Привет, я основатель учебного центра "Академия Кодебай". Этот пост — не скрытая реклама, а честный разбор нашего курса WAPT с точки зрения организаторов и реальных отзывов студентов.
Зачем пишу:
- На форуме регулярно спрашивают про обучение пентесту
- Много мифов о том, "чему реально учат на курсах"
- Хочу показать изнутри: что работает, что нет, для кого подходит
Что такое WAPT: факты без воды
WAPT расшифровывается как Web Application Penetration Testing — тестирование веб-приложений на проникновение. Это наш бестселлер с самыми большими потоками студентов.Почему популярен:
- Дефицит специалистов: На рынке не хватает хороших пентестеров по вебу
- Развитие Bug Bounty: В России появились компании, где можно легально искать уязвимости за деньги
- Практическое применение: Студенты сразу применяют навыки в Bug Bounty на реальной инфраструктуре
Структура курса
13 модулей | 60+ практических заданий | 3-4 месяца обученияТемы:
- Пассивная/активная разведка (OSINT, фаззинг)
- SQL-инъекции (акцент на ручные методы)
- XXE, CMD, PHP-инъекции
- SSTI/SSRF
- Системные уязвимости (эксплуатация CVE)
- Misconfigurations
- Обход авторизации
- Клиентские атаки (XSS, CSRF)
- Privilege Escalation
Методика обучения
- Try Harder подход: Кураторы НИКОГДА не дают прямых ответов
- CTF-формат: Каждое задание = флаг для сдачи
- Автономная платформа: Своя лаборатория (после полной модернизации)
- Еженедельные вебинары: Алексей (действующий пентестер) разбирает сложные моменты и делится опытом реальных пентестов
Главное отличие: лаборатория и философия кураторов
Слова куратора курса Александра Медведева:Александр — лид команды по безопасности устройств в крупной международной компании, обладатель OSCP, CEH, PPT, INK и других сертификатов, пятикратный чемпион StandOff с командой CDB. Больше 10 лет в ИБ.
Сравнение с HTB
| Параметр | WAPT Codeby | Hack The Box |
|---|---|---|
| Кураторы | Да, активные | Нет |
| Объём | 60+ заданий | ~50 (Web Path) |
| Язык | Русский | Английский |
| Вебинары | Еженедельно | Нет |
Важный момент: Куратор не знает конкурентов в России с такой же большой и объёмной лабораторией. HTB больше, но там нет поддержки — всё в автоматическом режиме.
Хотите увидеть лабораторию вживую?
Демонстрация ЛАБОРАТОРИИ от преподавателя курса — Александр показывает, как устроена платформа, какие задания там есть и как с ними работать.Философия "Try Harder" — самое противоречивое
Студентам никогда не дают прямых ответов на задания. Основная задача куратора — направить в правильную сторону.Типичный диалог:
Почему так:
Пентест — это творчество. Запомнить всё невозможно, можно лишь дать алгоритм мышления. Основная цель — развить навыки, которые пригодятся в реальной жизни, пентестах и Bug Bounty.
Как студенты реагируют (слова куратора):
Часто после небольшой подсказки студенты сами находят решение и пишут: "Блин, как же я сам об этом не подумал!" После этого они "копают до победного" в следующих блоках.
Три истории студентов
История 1: Артём — "С нуля до сдачи за 3 месяца"
Входные данные:- Проходил другие курсы ИБ (очные, "по методичкам")
- Знания SQL: нулевые
- Сомнения: "Курс помечен как сложный"
Адаптация (месяц 1-2):
Вебинары:
Экзамен (3 месяца):
- Все задания решены на 100%
- Экзамен сдан с первой попытки (1 марта)
- "Hard задачи показались легче, чем easy — было сразу понятно, в какую сторону копать"
Результат: Отдохнул и вернулся на 10-месячный курс по пентесту инфраструктуры.
История 2: @fnay_offensive — "От SQLMAP к ручному пентесту"
Входные данные:- Уже работал в пентесте
- "Никогда не использовал ручной метод SQL-инъекций, только SQLMAP"
- Потратил 70,000₽ (старая цена курса)
Самый сложный блок — SQL-инъекции:
Что сделал:
- Разработал roadmap по 52 векторам ручных SQL-атак (против 4 автоматических)
- Написал Python-скрипты для Blind SQLi
- Создал заметки с частыми командами по разным векторам атак
Самое неприятное:
Оценка: 9/10
Почему не 10:
История 3: Дарья — начинающий специалист
Курс: "Анализ защищённости веб-приложений" (подготовительный перед WAPT)Что понравилось:
Главная ценность:
Типичные траектории других студентов
Новички (0 опыта в пентесте):- Первый модуль (пассивный фаззинг) = камень преткновения, фраза "Try Harder" становится мантрой
- К 3-му месяцу появляется понимание методологии
- Экзамен сдаётся, но требует всех 24 часов
- Быстро проходят базовые модули
- Застревают на SSTI, PHP-инъекциях (нетривиальные bypass)
- Некоторые решают задания способами, которых нет в методичках (куратор: "На курс приходят учиться не только новички, но и специалисты с опытом")
Честные ответы на сложные вопросы
Сколько реально нужно времени?
Официально: 3-4 месяцаРеально (по отзывам):
Минимум для успешной сдачи:
- 10-15 часов/неделю (теория + практика)
- + вебинары (1.5 часа/неделю)
- + экзамен (24 часа, но можно за 12-16)
- 20-25 часов/неделю (с перепрохождением сложных задач)
Цитата @fnay_offensive: "Сидишь днями и думаешь 'чёрт, почему БРЕД не переходит по моей ссылке'"
Важно: Курс позиционируется как один из самых сложных в академии и является настоящим испытанием, требующим значительных временных затрат.
Цена 89,990₽ — за что платишь?
Альтернативы:- Дешевле: HTB Academy (~$300), но без кураторов
- Дороже: OffSec OSCP (~$2500), на английском и сложнее
- Бесплатно: PortSwigger Web Security Academy, но нет структуры и поддержки
Кому оправдано:- Нужна структура обучения
- Важна поддержка на русском
- Цель — трудоустройство в РФ/СНГ
Кому НЕ оправдано:- Есть опыт и нужен только сертификат (возьмите OSCP)
- Ограниченный бюджет (начните с PortSwigger бесплатно)
- Нужен международный сертификат (OSCP, eWPT ценятся выше на западном рынке)
Трудоустройство: что реально?
Официально (слова куратора):Честный вывод: Курс даёт навыки, но НЕ гарантирует работу.
Что нужно после курса:
- Практика (свои проекты, CTF, Bug Bounty)
- Постоянное развитие (слова куратора: "Прохождение курса — это не конечная точка")
- Поиск сил для профессионального роста
Для кого курс НЕ подходит (критично!)
Вы ожидаете "лёгкого входа в ИБ"
Курс сложный даже для IT-специалистов. Try Harder подход фрустрирует многих в начале.Нулевые знания Linux
Требуемые знания для курса:- Понимание того, как работают веб-запросы
- Уверенное владение Linux (основное взаимодействие с ПО происходит в этой ОС)
- Базовое понимание работы веб-приложений, SQL, FTP-серверов
Нужен международный сертификат
WAPT ценится в РФ/СНГ, но не имеет веса на Западе. Для международного рынка: OSCP, eWPT, GWAPT.Хотите готовых инструкций "нажми кнопку"
Цитата Артёма про другие курсы: "Делаешь как дурак по инструкции — никаких навыков не получаешь"WAPT требует самостоятельного мышления.
Ограниченное время (< 10 часов/неделю)
При 5-7 часах/неделю курс растянется на 6-8 месяцев. Знания забываются, экзамен станет сложнее. Для кого идеально подходит
- Есть базовые знания Linux и веб-технологий
- Готовы вкладывать 10-15 часов/неделю
- Цель: карьера пентестера в РФ/СНГ или Bug Bounty
- Нужна структура (самообучение не работает)
- Важна поддержка на русском языке
- Хотите прокачать мышление, а не просто получить сертификат
- Junior-специалисты с IT базой
- Будущие специалисты Red Team, пентестеры, аналитики веб-приложений
- Специалисты Blue Team/SOC (сейчас активно появляются Purple Teams, требующие навыков из обоих направлений)
Технические нюансы (честно)
Что работает не идеально
Платформа:- Была проведена полная модернизация лаборатории и переход на новую платформу — старая перестала справляться с большим количеством студентов
- Новая платформа повысила удобство работы
- Иногда возникают технические неисправности, но администрация решает оперативно
- Через WAPT_bot может теряться персональный контакт
- Ответы кураторов иногда приходится ждать дольше
- В чате потока можно получить помощь от других студентов
- Теория по Windows есть, практики нет (главная претензия от @fnay_offensive)
- Методички постоянно дорабатываются для актуальности
- Задания улучшаются, добавляются новые
- Формат 24 часа пугает новичков (но это гибкость — можно выбрать любое удобное время)
- С осени планируется возможность сдачи с прокторингом по желанию студента (сам экзамен не будет усложнён)
Итоговая оценка
Общая оценка академии на tutortop: 4.62 звезды при 60 голосахWAPT позиционируется как:
- "Бестселлер" академии
- "Один из самых сильных курсов по Web Security в русскоязычном интернете"
- "Самый крутой курс в СНГ" по тестированию на проникновение веб-приложений
Главные достоинства:- Лаборатория — лучшая в СНГ (60+ заданий)
- Кураторы — Try Harder работает долгосрочно
- Практическая направленность — формат CTF сохраняет знания
- Комьюнити — тесные взаимосвязи между студентами
Честные минусы:- Нет Windows-практики (только теория)
- Технические баги на платформе
- Сложность курса отсеивает многих
- Дорого для российского рынка
Junior-специалисты с базой, готовые вкладывать время и силы
Кому НЕ рекомендую:
Абсолютные новички без знания Linux, люди с ограниченным временем, те, кто хочет международный сертификат
Видеообзор от преподавателя
Хотите услышать мнение самого куратора курса о плюсах и минусах WAPT? Обзор плюсов и минусов курса от ПРЕПОДАВАТЕЛЯ — Александр Медведев честно рассказывает, что работает в курсе, а что нет, для кого он подходит и какие есть сложности.Наверняка у вас есть что сказать
Если вы:- Проходили WAPT — поделитесь опытом (особенно критикой)
- Рассматриваете курс — спрашивайте, отвечу честно
- Сравниваете с другими курсами — давайте обсудим
Ссылка на лендинг курса: Курс Тестирование WEB-приложений на проникновение
Календарь запуска курсов: Расписание курсов | Codeby Academy
Цель этого поста — не продать курс любой ценой, а помочь принять осознанное решение. 90,000₽ — серьёзные деньги, и я не хочу, чтобы вы их потратили зря.
Потраченные средства должны себя полностью оправдать — как написал один из студентов. Но это произойдёт только если вы подходите под профиль курса и готовы вкладывать время.
