Akademia Bezpiecznego Kodu 🛡

Dołącz i dowiedz się jak zabezpieczać swoje web aplikacje, aby nie wylądować na głównej niebezpiecznika! Sorry Piotrek...
Zapisz się
Sprzedaż zamknięta. Wracamy w 2021.

Sprzedaż zamknięta. Wracamy w 2021. Zapisz się na mailing, żeby otrzymać informację o kolejnej turze!

Zapisując się na mailing wyrażasz zgodę na otrzymywanie informacji
o nowościach, promocjach, produktach i usługach bezpiecznykod.pl

Dla kogo? 👥

Dla programistów
Dowiedz się w jaki sposób hakerzy najczęściej atakują web aplikacje i jak skutecznie im w tym przeszkodzić. #dev
Dla testerów QA
Dodaj specjalizację security do swojego arsenału i znajduj podatności zanim pojawią się na produkcji. #qa
Dla opsów
Poznaj pragmatyczne minimum wiedzy na temat bezpieczeństwa web aplikacji oraz najlepsze praktyki defensywne. #ops
Na sam koniec akademii udało mi się w moim projekcie zchainować kilka podatności m.in. IDOR, który dalej pozwolił na Stored XSS. Udanych łowów w waszych projektach. Piąteczka! 🤚
Uczestnik pierwszej edycji

Trener — Andrzej Dyjak 👨‍🏫

Architekt bezpieczeństwa z kilkunastoletnim doświadczeniem, aktywny konsultant, prelegent i szkoleniowiec. Doświadczenie zdobywał w kraju i za granicą (DK 🇩🇰 oraz GB 🇬🇧) dostarczając pełne spektrum oceny bezpieczeństwa dla organizacji z sektora prywatnego i publicznego.

W przeszłości odkrył wiele krytycznych podatności w popularnym oprogramowaniu firm takich jak: Apple, Adobe, Google, Oracle, RealNetworks czy Mozilla.

W sieci: Blog, Podkast, Twitter, LinkedIn
Obejrzyj prelekcję
W prelekcji wyjaśniam na czym polega DevSecOps i pokazuję jak poprawić bezpieczeństwo oprogramowania.
Obejrzyj >>
Wysłuchaj podkastu
Odcinek podkastu POIT, w którym mam przyjemność rozmawiać z Krzysztofem Kempińskim o bezpieczeństwie aplikacji.
Wysłuchaj >>
portrait

Korzyści z uczestnictwa 👌

Teoria i praktyka
Tematy omawiam teoretycznie oraz praktycznie, pokazując krok-po-krok jak szukać omawianych podatności i jak można się przed nimi bronić.
Grupa Mastermind
W razie problemów możesz oczekiwać wsparcia na grupie Mastermind, gdzie będę ja oraz inni uczestnicy szkolenia.
Spotkania online
Spotkania online to świetne miejsce żeby dostać odpowiedzi na nurtujące Cię pytania na tematy kursowe czy ogólnie bezpieczeństwa.
Standardy
Agenda szkolenia oparta została na rynkowych standardach, a jej bazą jest uznana lista OWASP Top 10.
Aktualizacje
To ostatnia edycja szkolenia, w której otrzymujesz nieograniczony dostęp do wszystkich przyszłych aktualizacji.
Dodatkowe materiały
Poza lekcjami wideo otrzymasz multum dodatkowych materiałów oraz dowiesz się, gdzie i w jaki sposób szukać dalszych informacji.
Akademia zbudowała u mnie solidne fundamenty w dziedzinie bezpieczeństwa aplikacji, co przełożyło się na bardzo szybki rozwój zarówno mojej kariery jak i umiejętności. Absolutnie bezkonkurencyjny program dla wszystkich, którzy uczestniczą aktywnie w cyklu wytwórczym softu i chcą dodać warstwę bezpieczeństwa do swojej pracy. Materiał jest podzielony w bardzo logiczny i konsekwentny sposób, a w razie pytań Andrzej służy pomocą podczas live-calli, bądź na dedykowanym kanale. Polecam, polecam, jeszcze raz polecam!
Krzysztof Korozej, QA Engineer

Gwarancja satysfakcji 💯

Jeżeli uznasz, że szkolenie jednak nie jest dla Ciebie to nie ma problemu. Wyślij email w przeciągu 28 dni od startu programu (04.01.2021) na adres [email protected] i zwrócę Ci całość zapłaconej kwoty.

Agenda 📋

16 modułów
210+ lekcji video
16+ godzin materiału

Moduł 1: Plan akcji

  1. Powitanie
  2. Kurs z lotu ptaka
  3. Co będzie wymagane
  4. W jaki sposób podejść do studiowania kursu
  5. Kwestie etyczne
  6. Dwa słowa o instruktorze
  7. Praca domowa

Moduł 2: Standardy i metodologie

  1. Plan gry na ten tydzień
  2. Wstęp do bezpieczeństwa aplikacji
  3. Aplikacja, system, infrastruktura
  4. Triada CIA
  5. Sposoby oceny bezpieczeństwa
  6. Czym jest OWASP
  7. Flagowe projekty OWASP
  8. Top 10 i jego różne wersje
  9. CWE Top 25
  10. Proactive Controls
  11. Cheat Sheet Series
  12. Application Security Verification Standard (ASVS)
  13. Web Security Testing Guide (WSTG)
  14. Software Assurance Maturity Model (SAMM)
  15. Building Security In Maturity Model (BSIMM)
  16. Podejście Black-box, White-box, i Grey-box
  17. Podejście hybrydowe
  18. Penetration Testing Execution Standard (PTES)
  19. Praca domowa

Moduł 3: Podstawy techniczne

  1. Plan gry na ten tydzień
  2. Potrzebujemy laboratorium
  3. Wirtualizacja: VirtualBox
  4. Konteneryzacja: Docker
  5. Stawiamy maszynę wirtualną
  6. Poznajemy Kaliego
  7. Poznajemy wiersz poleceń
  8. Potrzebujemy przeglądarki
  9. DevTools: Console & Networking
  10. Potrzebujemy Proxy
  11. ZAP vs BURP
  12. ZAP i jego funkcjonalności
  13. ZAP i dodatki: Add-ons
  14. ZAP i dodatki: Payloady
  15. Foxy Proxy
  16. Web 101: HTTP i cykl zapytanie-odpowiedź
  17. Web 101: Metody
  18. Web 101: Nagłówki
  19. Web 101: Document Object Model (DOM)
  20. Web 101: Same Origin Policy
  21. Praca domowa

Moduł 4: Rekonesans

  1. Plan gry na ten tydzień
  2. Enumeracja serwera
  3. Wykrywanie usług (nmap)
  4. Skany podatności
  5. nikto
  6. Nmap + Vulners
  7. OpenVAS
  8. Nessus
  9. UWAGA: Firewalls (FW)
  10. Metasploit
  11. Enumeracja web aplikacji
  12. Logika biznesowa
  13. Architektura
  14. Ręczne mapowanie
  15. Kod źródłowy strony
  16. Wykrywanie technologii
  17. Robots.txt
  18. Security.txt
  19. UWAGA: Web Application Firewalls (WAF)
  20. Bezpieczeństwo kanału komunikacyjnego (HTTP/HTTPS)
  21. Przykład sniffingu
  22. tcpdump
  23. Wireshark
  24. Praca domowa
LIVE 🔴 — Spotkanie online

Moduł 5: OWASP TOP 10 2017 A1-2

  1. Plan gry na ten tydzień
  2. Injection (2017-A1) — omówienie problemu
  3. Przykład techniczny 1: SQL Injection
  4. Przykład techniczny 2: Blind SQL Injection
  5. Przykład techniczny 3: Time-based SQL Injection
  6. Analiza przypadku
  7. Scenariusze ataków
  8. Jak znaleźć w aplikacji
  9. Jak się przed tym bronić
  10. Broken Authentication (2017-A2) — omówienie problemu
  11. Przykład techniczny 1: Credential Enumeration
  12. Przykład techniczny 2: Credential Stuffing
  13. Analiza przypadku
  14. Scenariusze ataków
  15. Jak znaleźć w aplikacji
  16. Jak się przed tym bronić
  17. Praca domowa

Moduł 6: OWASP TOP 10 2017 A3-4

  1. Plan gry na ten tydzień
  2. Sensitive Data Exposure (2017-A3) — omówienie problemu
  3. Przykład techniczny 1: Insecure Password Storage
  4. Analiza przypadku
  5. Scenariusze ataków
  6. Jak znaleźć w aplikacji
  7. Jak się przed tym bronić
  8. XML External Entity (2017-A4) — omówienie problemu
  9. Przykład techniczny 1: In-band XXE
  10. Przykład techniczny 2: Out-of-band XXE (Blind XXE)
  11. Przykład techniczny 3: Billion laughs attack
  12. Analiza przypadku
  13. Scenariusze ataków
  14. Jak znaleźć w aplikacji
  15. Jak się przed tym bronić
  16. Praca domowa

Moduł 7: OWASP TOP 10 2017 A5-6

  1. Plan gry na ten tydzień
  2. Broken Access Control (2017-A5) — omówienie problemu
  3. Przykład techniczny: Insecure Direct Object References (IDOR)
  4. Analiza przypadku
  5. Scenariusze ataków
  6. Jak znaleźć w aplikacji
  7. Jak się przed tym bronić
  8. Security Misconfiguration (2017-A6) — omówienie problemu
  9. Nagłówki bezpieczeństwa
  10. HTTP Strict Transport Security (HSTS)
  11. X-Frame-Options
  12. X-XSS-Protection
  13. X-Content-Type-Options
  14. Referrer-Policy
  15. Content-Security-Policy (CSP)
  16. Cross-Origin Resource Sharing (CORS)
  17. Jak przeciwdziałać
  18. Praca domowa

Moduł 8: OWASP TOP 10 2017 A7-8

  1. Plan gry na ten tydzień
  2. Cross-Site Scripting (XSS) (2017-A7) — omówienie problemu
  3. Przykład techniczny 1: Reflected
  4. Przykład techniczny 2: Stored
  5. Przykład techniczny 3: DOM-based
  6. Analiza przypadku
  7. Scenariusze ataków
  8. Jak znaleźć w aplikacji
  9. Jak się przed tym bronić
  10. Insecure Deserialisation (2017-A8) — omówienie problemu
  11. Przykład techniczny
  12. Analiza przypadku
  13. Scenariusze ataków
  14. Jak znaleźć w aplikacji
  15. Jak się przed tym bronić
  16. Praca domowa
LIVE 🔴 — Spotkanie online

Moduł 9: OWASP TOP 10 2017 A9-10

  1. Plan gry na ten tydzień
  2. Using components with known vulnerabilities (2017-A9) — omówienie problemu
  3. Przykład techniczny
  4. Analiza przypadku
  5. Scenariusze ataków
  6. Jak znaleźć w aplikacji
  7. Jak się przed tym bronić
  8. Insufficient Logging & Monitoring (2017-A10) — omówienie problemu
  9. Przykład techniczny: Credential Enumeration / Stuffing
  10. Analiza przypadku
  11. Scenariusze ataków
  12. Jak znaleźć w systemie
  13. Jak przeciwdziałać
  14. Praca domowa

Moduł 10: OWASP TOP 10 2013 A8+10

  1. Plan gry na ten tydzień
  2. Cross-Site Request Forgery (2013-A8) — omówienie problemu
  3. Przykład techniczny
  4. Analiza przypadku
  5. Scenariusze ataków
  6. Jak znaleźć w aplikacji
  7. Jak się przed tym bronić
  8. Unvalidated Redirects & Forwards (2013-A10) — omówienie problemu
  9. Przykład techniczny
  10. Analiza przypadku
  11. Scenariusze ataków
  12. Jak znaleźć w aplikacji
  13. Jak się przed tym bronić
  14. Praca domowa

Moduł 11: Automatyzacja 1 - Analiza Statyczna

  1. Plan gry na ten tydzień
  2. Czym jest analiza statyczna
  3. Zalety i wady
  4. Problem sekretów
  5. Szukamy sekretów retroaktywnie
  6. Chronimy repo na poziomie commita
  7. Chronimy repo na poziomie CICD
  8. Analiza składu (Software Composition Analysis)
  9. Po stronie Front-end
  10. Po stronie Back-end
  11. Software Bill of Materials (SBOM)
  12. Analiza statyczna aplikacji
  13. Lokalnie ręcznie
  14. Lokalnie automatycznie
  15. Globalnie w CICD
  16. Jak robi to GitHub i GitLab
  17. Praca domowa

Moduł 12: Automatyzacja 2 - Analiza Dynamiczna

  1. Plan gry na ten tydzień
  2. Czym jest analiza dynamiczna
  3. Zalety i wady
  4. Analiza dynamiczna aplikacji
  5. Wyszukiwanie dostępnych zasobów
  6. Mapowanie via ZAP Spider
  7. Mapowanie via ZAP AJAX Spider
  8. ZAP Passive & Active Scan
  9. ZAP Fuzzing i dodatkowe payloady
  10. Automatyzacja ataków SQL Injection
  11. Testowanie SSL/TLS
  12. SSLtest
  13. testssl.sh
  14. Jak robi to GitHub i GitLab
  15. Praca domowa
LIVE 🔴 — Spotkanie online

Moduł 13: Raportowanie

  1. Plan gry na ten tydzień
  2. Budowa dobrego raportu
  3. Jak czytać taki raport
  4. Krytyczność podatności i ryzyko
  5. Common Vulnerability Scoring System (CVSS)
  6. Common Vulnerabilities and Exposures (CVE)
  7. DREAD
  8. Analiza przypadku #1
  9. Analiza przypadku #2
  10. Analiza przypadku #3
  11. Praca domowa

Moduł 14: Bug Bounty i Capture The Flag

🛠 W trakcie budowy.

Moduł 15: Dodatkowe klasy podatności

🛠 W trakcie budowy.

BONUS: Nagrania ze spotkań online

Sprzedaż zamknięta. Wracamy w 2021.
Kiedy byłem mały „zhakowano mi komputer”. Będąc web developerem, nie chcę, żeby „zhakowano mi serwer” (tym bardziej, żeby dane moich użytkowników wyciekły!). Dlatego postanowiłem się zapisać do Akademii Bezpiecznego Kodu. Materiały przerosły moje oczekiwania. Ilość + jakość treści stoi na najwyższym poziomie i to wszystko poparte praktyczną wiedzą prowadzącego. Andrzej jest pasjonatem, który potrafi zainteresować cyberbezpieczeństwem. Przejście Akademii pod jego okiem pomogło uzupełnić mi brakującą wiedzę, której zapewne w inny sposób bym nie przyswoił w tak krótkim czasie.
Adam Zapaśnik, Software Engineer

Sprzedaż zamknięta. Wracamy w 2021. Zapisz się na mailing, żeby otrzymać informację o kolejnej turze!

Zapisując się na mailing wyrażasz zgodę na otrzymywanie informacji
o nowościach, promocjach, produktach i usługach bezpiecznykod.pl

FAQ — Najczęściej zadawane pytania ⁉️

W jakiej formie jest to szkolenie?
Akademia to szkolenie online złożone z lekcji wideo obrazujących praktyczne aspekty bezpieczeństwa web aplikacji. Ponadto każdy moduł posiada mnóstwo materiałów dodatkowych w postaci slajdów, zewnętrznych dokumentów i referencji, kodów źródłowych oraz aplikacji umożliwiających przećwiczenie omawianych podatności we własnym zakresie.
Kiedy start, a kiedy koniec?
Szkolenie rozpoczyna się w styczniu 2021, a jego koniec przewidziany jest na kwiecień 2021 (każdy moduł to 1 tydzień, a modułów jest 16).
Czy dostanę dostęp do wszystkich modułów od razu?
Nie, nowe moduły wypuszczane są co tydzień startując od 04.01.2021 po to, aby uniknąć natłoku materiału i zoptymalizować progresję nauki.
Czy muszę przechodzić szkolenie tydzień-po-tygodniu?
Oczywiście, że nie. Szkolenie ma formę wideo właśnie po to, aby każdy mógł iść własnym tempem.
Czy dostęp do materiałów i społeczności jest ograniczony czasowo?
Nie, w tej edycji dostęp do społeczności, materiałów oraz wszystkich późniejszych aktualizacji dalej pozostaje nieograniczony czasowo.
Jak będą wyglądały spotkania online?
Spotkania będą odbywały się raz w miesiącu poprzez Zooma. Łącznie odbędą się trzy spotkania, które są zaznaczone w agendzie. Długość spotkań będzie zależeć od ilości pytań i tematów pobocznych do omawiania. Nie ma twardych limitów czasowych.
Jestem początkującym {programistą, testerem QA, opsem}, czy kurs nie będzie zbyt trudny?
Dołożyłem wszelkich starań, aby szkolenie było zrozumiałe na każdym poziomie. Ponadto chętnie służę pomocą zarówno na grupie Mastermind jak i spotkaniach online. Myślę, że każda chętna do pracy osoba poradzi sobie z materiałem.

Pamiętaj również, że możesz dołączyć do szkolenia i jeżeli okaże się ono zbyt trudne to masz 28 dni od startu (04.01.2020) na zwrot.
Co w przypadku gdy kurs mi się nie spodoba?
Jeżeli uznasz, że szkolenie jednak nie jest dla Ciebie to nie ma problemu. Wyślij email w przeciągu 28 dni od startu programu (04.01.2021) na adres [email protected] i zwrócę Ci całość zapłaconej kwoty.
Czy mogę liczyć na fakturę?
Tak, sprzedaż odbywa się poprzez moją firmę dzięki czemu każdy klient otrzymuje fakturę po zakupie automagicznie.
Moja firma chce wykupić dla mnie wejściowkę, co muszę zrobić?
Są dwie opcje: (1) podaj linka do kursu osobom odpowiedzialnym za zakupy lub (2) napisz na adres [email protected] jeżeli potrzebujesz czegoś dodatkowego (np. ProFormy).
Czy oferujesz zniżki na zakup większej ilości dostępów?
Tak, jeżeli potrzebujesz więcej dostępów napisz na adres: [email protected]
Brakuje odpowiedzi na Twoje pytanie?
Napisz do mnie na adres: [email protected]

Czy jest inna droga? 🧭

Oczywiście! Wiedza w obecnych czasach jest na wyciągnięcie ręki i nic nie stoi na przeszkodzie by zdobyć ją samemu spędzając całe dnie na googlowaniu. To co oferuję ja to droga na skróty pozwalająca na przebycie tej samej trasy szybciej i sprawniej z pomocą moją oraz innych kursantów.

Coś dalej pozostaje niejasne? Napisz!
[email protected]