд

Введение в пентест для QA

1. Основы информационной безопасности
2. Пентест vs обычное функциональное тестирование
3. Терминология и ключевые понятия
4. OWASP Top 10: краткий обзор
5. Мини-практика

Этические и правовые аспекты пентеста

1. Этические и правовые аспекты пентеста

Подготовка среды и инструменты

1. Работа с Burp Suite
2. Обзор основных инструментов
3. Мини-практика

Разведка и сканирование (Reconnaissance & Scanning)

1. Методы пассивного и активного сбора информации
2. Сети
3. Сканирование сети и веб-приложений
4. Практическая работа: разведка целевого веб-приложения

Распространённые уязвимости и их эксплуатация

1. XSS — Cross-site scripting
2. CSRF — Cross-site Request Forgery
3. SSRF — Server-Side Request Forgery
4. SSTI — Server Side Template Injection
5. XXE — XML External Entity
6. IDOR — Insecure Direct Object References
7. SQL Injection
8. Race Condition / Rate Limit
9. Open Redirect
10. File upload vulnerabilities
11. Небезопасная десериализация
12. Уязвимости бизнес-логики
13. Основные уязвимости API

Бонус

1. Общая методология
2. Brute-force
3. Рекомендуемые источники

Заключение

1. Слова напутствия, тем кто дошел до конца!

Показать больше