Фокус карьеры Подготовка к сертификации и работе в компаниях ЕС и США

Формат Индивидуальное менторство 1:1 + практика на реальных кейсах

AppSec / Пентест / инженер по кибербезопасности

Стань Application Security инженером в компаниях ЕС и США: подготовка к работе и сертификации

Индивидуальное менторство 1:1. Переход из QA/Dev в Security на международном рынке. Практика на реальных AppSec процессах.

Получить план развития в AppSec (Telegram)

Анализ защищённости кода (SAST / DAST / IAST)
Разбираем реальные дефекты, ложные срабатывания, приоритизацию и как доводить findings до исправления в коде и в CI.

Безопасность облачной инфраструктуры (Docker, AWS / Azure)
Образы и рантайм контейнера, секреты, IAM и типовые misconfiguration в облаке — в контексте того, как приложение живёт в проде.

OWASP Top 10, API Security и управление уязвимостями
От модели угроз и abuse cases до баг-баунти mindset в продукте: как находить, документировать и закрывать риски без хаоса в бэклоге.

10+

лет опыта

50+

выпускников

1:1

формат

Осталось мест: 3/5

Записаться на технический разбор

Гибкий формат

Индивидуально или в группе
Под ваш график

Для кого

ДЛЯ КОГО ЭТО МЕНТОРСТВО?

Для тех, кто в Европе и США и хочет развиваться в Application Security — под ваш текущий уровень и цели

Для QA, которые устали от рутины

Если вы «гоняете регресс» и хотите рост: добавим security‑мышление, OWASP/API‑проверки и сценарии, которые реально ценятся на международном рынке.

Для разработчиков, которые хотят в Security

Переход в AppSec через то, что вы уже умеете: чтение кода, архитектура, API. Учимся находить и закрывать уязвимости как инженер, а не «по чек‑листу».

Для тех, кто готов к интенсивному обучению

Это не «лёгкие деньги». Нужна дисциплина и готовность много практиковаться: HTML/JavaScript база, сети/HTTP и реальные задания под AppSec.

Для релокации в ЕС / США

Занятия на русском, но контекст — международные процессы: как звучит AppSec в найме, что ждать от security review, как упаковать опыт без маркетинговых клише.

Программа

ЧТО МЫ РАЗБИРАЕМ?

Практическая программа под ваш стек: от кода и API до пайплайна и облака

Инженерная база для AppSec

HTTP/TLS, сессии и аутентификация, логирование и трассировка, Linux и скрипты, работа с БД и API — и HTML с JavaScript как база, чтобы уверенно разбирать инциденты, артефакты и типовые OWASP/API-сценарии.

HTTP и границы доверия: запрос/ответ, cookies, редиректы, типовые ошибки на уровне протокола и серверной логики. HTML и JavaScript проходим как базу — разметка, DOM и минимальный JS, на которых дальше строятся OWASP/API-разборы.

Linux и Bash: Работа с командной строкой, скрипты, навигация в Linux-системах.

Базы данных: SQL с точки зрения безопасности: инъекции, права доступа, типовые ошибки в слое данных и как их ловить на ревью и в тестах.

API debugging: Postman/Insomnia, негативные сценарии, воспроизведение race conditions и типовых authZ-багов.

Угрозы, модель доверия и криптография в приложениях

Threat modeling, trust boundaries, типовые ошибки в crypto usage, секреты и ключи — в прикладном виде для сервисов и API.

Threat modeling: Abuse cases, приоритизация рисков, перевод findings в задачи для разработки.

Криптография: Основы шифрования, хеширования, цифровых подписей.

Identity & sessions: OAuth/OIDC/JWT (где ломается), refresh flows, типовые ошибки session management.

OWASP Top 10 в реальном коде

Как выглядят дефекты в сервисах: SQLi/XSS/CSRF/SSRF, типовые антипаттерны и безопасные альтернативы на уровне архитектуры.

OWASP Top 10: Изучение основных уязвимостей веб-приложений.

Атаки: SQL Injection, XSS, CSRF, SSRF и другие техники.

Защита: Методы защиты от распространенных атак.

API Security

Безопасность REST, GraphQL и SOAP API. Аутентификация, авторизация, поиск уязвимостей в API.

REST API: Безопасность RESTful API, методы защиты.

GraphQL: Особенности безопасности GraphQL API.

Аутентификация: JWT, OAuth, API ключи и их безопасное использование.

DevSecOps, SAST/DAST/IAST и облако для приложений

Встраивание проверок в CI/CD, политики для зависимостей, секрет-сканирование, контейнеры (Docker) и типовые контроли AWS/Azure вокруг сервиса.

DevSecOps: Quality gates, политика исключений, метрики, взаимодействие с разработкой и SRE.

SAST / DAST / IAST: Как выбирать, настраивать и интерпретировать результаты, чтобы снижать шум и ускорять remediation.

Cloud & platform: Docker (образы, права, секреты), IAM и сетевой периметр в AWS/Azure; типовые ошибки конфигурации, влияющие на приложение.

На уроках

КАК МЫ РАБОТАЕМ НА УРОКАХ

Репозитории, CI, логи и трафик — в том же духе, как в продуктовом AppSec (иллюстрации процесса)

Терминал Linux: учебные команды в безопасной среде — Терминал и Linux: команды, скрипты, воспроизводимость и сбор артефактов для разбора

Редактор кода: разбор скриптов и автоматизации — Код и IDE: чтение чужого кода, поиск anti-patterns и точек доверия

Схема сети: узлы и соединения — Сети и топологии: как движется трафик и где чаще ломается модель доверия

Безопасность веб-приложений — Web/App security: сессии, границы доверия, типовые дефекты и контроли

Разбор HTTP-запросов и ответов — Запросы и ответы: разбор трафика, корреляция с логами и доказательная база для тикета

Онлайн-урок: экран ментора — Живой разбор: экран ментора, вопросы и разбор ваших шагов

Формат

КАК ПРОХОДИТ ОБУЧЕНИЕ?

Гибкий формат под ваши потребности

Индивидуальные занятия

Персональный подход с фокусом на ваши цели. Индивидуальная траектория обучения, адаптированная под ваш уровень и темп.

Практика на реальных кейсах

Разбираем реальные инциденты и типовые ситуации из практики AppSec — то, что встречается в продуктах, а не оторванные от жизни учебные абстракции.

Поддержка и менторинг

Постоянная поддержка в мессенджере. Ответы на вопросы, помощь с заданиями и консультации по карьерным вопросам.

Гибкий график

Подстраиваемся под ваш график работы. Возможность переноса занятий и индивидуальный темп обучения.

Инструктор

КТО ВЕДЁТ МЕНТОРСТВО?

VITALI BRUNOVSKI

APPLICATION SECURITY & АВТОМАТИЗАЦИЯ КАЧЕСТВА

Опыт

10+ лет в security и автоматизации качества: от практических разборов до внедрения процессов вокруг приложений и API.

Подход

Делаю акцент на воспроизводимости: как доказать риск, как снизить стоимость фикса и как договориться с разработкой на языке инженерных артефактов.

Безопасность

Работаем в рамках легальных сценариев и политик компании: без нелегальных демонстраций, с фокусом на снижение риска для продукта и пользователей.

FAQ

Ответы на частые вопросы

Нужны ли знания программирования?

Нет, не как обязательное требование — но желательно: чем увереннее вы с логикой кода и HTTP, тем быстрее уходим в практику. Если с программированием только начинаете, обучаю с нуля писать на JavaScript — в том объёме, который нужен для AppSec-разборов и проверок.

Что нужно для занятий?

Компьютер или ноутбук с доступом в интернет. Все необходимые инструменты и программы мы установим вместе на первом занятии. Большинство инструментов бесплатные или имеют бесплатные версии.

Сколько длится обучение?

Длительность зависит от цели (усилить текущую роль vs сфокусироваться на переходе) и формата. Ориентир для глубокой траектории — 6 месяцев при регулярных занятиях, но план всегда подстраиваем под ваш контекст.

Отзывы