Akademia Bezpiecznego Kodu

Bezkonkurencyjny 13-tygodniowy kurs on-line dla osób związanych z wytwarzaniem oprogramowania. Jeżeli jesteś Deweloperem, Opsem, lub Testerem to ten program pomoże Ci zrozumieć Bezpieczeństwo Aplikacji po to byś skutecznie chronił swoją organizację i projekty.

STANDARDY

Agenda Akademii oparta została na uznanych standardach, a jej bazą jest OWASP Top 10.

TEORIA + PRAKTYKA

Podejście łączące teorię z praktyką. Teoria jest ważna, ale bez klikania się nie obejdzie.

GRUPA MASTERMIND

Na grupie będę udzielał się ja i inni uczestnicy Akademii Bezpiecznego Kodu.

Sprzedaż została zamknięta. Akademia wróci jesienią. Zapisz się na mailing, żeby otrzymać informacje o kolejnej turze oraz darmowego e-booka o DevSecOps.

Korzyści uczestnictwa w Akademii

Jako uczestnik Akademii Bezpiecznego Kodu otrzymasz szereg bonusów. Część z nich dostępna będzie jedynie w pierwszej edycji i nie wróci już nigdy. Warto dołączyć już teraz!

DOŻYWOTNI DOSTĘP

Każdy uczestnik pierwszej edycji Akademii ma gwarancję dożywotniego dostępu.

AKTUALIZACJE

Akademia będzie rozbudowywana o dodatkowe moduły (patrz FAQ), jako uczestnik pierwszej edycji dostaniesz do nich dostęp bez dodatkowych opłat. 🔥

SPOTKANIA ON-LINE

Spotkania on-line co dwa tygodnie. Łącznie odbędzie się siedem spotkań.

NAJNIŻSZA CENA

Najniższą możliwą cenę, taniej nie będzie nigdy.

DODATKOWE MATERIAŁY

Akademia to kurs video, ale wychodząc poza tę formę uczestnicy otrzymają ode mnie masę dodatkowych materiałów "do poczytania" w czasie wolnym.

WPŁYW NA AKADEMIĘ

Biorąc udział w pierwszej edycji Akademii będziesz miał realny wpływ na jej rozwój.

Twórca: Andrzej Dyjak

Architekt bezpieczeństwa z kilkunastoletnim doświadczeniem, aktywny konsultant, prelegent i szkoleniowiec. Doświadczenie zdobywał w kraju i za granicą (DK 🇩🇰 oraz GB 🇬🇧) dostarczając pełne spektrum oceny bezpieczeństwa dla organizacji z sektora prywatnego i publicznego.

W przeszłości odkrył wiele krytycznych podatności w popularnym oprogramowaniu firm takich jak: Apple, Adobe, Google, Oracle, RealNetworks czy Mozilla.

W sieci: Blog, Podkast, Twitter, LinkedIn

Agenda Akademii

MODUŁ 1

PLAN AKCJI

  1. Powitanie
  2. Kurs z lotu ptaka
  3. Co będzie wymagane
  4. W jaki sposób podejść do studiowania kursu
  5. Kwestie etyczne
  6. Dwa słowa o instruktorze
  7. Praca domowa

MODUŁ 2

STANDARDY, METODOLOGIE

  1. Plan gry na ten tydzień
  2. Wstęp do bezpieczeństwa aplikacji
  3. Aplikacja, system, infrastruktura
  4. Triada CIA
  5. Sposoby oceny bezpieczeństwa
  6. Czym jest OWASP
  7. Flagowe projekty OWASP
  8. Top 10 i jego różne wersje
  9. CWE Top 25
  10. Proactive Controls
  11. Cheat Sheet Series
  12. Application Security Verification Standard (ASVS)
  13. Web Security Testing Guide (WSTG)
  14. Software Assurance Maturity Model (SAMM)
  15. Building Security In Maturity Model (BSIMM)
  16. Podejście Black-box, White-box, i Grey-box
  17. Podejście hybrydowe
  18. Penetration Testing Execution Standard (PTES)
  19. Praca domowa

MODUŁ 3

BUDUJEMY PODSTAWY

  1. Plan gry na ten tydzień
  2. Potrzebujemy laboratorium
  3. Wirtualizacja: VirtualBox
  4. Konteneryzacja: Docker
  5. Stawiamy maszynę wirtualną (Kali Linux)
  6. Poznajemy Kaliego
  7. Poznajemy wiersz poleceń
  8. Potrzebujemy przeglądarki (Firefox Developer Edition)
  9. DevTools: Console & Networking
  10. Potrzebujemy Proxy
  11. ZAP vs BURP
  12. ZAP i jego funkcjonalności
  13. ZAP i dodatki: Add-ons
  14. ZAP i dodatki: Payloady
  15. Foxy Proxy
  16. Web 101: HTTP i cykl zapytanie-odpowiedź
  17. Web 101: Metody
  18. Web 101: Nagłówki
  19. Web 101: Document Object Model (DOM)
  20. Web 101: Same Origin Policy
  21. Praca domowa

MODUŁ 4

REKONESANS SYSTEMU

  1. Plan gry na ten tydzień
  2. Enumeracja serwera
  3. Wykrywanie usług (nmap)
  4. Skany podatności
  5. nikto
  6. Nmap + Vulners = Flan Scan
  7. OpenVAS
  8. Nessus
  9. UWAGA: Firewalls (FW)
  10. Metasploit
  11. Enumeracja web aplikacji
  12. Logika biznesowa
  13. Architektura
  14. Ręczne mapowanie
  15. Kod źródłowy strony
  16. Wykrywanie technologii
  17. Robots.txt
  18. Security.txt
  19. UWAGA: Web Application Firewalls (WAF)
  20. Bezpieczeństwo kanału komunikacyjnego (HTTP/HTTPS)
  21. Przykład sniffingu
  22. tcpdump
  23. Wireshark
  24. Praca domowa

MODUŁ 5

OWASP TOP 10 2017 A1-2

  1. Plan gry na ten tydzień
  2. Injection (2017-A1) — omówienie problemu
  3. Przykład techniczny 1: SQL Injection
  4. Przykład techniczny 2: Blind SQL Injection
  5. Przykład techniczny 3: Time-based SQL Injection
  6. Analiza przypadku
  7. Scenariusze ataków
  8. Jak znaleźć w aplikacji
  9. Jak się przed tym bronić
  10. Broken Authentication (2017-A2) — omówienie problemu
  11. Przykład techniczny 1: Credential Enumeration
  12. Przykład techniczny 2: Credential Stuffing (via Hydra)
  13. Analiza przypadku
  14. Scenariusze ataków
  15. Jak znaleźć w aplikacji
  16. Jak się przed tym bronić
  17. Praca domowa

MODUŁ 6

OWASP TOP 10 2017 A3-4

  1. Plan gry na ten tydzień
  2. Sensitive Data Exposure (2017-A3) — omówienie problemu
  3. Przykład techniczny 1: Insecure Password Storage
  4. Analiza przypadku
  5. Scenariusze ataków
  6. Jak znaleźć w aplikacji
  7. Jak się przed tym bronić
  8. XML External Entity (2017-A4) — omówienie problemu
  9. Przykład techniczny 1: In-band XXE
  10. Przykład techniczny 2: Out-of-band XXE (Blind XXE)
  11. Przykład techniczny 3: Billion laughs attack
  12. Analiza przypadku
  13. Scenariusze ataków
  14. Jak znaleźć w aplikacji
  15. Jak się przed tym bronić
  16. Praca domowa

MODUŁ 7

OWASP TOP 10 2017 A5-6

  1. Plan gry na ten tydzień
  2. Broken Access Control (2017-A5) — omówienie problemu
  3. Przykład techniczny: Insecure Direct Object References (IDOR)
  4. Analiza przypadku
  5. Scenariusze ataków
  6. Jak znaleźć w aplikacji
  7. Jak się przed tym bronić
  8. Security Misconfiguration (2017-A6) — omówienie problemu
  9. Nagłówki bezpieczeństwa
  10. HTTP Strict Transport Security (HSTS)
  11. X-Frame-Options
  12. X-XSS-Protection
  13. X-Content-Type-Options
  14. Referrer-Policy
  15. Content-Security-Policy (CSP)
  16. Cross-Origin Resource Sharing (CORS)
  17. Jak przeciwdziałać
  18. Praca domowa

MODUŁ 8

OWASP TOP 10 2017 A7-8

  1. Plan gry na ten tydzień
  2. Cross-Site Scripting (XSS) (2017-A7) — omówienie problemu
  3. Przykład techniczny 1: Reflected
  4. Przykład techniczny 2: Stored
  5. Przykład techniczny 3: DOM-based
  6. Analiza przypadku
  7. Scenariusze ataków
  8. Jak znaleźć w aplikacji
  9. Jak się przed tym bronić
  10. Insecure Deserialisation (2017-A8) — omówienie problemu
  11. Przykład techniczny
  12. Analiza przypadku
  13. Scenariusze ataków
  14. Jak znaleźć w aplikacji
  15. Jak się przed tym bronić
  16. Praca domowa

MODUŁ 9

OWASP TOP 10 2017 A9-10

  1. Plan gry na ten tydzień
  2. Using components with known vulnerabilities (2017-A9) — omówienie problemu
  3. Przykład techniczny
  4. Analiza przypadku
  5. Scenariusze ataków
  6. Jak znaleźć w aplikacji
  7. Jak się przed tym bronić
  8. Subresource Integrity (SRI)
  9. Insufficient Logging & Monitoring (2017-A10) — omówienie problemu
  10. Przykład techniczny: Credential Enumeration / Stuffing
  11. Analiza przypadku
  12. Scenariusze ataków
  13. Jak znaleźć w systemie
  14. Jak przeciwdziałać
  15. Praca domowa

MODUŁ 10

OWASP TOP 10 2013 A8+10

  1. Plan gry na ten tydzień
  2. Cross-Site Request Forgery (2013-A8) — omówienie problemu
  3. Przykład techniczny
  4. Analiza przypadku
  5. Scenariusze ataków
  6. Jak znaleźć w aplikacji
  7. Jak się przed tym bronić
  8. Unvalidated Redirects & Forwards (2013-A10) — omówienie problemu
  9. Przykład techniczny
  10. Analiza przypadku
  11. Scenariusze ataków
  12. Jak znaleźć w aplikacji
  13. Jak się przed tym bronić
  14. Praca domowa

MODUŁ 11

AUTOMATYZACJA 1: ANALIZA STATYCZNA

  1. Plan gry na ten tydzień
  2. Czym jest analiza statyczna
  3. Zalety i wady
  4. Problem sekretów
  5. Szukamy sekretów retroaktywnie (truffleHog)
  6. Chronimy repo na poziomie commita (talisman)
  7. Chronimy repo na poziomie CICD (gitleaks)
  8. Analiza składu (Software Composition Analysis)
  9. Tworzenie Software Bill of Materials (SBOM): Dependency Track
  10. Skanowanie zależności pod kątem podatności
  11. Back-end: Dependency Check, bundler-audit
  12. Front-end: Retire.JS, npm-audit
  13. Analiza statyczna aplikacji
  14. Lokalnie na maszynie dewelopera
  15. grep-based
  16. Specjalne narzędzia do skanowania (brakeman)
  17. Globalnie w CICD z platformą
  18. SonarQube
  19. Jak robi to GitHub i GitLab
  20. Praca domowa

MODUŁ 12

AUTOMATYZACJA 2: ANALIZA DYNAMICZNA

  1. Plan gry na ten tydzień
  2. Czym jest analiza dynamiczna
  3. Zalety i wady
  4. Wyszukiwanie dostępnych zasobów (dirb)
  5. Analiza dynamiczna aplikacji
  6. Mapowanie via ZAP Spider
  7. Mapowanie via ZAP AJAX Spider
  8. ZAP Attack
  9. ZAP Fuzzing
  10. Fuzzing i dodatkowe payloady
  11. BURP jako komercyjny standard
  12. ZAP i BURP — porównanie
  13. Automatyzacja ataków SQL Injection (sqlmap)
  14. Testowanie SSL/TLS
  15. SSLtest
  16. testssl.sh
  17. Jak robi to GitHub i GitLab
  18. Praca domowa

MODUŁ 13

RAPORTOWANIE

  1. Plan gry na ten tydzień
  2. Budowa dobrego raportu
  3. Jak czytać taki raport
  4. Krytyczność podatności i ryzyko
  5. CVSS
  6. DREAD
  7. CVE
  8. Analiza przypadku #1
  9. Analiza przypadku #2
  10. Analiza przypadku #3
  11. Praca domowa

BONUS: MODUŁ 14

ZAKOŃCZENIE I LIVE CALLE

  1. Co dalej?
  2. Nagranie Live Call 1
  3. Nagranie Live Call 2
  4. Nagranie Live Call 3
  5. Nagranie Live Call 4
  6. Nagranie Live Call 5
  7. Nagranie Live Call 6
  8. Nagranie Live Call 7

Gwarancja satysfakcji 100%

Akademię Bezpiecznego Kodu zaprojektowałem tak, żebyś otrzymał dużo więcej wartości niż oczekujesz. Jeżeli jednak z jakiegokolwiek powodu uznasz, że ABK nie jest dla Ciebie to wystarczy, że wyślesz e-mail w przeciągu 30 dni od startu programu (01.07.2020) na adres [email protected] i zwrócę Ci 100% zapłaconej kwoty.

FAQ — pytania zadawane podczas przedsprzedaży

Jaką formę przybierze Akademia?

Akademia Bezpiecznego Kodu to kurs on-line w formie lekcji video i materiałów do czytania i przerobienia. W lekcjach video będę omawiał poszczególne zagadnienia oraz pokazywał odpowiednie podatności i narzędzia

Do tego będzie funkcjonowała grupa mastermind gdzie ja (i inni uczestnicy) będą odpowiadać na pytania tak więc nawet jeżeli ktoś się gdzieś zablokuje to nie będzie problemu bo mastermind będzie miejscem, żeby rozjaśnić niejasności.

Czy dostanę dostęp do wszystkich modułów od razu?

W obecnej wersji Akademii (v1) testuję podejście, w którym nowe moduły wypuszczane są co tydzień startując od 01.07.2020.

Jak będzie rozłożony materiał do nauki (ilość godzin tygodniowo)?

Z materiałem będę celował w 1-2h pracy tygodniowo, ale jeżeli materiału będzie więcej (a widzę, że czasami jest) to nie będę skracał żeby wpasować się w ramy czasowe. Wychodzę z założenia, że pewne rzeczy trzeba omówić nawet jeżeli zajmie to trochę więcej czasu.

O jakie moduły planujesz uzupełnić Akademię w przyszłości?

Pomysłów jest sporo. Na pewno pojawią się moduły takie jak:

  • Threat Modeling
  • API Security
  • Docker Security
  • Variant Analysis
  • Omawianie dodatkowych klasy podatności (np. CMD Injection, SSTI, File Uploads, Path Traversals, SSRF, DNS Rebinding, GraphQL vulnerabilities, Race Conditions, etc)
  • DevSecOps (bezpieczeństwo + CICD)
  • Bug Bounty i CTF-y
  • Zagrożenia specyficzne dla technologii (Java, .NET, JavaScript, PHP, etc)

Czy będzie opcja wykupu poszczególnych lekcji/modułów?

W chwili obecnej nie planuję takiej formy sprzedaży.

Jak często i długo będą wirtualne spotkania on-line?

Spotkania będą odbywały się co drugi tydzień. Łącznie planuję siedem (7) spotkań.

Długość spotkań będzie zależeć od ilości pytań i tematów pobocznych do omawiania, nie będę narzucał twardych limitów.

Czy wystawiasz faktury?

Tak, sprzedaż odbywa się poprzez moją firmę dzięki czemu każdy klient otrzymuje fakturę automagicznie po zakupie Akademii.

Brakuje odpowiedzi na Twoje pytanie?

Napisz do mnie na: [email protected]