Пентестинг & Security QA & SDET
الذهاب إلى القناة على Telegram
Про кибербезопасность и пентест Здесь много полезной информации по Information Security, учитесь! Вакансии - @cybervacancies_channel Чат - @pentesting_channel_chat По вопросам сотрудничества и рекламы - @faroeman
إظهار المزيد6 690
المشتركون
-124 ساعات
+1477 أيام
+27430 أيام
جاري تحميل البيانات...
القنوات المماثلة
لا توجد بيانات
هل تواجه مشاكل؟ يرجى تحديث الصفحة أو الاتصال بمدير الدعم الخاص بنا.
سحابة العلامات
الإشارات الواردة والصادرة
---
---
---
---
---
---
جذب المشتركين
يوليو '26
يوليو '26
+17
في 0 قنوات
يونيو '26
+348
في 1 قنوات
Get PRO
مايو '26
+208
في 1 قنوات
Get PRO
أبريل '26
+225
في 3 قنوات
Get PRO
مارس '26
+749
في 2 قنوات
Get PRO
فبراير '26
+248
في 1 قنوات
Get PRO
يناير '26
+151
في 0 قنوات
Get PRO
ديسمبر '25
+115
في 0 قنوات
Get PRO
نوفمبر '25
+217
في 1 قنوات
Get PRO
أكتوبر '25
+371
في 1 قنوات
Get PRO
سبتمبر '25
+184
في 0 قنوات
Get PRO
أغسطس '25
+285
في 0 قنوات
Get PRO
يوليو '25
+197
في 0 قنوات
Get PRO
يونيو '25
+161
في 0 قنوات
Get PRO
مايو '25
+208
في 0 قنوات
Get PRO
أبريل '25
+235
في 0 قنوات
Get PRO
مارس '25
+443
في 1 قنوات
Get PRO
فبراير '25
+511
في 0 قنوات
Get PRO
يناير '25
+371
في 2 قنوات
Get PRO
ديسمبر '24
+268
في 3 قنوات
Get PRO
نوفمبر '24
+181
في 1 قنوات
Get PRO
أكتوبر '24
+200
في 2 قنوات
Get PRO
سبتمبر '24
+54
في 0 قنوات
Get PRO
أغسطس '24
+55
في 0 قنوات
Get PRO
يوليو '24
+50
في 0 قنوات
Get PRO
يونيو '24
+40
في 0 قنوات
Get PRO
مايو '24
+41
في 0 قنوات
Get PRO
أبريل '24
+55
في 0 قنوات
Get PRO
مارس '24
+45
في 0 قنوات
Get PRO
فبراير '24
+65
في 0 قنوات
Get PRO
يناير '24
+58
في 0 قنوات
Get PRO
ديسمبر '23
+60
في 0 قنوات
Get PRO
نوفمبر '23
+62
في 0 قنوات
Get PRO
أكتوبر '23
+100
في 0 قنوات
Get PRO
سبتمبر '23
+56
في 0 قنوات
Get PRO
أغسطس '23
+71
في 0 قنوات
Get PRO
يوليو '23
+107
في 0 قنوات
Get PRO
يونيو '23
+120
في 0 قنوات
Get PRO
مايو '23
+165
في 0 قنوات
Get PRO
أبريل '23
+131
في 0 قنوات
Get PRO
مارس '23
+112
في 0 قنوات
Get PRO
فبراير '23
+74
في 0 قنوات
Get PRO
يناير '23
+100
في 0 قنوات
Get PRO
ديسمبر '22
+108
في 0 قنوات
Get PRO
نوفمبر '22
+91
في 0 قنوات
Get PRO
أكتوبر '22
+83
في 0 قنوات
Get PRO
سبتمبر '22
+104
في 0 قنوات
Get PRO
أغسطس '22
+99
في 0 قنوات
Get PRO
يوليو '22
+90
في 0 قنوات
Get PRO
يونيو '22
+90
في 0 قنوات
Get PRO
مايو '22
+125
في 0 قنوات
Get PRO
أبريل '22
+75
في 0 قنوات
Get PRO
مارس '22
+106
في 0 قنوات
Get PRO
فبراير '22
+74
في 0 قنوات
Get PRO
يناير '22
+121
في 0 قنوات
Get PRO
ديسمبر '21
+49
في 0 قنوات
Get PRO
نوفمبر '21
+278
في 0 قنوات
Get PRO
أكتوبر '21
+77
في 0 قنوات
Get PRO
سبتمبر '21
+42
في 0 قنوات
Get PRO
أغسطس '21
+41
في 0 قنوات
Get PRO
يوليو '21
+66
في 0 قنوات
Get PRO
يونيو '21
+114
في 0 قنوات
Get PRO
مايو '21
+259
في 0 قنوات
Get PRO
أبريل '21
+81
في 0 قنوات
Get PRO
مارس '21
+546
في 0 قنوات
| التاريخ | نمو المشتركين | الإشارات | القنوات | |
| 01 يوليو | +17 |
منشورات القناة
🌐 Что такое DNS в локальной сети?
Когда начинают изучать инфраструктурный пентест, многие воспринимают DNS просто как сервис, который переводит:
google.com → IP-адресНо внутри корпоративной сети DNS играет гораздо более важную роль.
📌 DNS (Domain Name System) — это система, которая помогает компьютерам находить друг друга по имени, а не по IP-адресу.Например, вместо того чтобы запоминать:
192.168.1.15можно обратиться к серверу по имени:
fileserver.company.localили
dc01.company.localДавайте представим компанию, где работают 500 сотрудников. Запомнить IP-адреса всех серверов невозможно. Именно поэтому практически вся корпоративная инфраструктура строится вокруг DNS. Через DNS пользователи находят: — Domain Controller — файловые серверы — веб-приложения — почтовые серверы — принтеры — внутренние сервисы 💀 Почему DNS интересен пентестеру? Потому что он может рассказать об инфраструктуре намного больше, чем кажется. Например, по DNS-именам можно узнать: — названия серверов — структуру домена — используемые сервисы — внутренние подсети — потенциально интересные цели для дальнейшего анализа 📌 Именно поэтому после попадания в локальную сеть пентестер старается понять не только: какие IP-адреса существуют, но и: какие имена скрываются за этими адресами.
DNS — один из первых источников информации при разведке внутренней сети. И чем лучше вы понимаете, как он работает, тем легче ориентироваться в чужой инфраструктуре.#infra #ad #dns
| 2 | Новое видео на канале
Что такое XSS и какие виды бывают?
Постарался простым языком рассказать.
НО - я знаю не все поймут с первого раза, тема не простая и это НОРМАЛЬНО
НО!
Я буду скоро заливать также технические видео, где мы на примере будет смотреть и щупать что это
С вам - лайчонок, коммент и подписка
Помогите расшатать алгоритмы Ютаба
Спасибо и приятного просмотра
https://youtu.be/AJtY9o37eEo?si=uhRCHTGhBPlmANzH | 285 |
| 3 | Многие термины в кибере часто кажутся не понятными ...
Я тут думал как студенту по простому объяснить, что такое Server Side Request Forgery
Ну и короче откопал в нейронке офигенное объяснение ..
Читайте ниже..
SSRF (Server Side Request Forgery)
Ты не можешь войти в закрытый офис.
Но просишь охранника (сервер): «сходи на склад и принеси мне, что там написано».
Охранник внутри - у него доступ есть.
SSRF - это когда API выполняет такую «просьбу» по подставному URL.
По-моему понятнее уже некуда)))
А это я, сижу пью кофе и думаю как сделать из вас еще более крутых спецов ! | 315 |
| 4 | ⚡️ Что такое Blind XSS и как она работает
Blind XSS (слепая межсайтовая скриптовая уязвимость) - это подвид хранимой (Stored) XSS. Её главная особенность: вредоносный JavaScript-код внедряется на одном ресурсе, а срабатывает в совершенно другом интерфейсе (часто внутреннем или административном), к которому у самого атакующего нет прямого доступа.
Механизм уязвимости
- Внедрение: Атакующий отправляет вредоносный скрипт через общедоступные формы, данные из которых сохраняются в систему.
- Входной точкой могут быть поля обратной связи, тикеты техподдержки, имена при регистрации или даже HTTP-заголовки (например, User-Agent), если они записываются в логи.
- Ожидание: Скрипт находится в базе данных в пассивном состоянии. Атакующий не получает мгновенного ответа от сервера и не знает, сработает ли его payload.
Исполнение: Внутренний пользователь (администратор, модератор, сотрудник службы безопасности) открывает свою панель управления для проверки логов или тикетов.
Если административное приложение выводит сохраненные данные в браузер без предварительной очистки, внедренный JavaScript-код выполняется в контексте сессии этого сотрудника.
🛠 Особенности тестирования
Поскольку атакующий не видит админку и результат выполнения кода, стандартные методы вроде alert(1)здесь не работают. Для поиска Blind XSS применяются Out-of-Band (OOB) техники:
- Внутрь payload закладывается логика отправки скрытого запроса на внешний хост, контролируемый тестировщиком.
- Для автоматизации используются специализированные платформы (например, XSS Hunter или Interactsh).
- Факт уязвимости подтверждается только тогда, когда на внешний сервер приходит обратный вызов (callback). Вместе с ним обычно передаются данные о внутреннем окружении: URL скрытой панели управления, DOM-структура страницы, IP-адрес и сессионные маркеры.
🛡 Способы защиты
- Контекстное экранирование на выводе: Административные панели и системы работы с логами должны обрабатывать поступающие из базы данные так же строго, как и внешние. Все спецсимволы HTML должны преобразовываться в безопасные сущности перед рендерингом страницы.
- Строгая политика CSP (Content Security Policy): Настройка политик во внутренних интерфейсах, запрещающая выполнение инлайновых скриптов и ограничивающая отправку запросов на неизвестные внешние домены.
- Флаг HttpOnly для сессионных кук: Защита идентификаторов сессии от чтения через JavaScript, что предотвращает их кражу даже в случае успешного выполнения XSS.
Привет! | 383 |
| 5 | Автоматизация на Playwright. Вышло новое видео по локаторам и как установить SelectorHub. 😃
Это третье видео из серии курса Автоматизация тестирования, который я буду постепенно выкладывать.
Обучайтесь на здоровье. 🙃
С вас лайчонок, коммент, подписка или хотя бы что-то из этого))))
Дальше будет больше видео по автоматизации и безопасности веб-приложений.
https://youtu.be/-7g6jcumcsE | 484 |
| 6 | Что такое DevSecOps и почему вокруг этой профессии столько шума
Если максимально упростить, DevSecOps -это специалист, который внедряет безопасность прямо в процесс разработки программного обеспечения.
—-Раньше всё работало так: программисты пишут код, тестировщики его проверяют, сисадмины выкатывают на сервер. И только в самый последний момент проект отдавали отделу безопасности.
Безопасники находили кучу уязвимостей, возвращали всё назад, сроки срывались, все ругались.
DevSecOps ломает эту схему. Его задача - сделать так, чтобы код проверялся на уязвимости автоматически, на каждом этапе написания, а не в самом конце.
Чем конкретно занимается этот человек?
* Настраивает автоматические сканеры. Как только разработчик сохраняет кусок кода, специальный софт сразу проверяет его на известные баги, "дыры" и слитые пароли.
* Защищает инфраструктуру. Настраивает доступы к серверам и базам данных так, чтобы условный хакер не мог зайти туда одной левой.
* Дружит разработку и безопасность. Он не просто говорит “так нельзя”, а настраивает инструменты (CI/CD пайплайны), которые помогают программистам писать защищенный код быстрее.
Почему это сейчас в тренде и дорого стоит?
1. Экономия денег. Найти и исправить ошибку в безопасности, пока код еще пишется, в десятки раз дешевле, чем чинить приложение, которое уже взломали и обокрали в продакшене.
2. Дикий дефицит кадров. Обычных программистов много. Безопасников тоже хватает (на самом деле не хватает). А вот людей, которые одновременно понимают, как пишется код, как работают сервера (DevOps) и как устроены хакерские атаки (Sec) - единицы.
По сути, это логическая эволюция DevOps-инженера. Если вы уже умеете настраивать сервера и автоматизировать деплой, добавление навыков безопасности (OWASP, аудит контейнеров, сканеры уязвимостей) автоматически переводит вас в ТОП по востребованности и зарплате. | 510 |
| 7 | Ребят немного личного
Сегодня я охренел от того, что написал ученик.
Мы с ученицей уже 3 месяца изучаем программирование + автоматизацию тестирования.
Все было супер, все нравится, результаты у нее супер, еще месяц-два и мы бы закончили полное обучение.
И тут она мне пишет, что прекращает обучение, потому что ей сказали, что сейчас в ИТ не найти работу.
Что за пзц ... Не, я все понимаю, рынок сложный, сложнее в разы чем 2021 год, но *ля, она уже отучилась процентов на 70%.
Короче ей какие-то знакомые сказали (не связанные ВООБЩЕ с ИТ), что сейчас 0 шансов найти работу.
Прикол в том если бы она не тянула, но она тянула.
У меня ребята кто вот-вот закончил учиться сейчас ходят на собесы (они из США), (пока не нашли, но я знаю что найдут).
Да, сложно, да, долго, но блин... вот так бросать на полпути хз. 🥲
Я ей сказал, что пусть доучится уже, хотя бы будут полные знания, она сказала что подумает и уже неделю нету от нее ответа)))
Что думаете, вы бы бросили на ее месте, если бы услышали мнение от человека далекого от ИТ? | 589 |
| 8 | А ведь многие не знают, что я раньше вел Ютуб канал и теперь я делаю его возращение
Вчера вышел первый спустя перерыв ролик, где мы устанавливаем Playrwight - это самый мощный фреймворк по автоматизации
Этот фреймворк отлично подойдет для тех, кто хочет стать QA Automation Engineer или же тем, кто метит в кибербез
На этом фреймворке отлично можно автоматизировать проверки Security
Сегодня мы написали первый автотест
Ребят, я знаю вам не слонжо, черканите коммент, поставьте лайк, подпишитесь
Это поможет разогнать алгоритмы, а я буду радовать вас контентом
Спасибо!
https://youtu.be/8-AdGeLIeY8?si=-enyokgS7l-oEFQU | 621 |
| 9 | Что такое Group Policy (GPO)?
Представьте компанию на 1000 компьютеров.
Как заставить все компьютеры:
— обновляться
— использовать одинаковые настройки
— устанавливать нужный софт
— соблюдать требования безопасности
Вручную это невозможно.
📌 Для этого существуют Group Policy (GPO).
GPO позволяют централизованно управлять всей инфраструктурой.
⚡️ Через GPO можно:
— отключать USB
— устанавливать программы
— менять политики паролей
— запускать скрипты
— управлять настройками Windows
Почему это интересно пентестеру?
Потому что компрометация GPO может дать:
— выполнение кода сразу на большом количестве машин
— закрепление в инфраструктуре
— распространение по сети
🧠 Поэтому при анализе Active Directory GPO всегда заслуживают отдельного внимания.
#infra #ad #gpo | 602 |
| 10 | Кто такой Domain Admin?
Если спросить пентестера:
Какая главная цель внутри Active Directory?
Ответ обычно один:
Domain Admin
📌 Domain Admin — это группа пользователей с максимальными правами внутри домена.
Такой пользователь может:
— создавать учётные записи
— менять пароли
— управлять серверами
— изменять политики
— получать доступ практически ко всей инфраструктуре
Поэтому типичная цепочка атаки выглядит так:
Обычный пользователь
↓
Локальный администратор
↓
Domain Admin
↓
Полный контроль домена
🧠 Именно получение Domain Admin часто становится главной целью внутреннего пентеста.
#infra #ad #domainadmin | 623 |
| 11 | 🛠 Редкий инструмент для реверс-инжиниринга: Tetrane REVEN
Если вы занимаетесь анализом малвари или поиском уязвимостей, то знаете, как долго приходится по шагам перезапускать отладчик.
Инструмент Tetrane REVEN решает эту проблему принципиально другим способом.
Его главная фишка — Time Travel Debugging (отладка с перемещением во времени).
Как это работает?
REVEN записывает всю работу операционной системы или конкретной программы в виртуальной машине. После этого вы получаете полную историю выполнения, по которой можно свободно перемещаться.
Что он умеет:
— Шаг назад: Вы можете отматывать выполнение кода в обратную сторону. Если программа упала, можно сразу посмотреть, что произошло за секунду до этого.
- Анализ данных (Taint Analysis): Можно кликнуть на любую переменную в памяти и мгновенно увидеть всю цепочку — откуда эти данные пришли и какие функции их изменяли.
- Интеграция с IDA Pro и Ghidra: REVEN работает в связке с привычными дизассемблерами, синхронизируя код и историю его выполнения.
- Python API: Позволяет писать скрипты для автоматического поиска багов в записанном логе.
Минусы:
- Инструмент требует много ресурсов (запись нескольких секунд работы может весить гигабайты) и платный для компаний.
- Альтернативы: Если хочется попробовать сам коммерческий REVEN, у них есть бесплатная Community-версия. Из полностью бесплатных аналогов с похожим принципом работы можно взять rr (для Linux) или встроенный Time Travel Debugging в WinDbg (для Windows).
Пользуйтесь!
#cybersecurity #reverseengineering #tools #reven | 617 |
| 12 | ⚡️У всех в телеге куча каналов про IT, которые годами висят в архиве непрочитанными.
Чтобы не тратить время на поиск нормальных авторов, мы собрали их в папку IT-HUB.
Там сидят ребята из совершенно разных сфер - от разработки и архитектуры до менеджмента. Объединяет всех одно: люди пишут сами, про свой опыт, а не репостят чужие статьи ради охватов.
Полистайте на досуге, точно найдете для себя пару-тройку каналов, которые захочется читать регулярно
Забрать всю папку можно в один клик👈🏻 | 716 |
| 13 | 🧩 Разбор задачки
Многие сразу написали правильный ответ 👏
В данном случае мы наблюдаем классический пример:
👉 IDOR (Insecure Direct Object Reference)
📌 В чём проблема?
Пользователь запрашивает:
GET /api/profile?id=125
и получает свой профиль.
Но после изменения параметра:
GET /api/profile?id=126
сервер без каких-либо дополнительных проверок отдаёт данные другого пользователя.
💀 Почему это происходит?
Потому что приложение проверяет:
👉 авторизован ли пользователь
Но не проверяет:
👉 имеет ли он право просматривать объект с id=126
По сути логика выглядит так:
Пользователь вошёл в систему?
↓
Да
↓
Отдать объект с указанным ID
А должно быть:
Пользователь вошёл в систему?
↓
Да
↓
Объект принадлежит пользователю?
↓
Да
↓
Отдать данные
⚡️ Насколько это опасно?
Зависит от того, что находится за объектом.
Это могут быть:
— профили пользователей
— заказы
— документы
— счета
— медицинские данные
— фотографии
— внутренние отчёты
Иногда одна такая ошибка позволяет получить доступ к данным всей базы пользователей.
🧠 Что стоит проверить дальше?
Если нашли подобное место, обычно начинают проверять:
— соседние ID
124
125
126
127
128
— другие API-методы
GET
POST
PUT
DELETE
— изменение чужих объектов
Например:
PUT /api/profile?id=126
Потому что чтение чужих данных — это уже плохо.
Но если получится ещё и изменять их:
👉 impact становится значительно серьёзнее.
то это почти всегда повод внимательно проверить логику доступа.
🔥 Именно поэтому IDOR до сих пор остаётся одной из самых частых находок в Bug Bounty и веб-пентесте.
#web #idor #owasp #practice | 763 |
| 14 | لا يوجد نص... | 785 |
| 15 | 🧩 Небольшая задачка на внимательность
Во время тестирования веб-приложения был обнаружен запрос:
GET /api/profile?id=125
После изменения параметра:
GET /api/profile?id=126
сервер вернул данные другого пользователя.
🤔 Какую проблему вы бы заподозрили в первую очередь?
Пройдите опрос ниже👇
Вечером разберём ответ и посмотрим, на что ещё стоит обратить внимание при такой находке. | 794 |
| 16 | لا يوجد نص... | 1 |
| 17 | لا يوجد نص... | 1 |
| 18 | Мой препод по киберу был прав в 2009 году, когда говорил - учите ребята IT, работы будет только больше, зарплаты топ.
Как же он был прав.
Прошло уже 17 лет с 1 курса универа, а я помню еще как мы делали лабы по CISCO с Packet Tracer.
Ребят, сейчас идет переходный период с приходом AI.
Кажется, что кризис и тд
Но, если смотреть на сферу кибера, то я вижу тенденцию 5 лет назад и сейчас, и работы стало больше.
Дада, вы скажите, но не так много в кибере вакансий, как на тестировщика или разраба.
Да, это факт. Но зачем вам идти в разрабы, где бешеная конкуренция и где джуновский код напишет любая ИИшка(хотя я не утверждаю, что ИИ заменить разрабов, Нет и еще раз нет), но тут вопрос в конкуренции в востребованности и зарплат.
Кибер - это САМАЯ востребованная сфера в ИТ.
Работа будет ВСЕГДА, пока есть хацкеры(а воры и преступники будут всегда, были и будут во все века)
Обучайтесь! Все материалы есть в открытом доступе БЕСПЛАТНО!
Но а кто застрял, я помогу. | 880 |
| 19 | Я могу помочь тебе освоить профессию Инженера по Кибербезопасности.
Обучение займет 5-7 месяцев, все зависит от того, как усердно ты будешь обучаться.
Значит ли это, что ты пройдешь обучение 7 месяцев и все на этом точка?
Нет! Это лишь те знания, чтобы стартануть и устроиться на работу джуном.
Учиться придется всегда, потому что сфера развивается, вам надо будет развиваться тоже.
Но и зарплаты и перспективы хорошие в данном направлении.
Программа обучения такая
Модуль 1. Фундамент безопасности
Как работает интернет: HTTP/HTTPS, DNS
* Как устроен веб (frontend vs backend)
* Архитектура приложений
* REST API, JSON, headers
Модуль 2. Linux + среда хакера
* Работа в Linux (Kali / Ubuntu)
* Bash команды (реально нужные)
* Работа с сетью (netstat, curl)
* Прокси и перехват трафика
Модуль 3. Разведка и поиск поверхностей атаки
* Nmap (глубоко, не просто “скан”)
* OSINT (поиск информации о цели)
* Gobuster / dirsearch
* Поиск API-эндпоинтов
Модуль 4. Веб-уязвимости (практика на машинах)
* IDOR / BOLA
* Path Traversal
* XSS
* Broken Auth
* SQL Injection
Модуль 5. API Security (ключевой модуль)
* OWASP API Top 10
* Broken Object Level Authorization
* Mass Assignment
* JWT атаки
* Rate limit bypass
* Работа с JSON
Модуль 6. Инструменты (но правильно)
* OWASP ZAP
* Burp Suite
* SQLmap
* Nuclei
Модуль 7. Postman + тестирование API
* Postman
* Работа с коллекциями
* Авторизация (Bearer, JWT)
* Автотесты
Модуль 8. SQL базы данных (обязательно)
* Как устроены базы (PostgreSQL / MySQL)
* SELECT / INSERT / UPDATE
* JOIN
* Как работают SQL-инъекции изнутри
Модуль 9. JavaScript для Security Engineer
* Основы JS (без воды)
* Работа с API (fetch)
* Парсинг ответов
* Написание простых сканеров
* Playwright Framework
Модуль 10. Автоматизация безопасности
* Скрипты для поиска уязвимостей
* Мини-сканер на JS
* Проверка API автоматически
Модуль 11. AI / LLM
* Как работать с AI для кибербеза
* OWASP TOP 10 LLM
Оплата помесячная, не надо отдавать сразу все деньги мира, всегда можно остановиться, если поймете, что не ваше
Тут можно ознакомиться с отзывами моих учеников
https://t.me/+OndRVItsMdVmOWI0
Пишите за подробностями в Телеграм @faroeman | 950 |
| 20 | Я могу помочь тебе освоить профессию Инженера по кибербезопасности. 👌
Обучение займет 4-7 месяцев, все зависит от того, как усердно ты будешь обучаться. 😊
Значит ли это, что ты пройдешь обучение 7 месяцев и все на этом точка?
Нет! Это лишь те знания, чтобы стартануть и устроиться на работу.
Учиться придется всегда, потому что сфера развивается, вам надо будет развиваться тоже.
Но и зарплаты и перспективы хорошие в данном направлении. ✌️
Программа обучения такая
Модуль 1. Фундамент безопасности
Как работает интернет: HTTP/HTTPS, DNS
* Как устроен веб (frontend vs backend)
* Архитектура приложений
* REST API, JSON, headers
Модуль 2. Linux + среда хакера
* Работа в Linux (Kali / Ubuntu)
* Bash команды (реально нужные)
* Работа с сетью (netstat, curl)
* Прокси и перехват трафика
Модуль 3. Разведка и поиск поверхностей атаки
* Nmap (глубоко, не просто “скан”)
* OSINT (поиск информации о цели)
* Gobuster / dirsearch
* Поиск API-эндпоинтов
Модуль 4. Веб-уязвимости (практика на машинах)
* IDOR / BOLA
* Path Traversal
* XSS
* Broken Auth
* SQL Injection
Модуль 5. API Security (ключевой модуль)
* OWASP API Top 10
* Broken Object Level Authorization
* Mass Assignment
* JWT атаки
* Rate limit bypass
* Работа с JSON
Модуль 6. Инструменты (но правильно)
* OWASP ZAP
* Burp Suite
* SQLmap
* Nuclei
Модуль 7. Postman + тестирование API
* Postman
* Работа с коллекциями
* Авторизация (Bearer, JWT)
* Автотесты
Модуль 8. SQL базы данных (обязательно)
* Как устроены базы (PostgreSQL / MySQL)
* SELECT / INSERT / UPDATE
* JOIN
* Как работают SQL-инъекции изнутри
Модуль 9. JavaScript для Security Engineer
* Основы JS (без воды)
* Работа с API (fetch)
* Парсинг ответов
* Написание простых сканеров
* Playwright Framework
Модуль 10. Автоматизация безопасности
* Скрипты для поиска уязвимостей
* Мини-сканер на JS
* Проверка API автоматически
Модуль 11. AI / LLM
* Как работать с AI для кибербеза
* OWASP TOP 10 LLM
Оплата помесячная, не надо отдавать сразу все деньги мира, всегда можно остановиться, если поймете, что не ваше
Тут можно ознакомиться с отзывами моих учеников
https://t.me/+OndRVItsMdVmOWI0
2 слова о себе: высшее образование по Computer Science, 15 лет опыта в IT, сейчас занимаюсь аудитами безопасности для компаний и обучаю ребят по всему миру. 👌
Пишите за подробностями в Телеграм @faroeman | 41 |
متاح الآن! بحث تيليغرام 2025 — أهم رؤى العام 
