Корпоративное обучение AppSec и безопасная разработка

Почему это важно для бизнеса

Большинство компаний теряют деньги и репутацию не из-за сложных атак, а из-за повторяющихся ошибок в коде и конфигурации.

SQL-инъекции
XSS
Ошибки в токенах и авторизации

Эти уязвимости до сих пор приводят к инцидентам в банках, e-commerce и государственных системах.

Проблема не в инструментах. Проблема в том, что команды не видят, как уязвимости появляются в их коде.

Что меняется после обучения

Код пишется с учётом безопасности, а не «потом разберёмся»
Dev и QA понимают логику атак и умеют закрывать уязвимости
Security-практики встроены в процесс: code review, тестирование, CI/CD
Меньше инцидентов и критичных багов в продакшене

Практика под ваш стек, а не абстрактная теория

Hands-on: реальные атаки → реальные защиты
Лабораторные задания под ваш технологический стек
Чек-листы и пайплайны, которые остаются у команды
Результат — специалисты, которые становятся Security Champions

Что получает бизнес

Быстрее релизы — меньше аварийных фиксов и откатов
Снижение затрат на инциденты и доработки
Предсказуемое качество безопасности от релиза к релизу
Реальный вклад в культуру безопасной разработки

Это не курс и не разовое обучение. Это инженерный учебный контур, который снижает риски бизнеса через практику Dev и QA-команд.

Для кого

Банки и финтех

Где цена ошибки = миллионы рублей.

E-commerce и маркетплейсы

С десятками релизов в день.

IT-компании

Когда важно обучать не «одного специалиста», а целые команды.

Опыт в цифрах

258уроков и 10 модулей

50+практических заданий

200+студентов обучено

1-екорпоративное обучение для крупного банка в СНГ

Пакеты обучения

Все пакеты включают PRO-доступ и вечный доступ к платформе. Минимум группы — 10 человек.

Базовый

35 000 ₽ за сотрудника

от 350 000 ₽ за группу

Онлайн-занятия с преподавателями
Практические лабораторные работы
Общий корпоративный чат с обратной связью
Постоянный доступ к платформе

Professional

50 000 ₽ за сотрудника

от 500 000 ₽ за группу

Всё из «Базового» + углублённые лабораторные
Индивидуальная проверка заданий преподавателями
Отдельный командный чат
Q&A-сессии с экспертами
Кастомизация программы под ваш стек

Mentor

80 000 ₽ за сотрудника

от 800 000 ₽ за группу

Всё из «Professional»
Персональные консультации для Dev и QA
Расширенная кастомизация (CI/CD, DevSecOps, внутренние практики)
Итоговый отчёт с анализом прогресса и рекомендациями

Enterprise

По договорённости

Индивидуальные условия

Всё из «Mentor»
Полная кастомизация под процессы компании
Интеграция в CI/CD и пайплайны DevSecOps
Менеджер проекта + SLA на сопровождение
Возможность офлайн-обучения на выезде к клиенту

Финальная стоимость уточняется при согласовании объёма и требований.

Полная программа обучения

10 модулей — от основ и OWASP до Bug Bounty и roadmap Security Champion. Раскройте модуль, чтобы увидеть темы.

Модуль 1. Вводный блок и основы

Роль Security Champion в команде
AppSec и DevSecOps в SDLC
Security Best Practices: OWASP Top 10, MITRE ATT&CK, BSIMM

Модуль 2. Клиентские уязвимости

XSS (Reflected, Stored, DOM), защита (escaping, CSP, cookie-флаги)
CSRF: примеры атак и защита (токены, SameSite)
Clickjacking & UI Redressing: iframe-атаки, X-Frame-Options
CORS: опасности wildcard, строгая настройка Origin
Prototype Pollution в JS
Хранение данных на клиенте: LocalStorage vs HttpOnly cookies
WebSockets: атаки и защита (Origin, HMAC-аутентификация)

Модуль 3. Серверные уязвимости

SQL Injection: типы атак и защита (Prepared Statements)
NoSQL Injection (MongoDB)
XXE: чтение файлов, сканирование портов, secure-парсеры
File Upload Security: обходы, sandboxing
Path Traversal & Command Injection
IDOR и защита на уровне ресурсов
SSRF: доступ к внутренним ресурсам, whitelist
HTTP Smuggling & Race Conditions
JWT атаки (alg:none, слабые ключи)
OAuth & OpenID: уязвимости конфигурации
GraphQL атаки (over-fetching, mass assignment)
WAF Bypass техники
Web Cache Poisoning и DNS Rebinding
Deserialization Attacks и SSTI
HTTP/2 и WebSocket Exploits

Модуль 4. Reconnaissance и OSINT

Сканирование поддоменов и DNS
Google/GitHub Dorking
Whois, поиск секретов в JS
Инструменты: FFUF, Gobuster, Nuclei, Naabu, Shodan, TruffleHog
Построение attack surface

Модуль 5. API Security

JWT: brute force, signature confusion, токен-манипуляции
API Hacking: REST и GraphQL атаки
OAuth/OpenID конфигурации

Модуль 6. Автоматизация и инструменты

Nuclei: шаблоны и сканы
Fuzzing и wordlists
Turbo Intruder: обход rate limits
Автоматизация recon (bash, пайплайны, tmux)

Модуль 7. Secure Development (для Dev и QA)

Secure SDLC и security-gates в CI/CD
Threat Modeling
Безопасность загрузки файлов
Практики для Dev: работа с JS, cookies, DOM, валидация данных

Модуль 8. Security и нейросети

Роль ИИ: помощник или угроза?
Генерация безопасного кода (bcrypt, prepared statements)
Использование ИИ для анализа и исправления
Code Review с ИИ и ручная проверка
Практикум: безопасные промпты, ревью кода ИИ

Модуль 9. Криптография и сети

Симметричное/асимметричное шифрование
TLS, HSTS, PKI
Атаки на криптопротоколы, ротация ключей
Дополнительно: стеганография, физическая безопасность

Модуль 10. Практика и Bug Bounty

Hands-on: анализ и исправление уязвимостей
Code Review Challenge
Чек-листы для ревью
Введение в Bug Bounty
Чтение отчётов HackerOne
Ваш первый баг и первый отчёт
Roadmap развития Security Champion

Кейсы

Казахстанский банк — онлайн-обучение для отдела разработки (идёт 5-е занятие).

Готовим пилоты для e-commerce и финтех-компаний.

Цель — Security Champions в каждой команде.

Обсудить пилот или корпоративный контур

Укажите в сообщении интерес к программе AppSec и примерный размер команды — подберём пакет и формат.

Telegram WhatsApp Email

Телефон: +7 982 699-52-19

← Все форматы PV Club Business · Корпоративный CTF