К основному контенту
secenta
Войти
← /programs
[ INFOSEC · Средний уровень ]

Веб-уязвимости: OWASP Top 10

Курс уровня INTERMEDIATE по веб-уязвимостям OWASP Top 10: контроль доступа и инъекции, XSS, провалы аутентификации и криптографии, мисконфигурация, уязвимые компоненты и SSRF — с разбором первопричин, защиты и практикой на изолированном стенде.

Бесплатно3 нед4 ч4 модуля · 19 уроков4 бесплатных урока
[ Кому подойдёт ]

Кому подойдёт этот курс?

Программа рассчитана на разный старт — найдите себя.

Практикующим специалистам

Уже работаете в близкой роли — углубляете и достраиваете недостающие компетенции.

Тем, кто метит на рост

Целитесь в следующий грейд — закрываете пробелы перед повышением.

Командам

Подтягиваете коллег к общему уровню на одних и тех же кейсах и стендах.

[ Результат ]

Чему вы научитесь

Навыки, которые останутся с вами после курса — основные выделены.

🌐
Модель угроз веб-приложений
основная

OWASP Top 10, поверхность атаки, методология тестирования (WSTG) и инструменты.

💉
Контроль доступа и инъекции
основная

A01 (IDOR, path traversal) и A03 (SQL-, command-, NoSQL-инъекции): первопричины и защита.

🕷️
XSS и аутентификация
основная

Межсайтовый скриптинг по контекстам, провалы аутентификации/сессий и криптографии.

⚙️
Конфигурация, компоненты, SSRF

Мисконфигурация, уязвимые зависимости (Log4Shell), SSRF, целостность и логирование.

🛡️
Защита веб-приложений

Secure SDLC, defense in depth, цепочки атак и отчётность об аудите с CVSS/CWE.

[ Формат ]

Как проходит обучение?

Учитесь онлайн в удобном темпе — теория, проверка и практика в одном маршруте.

Конспекты и материалы

Текстовые лекции и справочники, к которым удобно возвращаться по ходу.

Тесты для самопроверки

Проверяете, что усвоили, сразу после темы — без зубрёжки.

Практика с проверкой

Выполняете задания и получаете обратную связь от преподавателя.

[ О программе ]

Подробнее о курсе

Полный практический курс уровня INTERMEDIATE по безопасности веб-приложений на базе OWASP Top 10 (2021). Курс продолжает базовую линейку (как устроен веб, основы ИБ, пентест периметра) и систематически разбирает ключевые классы веб-уязвимостей по единой схеме: ЧТО это / ПОЧЕМУ возникает (первопричина) / КАК эксплуатируется / КАК защититься. Вы изучите нарушение контроля доступа (IDOR, path traversal), инъекции (SQL, command, NoSQL), межсайтовый скриптинг (reflected/stored/DOM и контексты вывода), провалы аутентификации и управления сессиями, криптографические провалы и защиту чувствительных данных, мисконфигурацию и уязвимые компоненты (на примере Log4Shell, CVE-2021-44228), SSRF, провалы целостности и логирования, а также построение системной защиты (secure SDLC, defense in depth, цепочки атак). Практика выполняется на изолированном стенде платформы Secenta websec-portal-01: обход аутентификации через SQL-инъекцию и подтверждение reflected XSS. Завершается курс мини-отчётом об аудите с классификацией по OWASP/CWE и оценкой по CVSS v3.1. Все задания легальны и безопасны: вы работаете в песочнице, а не на реальных системах.

[ Программа · оглавление ]

4 модуля · 19 уроков

Модуль 1. Введение в безопасность веб-приложений

01 / модуль

Базовый модуль курса: как устроено веб-приложение на уровне клиент-сервер и HTTP, почему доверие пользовательскому вводу — корень почти всех уязвимостей, как читать карту рисков OWASP Top 10 (2021) и какими методологией и инструментами пользуется веб-тестировщик, оставаясь в правовом поле и работая только на изолированных стендах.

01
Как устроено веб-приложение и где рождаются уязвимости
Разбираем модель клиент-сервер и анатомию HTTP-обмена, объясняем, почему доверие пользовательскому вводу — первопричина большинства веб-багов, и составляем карту поверхности атаки.
СтатьяБесплатно
02
OWASP Top 10 (2021): карта рисков
Что такое OWASP и список Top 10, как им пользоваться как картой рисков, и обзор всех десяти категорий редакции 2021 года — от A01 Broken Access Control до A10 SSRF.
Статья🔒 после записи
03
Методология и инструменты тестирования
OWASP WSTG как чек-лист, перехватывающий прокси и DevTools, виды тестирования black/grey/white-box, а также главное правило — легальность и работа только на изолированных стендах.
Статья🔒 после записи
04
Зачётный тест: основы безопасности веба
Проверка усвоения: модель клиент-сервер, первопричина уязвимостей, поверхность атаки, назначение OWASP Top 10 и правила легального тестирования.
Тест🔒 после записи

Модуль 2. Контроль доступа и инъекции (A01, A03)

02 / модуль

Два самых результативных класса веб-атак: нарушение контроля доступа (A01) и инъекции (A03). Разбираем первопричины — доверие данным от клиента и смешение кода с данными — и учимся закрывать их серверной авторизацией и параметризацией.

01
A01: Нарушение контроля доступа
Почему контроль доступа лидирует в OWASP Top 10: IDOR, path traversal, доверие скрытым полям и эскалация привилегий — и как закрыть это серверной авторизацией по каждому ресурсу.
СтатьяБесплатно
02
A03: SQL-инъекции в деталях
Первопричина SQL-инъекций — конкатенация пользовательского ввода в текст запроса. Разбираем виды (UNION, error-based, blind), эксплуатацию и единственно надёжную защиту — параметризацию.
Статья🔒 после записи
03
Практика: обход входа через SQL-инъекцию
Эксплуатация SQL-инъекции в форме входа уязвимого веб-портала: подтверждение уязвимости, обход аутентификации и получение флага из защищённой панели.
Статья🔒 после записи
04
Другие инъекции: command, NoSQL, LDAP
SQL — лишь один из языков. Та же первопричина (смешение кода и данных) порождает OS command injection, NoSQL-инъекции, LDAP и инъекции в шаблонизаторы. Разбираем защиту через массив аргументов, аллоулисты и типизацию.
Статья🔒 после записи
05
Зачётный тест: контроль доступа и инъекции
Проверка понимания первопричин A01 и A03 и корректных мер защиты.
Тест🔒 после записи

Модуль 3. XSS, аутентификация и крипто-провалы (A03, A07, A02)

03 / модуль

Три класса уязвимостей из OWASP Top 10, которые бьют по пользователю напрямую: межсайтовый скриптинг (A03), провалы аутентификации и управления сессиями (A07) и криптографические провалы при защите чувствительных данных (A02). Разбираем первопричины, реальные нагрузки и меры защиты, бьющие в корень.

01
A03: Межсайтовый скриптинг (XSS)
Что такое XSS, его три типа (reflected, stored, DOM-based), почему он возникает и как защититься контекстным экранированием, CSP и HttpOnly-куками.
СтатьяБесплатно
02
Практика: подтверждение reflected XSS
Поиск точки отражения, определение контекста вывода и подтверждение исполнения скрипта на уязвимом веб-портале.
Статья🔒 после записи
03
A07: Провалы идентификации и аутентификации
Слабые пароли, brute-force и credential stuffing, небезопасные сессии (фиксация, неинвалидируемый токен), отсутствие MFA — и меры защиты в первопричину каждого провала.
Статья🔒 после записи
04
A02: Криптографические провалы и чувствительные данные
Чувствительные данные и провалы их защиты: передача без TLS, хранение паролей открыто или слабым хешем, самописные шифры, секреты в репозитории. Защита проверенными криптопримитивами.
Статья🔒 после записи
05
Зачётный тест: XSS, аутентификация, крипто
Проверка понимания первопричин и мер защиты для A03, A07 и A02.
Тест🔒 после записи

Модуль 4. Конфигурация, компоненты и системная защита

04 / модуль

Заключительный модуль курса OWASP Top 10: мисконфигурация (A05) и уязвимые компоненты (A06) на примере Log4Shell, серверные классы рисков — SSRF (A10), провалы целостности (A08) и логирования/мониторинга (A09), а также системный взгляд: цепочки атак, defense in depth и secure SDLC. Завершается итоговым отчётом об аудите и финальным тестом по всему курсу.

01
A05/A06: Мисконфигурация и уязвимые компоненты
Категории A05 (Security Misconfiguration) и A06 (Vulnerable and Outdated Components): дефолтные настройки, отладочные режимы наружу, лишние сервисы, отсутствие security-заголовков, открытые бакеты и устаревшие зависимости с известными CVE на примере Log4Shell.
СтатьяБесплатно
02
A10/A08/A09: SSRF, целостность и логирование
Серверные классы рисков: SSRF (A10) — заставить сервер ходить по чужому URL к внутренним сервисам и облачным метаданным; провалы целостности ПО и данных (A08) — десериализация, неподписанные обновления, отравление CI/CD; провалы логирования и мониторинга (A09) — атаку просто не видно.
Статья🔒 после записи
03
Системная защита: secure SDLC и цепочки атак
Как отдельные уязвимости объединяются в цепочки атак, почему чинить нужно первопричину, что такое defense in depth, валидация ввода и кодирование вывода, роль WAF как дополнительного слоя и встраивание безопасности в жизненный цикл разработки (secure SDLC).
Статья🔒 после записи
04
Итоговое задание: мини-отчёт об аудите
По итогам лабораторных работ (SQLi-обход входа и reflected XSS на стенде websec-portal-01) составить профессиональный мини-отчёт об аудите: резюме для бизнеса, классифицированные уязвимости с CVSS-вектором, шаги воспроизведения и рекомендации в первопричину.
Практика🔒 после записи
05
Финальный зачётный тест курса
Итоговая проверка по всем четырём модулям курса: классы OWASP Top 10, их первопричины и меры защиты, реальные CVE, цепочки атак, defense in depth и secure SDLC.
Тест🔒 после записи
[ Отзывы студентов ]

0 отзывов

Войдите, чтобы оставить отзыв.
Загрузка отзывов…