Полный курс по взлому веб-приложений — от первой SQL-инъекции до сложных логических уязвимостей и реальных Bug Bounty находок. OWASP Top 10 разобран до последнего байта: SQLi, XSS, CSRF, SSRF, IDOR, JWT-атаки, SSTI, XXE и десятки других техник. Burp Suite Pro, SQLmap, ffuf — инструменты, которые используют лучшие пентестеры мира. 50 уроков, 277 шагов, тонны практики на уязвимых стендах. Курс, после которого ни одно веб-приложение не будет казаться тебе безопасным.
Чему ты научишься
✓Понимать внутреннее устройство HTTP, веб-серверов и клиент-серверного взаимодействия
✓Находить и эксплуатировать все типы SQL-инъекций (UNION, Blind, Error-based, Out-of-Band)
✓Обнаруживать и эксплуатировать XSS всех типов (Reflected, Stored, DOM-based)
✓Проводить атаки CSRF, SSRF, IDOR и обходить механизмы контроля доступа
•Базовый опыт работы с Burp Suite или аналогичным прокси
Программа
T1
Как работают веб-приложения
Прежде чем ломать — нужно понять, как это устроено. HTTP-протокол, архитектура, базы данных, аутентификация — фундамент, без которого уязвимости остаются невидимыми.
M1
HTTP и веб-технологии
5 карт · 5 шагов · тест 14 вопросов
Запросы, ответы, заголовки, cookies, TLS — разбираешь HTTP по косточкам и начинаешь видеть веб глазами хакера, а не пользователя.
1.
Протокол HTTP: запросы, ответы, методыHTTP — это язык, на котором браузер разговаривает с сервером. Понимание этого языка — первый навык веб-хакера. Разбираем структуру запросов и ответов, все методы и практикуемся с curl.1 шагов
2.
Заголовки HTTP и cookiesЗаголовки — это метаданные каждого HTTP-сообщения, а cookies — механизм памяти для stateless-протокола. Хакеры манипулируют заголовками для обхода защит и крадут cookies для угона сессий.1 шагов
3.
HTTPS, TLS и сертификатыHTTPS защищает данные в пути, но не делает сайт безопасным. Разбираем TLS handshake, сертификаты, и атаки — SSL stripping, MITM, downgrade. Учимся анализировать сертификаты через openssl.1 шагов
4.
HTML, CSS, JavaScript — глазами хакераВесь клиентский код — открытая книга для хакера. HTML-формы, скрытые поля, JavaScript-логика, даже CSS — всё это поверхность атаки. Учимся находить утечки информации и уязвимости в исходном коде страниц.1 шагов
5.
Инструменты разработчика в браузере (DevTools)DevTools — это встроенный хакерский инструмент в каждом браузере. Elements для модификации DOM, Network для перехвата трафика, Console для выполнения JS, Application для кражи cookies. Учимся обходить клиентскую валидацию.1 шагов
M2
Архитектура веб-приложений
5 карт · 5 шагов · тест 15 вопросов
REST API, базы данных, серверные технологии, сессии — понимаешь полную картину веб-приложения и разворачиваешь тренировочные стенды для атак.
1.
Клиент-серверная модель и REST APIКак клиент и сервер общаются через API, что такое REST, и почему понимание эндпоинтов — суперсила пентестера1 шагов
2.
Базы данных в веб-приложениях (SQL, NoSQL)SQL и NoSQL — как приложения хранят данные, как формируются запросы, и почему небезопасная работа с БД превращается в SQL-инъекцию1 шагов
3.
Серверные технологии: PHP, Python, Node.jsТри главных серверных стека, их типичные ошибки, и как код на каждом из них становится уязвимым1 шагов
4.
Аутентификация и управление сессиямиКак веб-приложения узнают, кто ты — cookies, JWT, OAuth — и почему ошибки в аутентификации открывают двери в чужие аккаунты1 шагов
T2
Классические веб-уязвимости
OWASP Top 10 в действии: SQL-инъекции, XSS, CSRF, SSRF, IDOR — три модуля, которые дадут тебе 80% навыков для реального веб-пентеста.
M3
SQL-инъекции
5 карт · 5 шагов · тест 15 вопросов
Запросы, ответы, заголовки, cookies, TLS — разбираешь HTTP по косточкам и начинаешь видеть веб глазами хакера, а не пользователя.
1.
Принцип SQL-инъекции и первая эксплуатацияSQL-инъекция — это внедрение вредоносного SQL-кода через пользовательский ввод. Уязвимый код склеивает строки вместо параметризации. Одна кавычка ломает запрос, а ' OR '1'='1 обходит логин.1 шагов
2.
UNION-based SQL-инъекцияUNION-based SQLi позволяет извлечь данные из любой таблицы БД. Сначала определяем количество столбцов через ORDER BY, затем извлекаем имена таблиц и столбцов из information_schema, и наконец — сами данные, включая пароли.1 шагов
3.
T3
Продвинутые атаки
Выходишь за рамки базовых уязвимостей: JWT, OAuth, файловые атаки, SSTI, XXE, десериализация — техники, которые отличают junior-пентестера от senior.
M6
Атаки на аутентификацию и сессии
5 карт · 5 шагов · тест 15 вопросов
Запросы, ответы, заголовки, cookies, TLS — разбираешь HTTP по косточкам и начинаешь видеть веб глазами хакера, а не пользователя.
1.
Брутфорс и перебор учётных данныхHydra, Burp Intruder, wordlists, rate limiting bypass — полный арсенал для атак на логин-формы1 шагов
2.
Атаки на сессии: fixation, hijacking, predictionКрадём, навязываем и предсказываем session ID — три кита атак на сессии1 шагов
3.
Обход двухфакторной аутентификации2FA кажется неприступной, но brute force OTP, response manipulation и прямой доступ к защищённым страницам ломают её удивительно часто
T4
Практика и методология
От инструментов к методологии: Burp Suite Pro, автоматические сканеры, Bug Bounty платформы и реальные кейсы — собираешь всё воедино и выходишь на охоту.
M9
Инструменты веб-пентеста
5 карт · 5 шагов · тест 15 вопросов
Запросы, ответы, заголовки, cookies, TLS — разбираешь HTTP по косточкам и начинаешь видеть веб глазами хакера, а не пользователя.
1.
Burp Suite Professional: полный рабочий процессНастраиваем Burp Suite от установки сертификата до автоматического сканирования — осваиваем workflow Proxy → Repeater → Intruder → Scanner и ключевые расширения1 шагов
2.
Автоматические сканеры: Nikto, ZAP, NucleiТри главных бесплатных сканера — Nikto для быстрой разведки, ZAP как полноценная альтернатива Burp, Nuclei для template-based сканирования — и сравнение их результатов на DVWA1 шагов
3.
5.
Развёртывание тренировочных стендов (DVWA, WebGoat, Juice Shop)Поднимаем собственную хакерскую лабораторию с уязвимыми приложениями — DVWA, WebGoat, Juice Shop — и подключаем Burp Suite1 шагов
Blind SQL-инъекция (Boolean и Time-based)Blind SQLi используется когда данные не выводятся на страницу. Boolean-based определяет данные по разнице ответов true/false. Time-based — по задержке SLEEP(). Извлечение побитовое: один символ за запрос, автоматизируется Python-скриптом.1 шагов
4.
Error-based и Out-of-Band SQL-инъекцииError-based SQLi извлекает данные через сообщения об ошибках (extractvalue, updatexml). Stacked queries позволяют выполнять несколько SQL-команд через точку с запятой. Out-of-Band SQLi отправляет данные через DNS/HTTP когда прямого канала нет.1 шагов
5.
Автоматизация с SQLmap и защита от SQLiSQLmap автоматизирует все типы SQL-инъекций: обнаружение, эксплуатацию, дамп БД, получение shell. Защита — prepared statements (параметризованные запросы), ORM с осторожностью, WAF как дополнение, а не замена.1 шагов
M4
XSS-атаки
5 карт · 5 шагов · тест 14 вопросов
REST API, базы данных, серверные технологии, сессии — понимаешь полную картину веб-приложения и разворачиваешь тренировочные стенды для атак.
1.
Reflected XSS: поиск и эксплуатацияReflected XSS — атака, при которой вредоносный код из URL отражается в ответе сервера и выполняется в браузере жертвы. Ищем в параметрах поиска, ошибках, редиректах.1 шагов
2.
Stored XSS: кража данных через сохранённый кодStored XSS — вредоносный код сохраняется на сервере (в БД, файле) и выполняется у каждого посетителя. Опаснее Reflected, потому что не требует клика по ссылке — достаточно просто зайти на страницу.1 шагов
3.
DOM-based XSS и мутацииDOM-based XSS происходит полностью в браузере — сервер не участвует. Уязвимый JavaScript берёт данные из URL (source) и вставляет их в страницу (sink). Mutation XSS обходит санитайзеры через особенности HTML-парсера.1 шагов
4.
Обход WAF и фильтров XSSБольшинство XSS-фильтров и WAF можно обойти через альтернативные теги, кодирование, смешанный регистр, null-байты и десятки других техник. Чёрные списки (blacklists) — ненадёжная защита.1 шагов
5.
Продвинутая эксплуатация XSS: кейлоггеры, фишинг, BeEFXSS — это не просто alert(1). Через XSS можно перехватывать нажатия клавиш, подменять формы логина, загружать майнеры и управлять браузером жертвы через BeEF. Защита: CSP, HttpOnly, output encoding, DOMPurify.1 шагов
M5
CSRF SSRF и контроль доступа
5 карт · 5 шагов · тест 15 вопросов
Уязвимость №1 в истории веба: UNION, Blind, Error-based — учишься извлекать данные из любой базы и автоматизируешь всё через SQLmap.
1.
CSRF: принцип атаки и создание эксплойтовCSRF заставляет браузер жертвы выполнить действие от её имени — без её ведома. Достаточно одного клика на ссылку, и пароль аккаунта уже изменён. Разбираем механику, создаём эксплойты и практикуемся на DVWA.1 шагов
2.
SSRF: атака на серверную сторонуSSRF заставляет сервер делать запросы от своего имени — к внутренним сервисам, облачным metadata, базам данных. Это ключ от внутренней сети, доступный через одно поле ввода. Разбираем технику, обходы фильтров и реальный кейс Capital One.1 шагов
3.
IDOR: небезопасные прямые ссылки на объектыIDOR — это когда замена одного числа в URL открывает данные другого пользователя. Простейшая уязвимость, которая приводит к массовым утечкам. Разбираем поиск IDOR в API, UUID, файлах и практикуемся на Juice Shop.1 шагов
4.
Broken Access Control и Privilege EscalationBroken Access Control — уязвимость #1 по OWASP Top 10. Горизонтальная и вертикальная эскалация привилегий, forced browsing к admin-панелям, parameter tampering и обход через HTTP-методы. Практикуемся на Juice Shop.1 шагов
5.
Обход защитных механизмов: токены, SameSite, CORSCSRF-токены, SameSite cookies и CORS — три столпа защиты от межсайтовых атак. Но каждый из них можно обойти при неправильной реализации. Разбираем механику защит, типичные ошибки и составляем финальный чеклист контроля доступа.1 шагов
1 шагов
4.
Атаки на JWT-токеныNone algorithm, слабые секреты, confusion attack RS256→HS256 — JWT ломается красиво и больно1 шагов
5.
OAuth и SSO: уязвимости и эксплуатацияRedirect URI manipulation, отсутствие state-параметра, token leakage через Referer — OAuth ломается через логику, а не через криптографию1 шагов
M7
Файловые уязвимости и инъекции команд
5 карт · 5 шагов · тест 15 вопросов
REST API, базы данных, серверные технологии, сессии — понимаешь полную картину веб-приложения и разворачиваешь тренировочные стенды для атак.
1.
Local File Inclusion (LFI)LFI позволяет читать любые файлы на сервере через подключаемые параметры — а при правильной эскалации превращается в полноценное выполнение кода1 шагов
2.
Remote File Inclusion (RFI)RFI позволяет подключить файл с удалённого сервера атакующего — и это мгновенный RCE без каких-либо дополнительных трюков1 шагов
3.
Path Traversal и чтение произвольных файловPath Traversal — это не то же самое, что LFI: здесь файлы читаются, а не выполняются. Но один прочитанный .env или приватный ключ может стоить дороже, чем RCE1 шагов
4.
Загрузка вредоносных файлов (Unrestricted File Upload)Формы загрузки файлов — одна из самых опасных поверхностей атаки: обход валидации расширения, Content-Type и magic bytes позволяет залить web shell и получить RCE1 шагов
5.
OS Command Injection и RCECommand Injection — прямое выполнение системных команд через пользовательский ввод. Один непроверенный параметр — и атакующий получает полный контроль над ОС1 шагов
M8
Сложные уязвимости
5 карт · 5 шагов · тест 15 вопросов
Уязвимость №1 в истории веба: UNION, Blind, Error-based — учишься извлекать данные из любой базы и автоматизируешь всё через SQLmap.
1.
XML External Entity (XXE)XXE позволяет атакующему читать файлы сервера, выполнять SSRF и даже получать RCE — просто подсунув вредоносный XML с внешними сущностями1 шагов
2.
Server-Side Template Injection (SSTI)SSTI возникает, когда пользовательский ввод попадает прямо в шаблонизатор — от безобидного {{7*7}}=49 до полноценного RCE через цепочки классов Python, Java и PHP1 шагов
3.
Deserialization-атакиДесериализация недоверенных данных — прямой путь к RCE: PHP magic methods, Java gadget chains и Python pickle позволяют выполнить произвольный код при простом чтении объекта1 шагов
4.
Race Conditions в веб-приложенияхRace condition — когда два параллельных запроса обгоняют проверку и оба проходят: двойные списания, обход лимитов, бесконечные промокоды — всё это эксплуатируется через Turbo Intruder за секунды1 шагов
5.
Prototype Pollution и атаки на клиентскую логикуPrototype Pollution позволяет атакующему изменить прототип Object — и все объекты в приложении наследуют вредоносные свойства, что ведёт к XSS на клиенте и RCE на сервере (Node.js)1 шагов
Фаззинг директорий и параметров (ffuf, dirsearch)
Фаззинг — автоматический перебор путей, файлов и параметров. Осваиваем ffuf и dirsearch для поиска скрытых админок, забытых бэкапов и секретных API-эндпоинтов
1 шагов
4.
Перечисление поддоменов и скрытых ресурсовПоиск поддоменов через Subfinder, Amass, Certificate Transparency и DNS brute force. Раскапываем исторические URL через Wayback Machine и извлекаем endpoints из JS-файлов1 шагов
5.
Написание собственных скриптов для пентестаПишем на Python три боевых скрипта — автоматический проверщик SQLi, XSS-фаззер и брутфорсер с обходом CSRF — и учимся интегрировать их в рабочий процесс1 шагов
M10
Bug Bounty и отчёты
5 карт · 5 шагов · тест 15 вопросов
REST API, базы данных, серверные технологии, сессии — понимаешь полную картину веб-приложения и разворачиваешь тренировочные стенды для атак.
1.
Методология Bug Bounty: с чего начатьBug Bounty — это легальный способ зарабатывать на хакинге. Компании платят за найденные уязвимости, а ты получаешь деньги, репутацию и опыт. Главное — правильный mindset, системный подход и терпение.1 шагов
2.
Платформы: HackerOne, Bugcrowd, IntigritiТри главные Bug Bounty платформы — HackerOne, Bugcrowd и Intigriti — различаются по размеру, процессам и аудитории. HackerOne — крупнейшая, Bugcrowd — с уникальной VRT-системой, Intigriti — европейская с сильным triage. Начинай с HackerOne, расширяйся по мере роста.1 шагов
3.
Разведка цели: Recon-методологияRecon — это 50% успеха в Bug Bounty. Пассивная разведка (поддомены, tech stack, утечки) и активная (сканирование, фаззинг) дают карту атаки. Автоматизация пайплайна subfinder → httpx → nuclei экономит часы. Кто лучше разведает — тот находит баги первым.1 шагов
4.
Составление отчёта об уязвимостиОтчёт — это продающий документ для твоего бага. Чёткая структура (title, severity, steps, impact, fix), правильный CVSS, наглядные PoC и вежливое общение с triagers — разница между bounty и N/A. Плохо описанный Critical закроют как Informational.1 шагов
5.
Кейсы реальных Bug Bounty находок (Капстоун)Четыре реальных кейса Bug Bounty ($5,000–$15,000) демонстрируют все техники курса в действии: SSRF → AWS takeover, Stored XSS → Account Takeover, IDOR → массовая утечка, Race Condition → бесконечные деньги. Это финал курса — ты готов к реальному миру.1 шагов
