Bezpieczny Kod

Ofensywne Testowanie Web Aplikacji (OTWA)

Wzmocnij bezpieczeństwo swoich web aplikacji. Naucz się identyfikować i eliminować krytyczne podatności, bazując na OWASP Top 10, ASVS i WSTG.

To szkolenie wyposaży Twój zespół w umiejętności ofensywnego testowania. Zdobyte kompetencje pozwolą Wam podnieść poziom bezpieczeństwa tworzonych i utrzymywanych aplikacji oraz systemów IT.

Zobacz opinie
Poznaj agendę
Ofensywne Testowanie

Forma szkolenia

👥

Idealnymi odbiorcami szkolenia są Testerzy i Inżynierzy QA, Programiści, Administratorzy, DevOps, oraz Inżynierzy Bezpieczeństwa.

👨‍🏫

Szkolenie jest w formie interaktywnego warsztatu 80:20 – większość czasu (80%) spędzamy wykonując praktyczne ćwiczenia, a pozostałą część (20%) poznając teorię.

⏱️

Czas trwania szkolenia w formie stacjonarnej to 2 pełne dni szkoleniowe.

🛠️

Efektywne przerabianie programu wymaga posiadania komputera, środowiska wirtualnego (VM), oraz Dockera. Przed szkoleniem dostarczamy instrukcję co należy zainstalować.

Program jako kurs online

Program „Ofensywne Testowanie Web Aplikacji” oferujemy również jako kohortowy kurs online. Edycja trwa 5+1 tygodni z cotygodniowymi spotkaniami online i wspólnym przerabianiem materiału. Dodatkowy tydzień przeznaczony jest na uzupełnienie zaległości i oddanie prac domowych.

Dowiedz się więcej ↗

Agenda (w skrócie)

Fundamenty cyberbezpieczeństwa

Uczestnicy poznają fundamenty działania sieci Web, w tym protokół HTTP, strukturę DOM oraz mechanizmy bezpieczeństwa jak SOP i CORS. Zgłębią Triadę CIA (Poufność, Integralność, Dostępność) jako podstawę bezpieczeństwa informacji. Zrozumieją różnice między CorpSec, NetSec i AppSec w kontekście całościowego podejścia do cyberbezpieczeństwa. Poznają różne metody oceny bezpieczeństwa aplikacji i systemów IT, w tym specyfikę testowania Black-box, Gray-box oraz White-box.

Rekonesans i enumeracja

Uczestnicy nauczą się odkrywać stos technologiczny web aplikacji i skanować je pod kątem dostępnych zasobów. Poznają techniki automatycznego skanowania podatności serwera web oraz weryfikacji bezpieczeństwa certyfikatów SSL/TLS. Zgłębią metody aktywnego podsłuchu ruchu sieciowego i wykrywania Web Application Firewalls (WAF).

Podatności w AuthZ i wstrzyknięcia kodu

Uczestnicy nauczą się wykorzystywać podatność IDOR do uzyskania nieautoryzowanego dostępu do danych. Poznają techniki przeprowadzania ataków XSS, symulując realne scenariusze wykradania ciasteczek użytkowników. Zgłębią metody automatycznego skanowania podatności web aplikacji z użyciem niestandardowych payloadów (Fuzzing).

Błędna logika, konfiguracja & podatne biblioteki

Uczestnicy poznają proces Modelowania Zagrożeń i pryncypia bezpiecznej architektury. Nauczą się wykrywać podatności w logice biznesowej, skupiając się na mechanizmach uwierzytelniania. Zgłębią analizę nagłówków bezpieczeństwa, w tym ocenę poprawności polityk HSTS i CSP. Poznają techniki automatycznego skanowania podatności bibliotek oraz obrazów Dockerowych.

Podatności w AuthN, integralność & automatyzacja ataków

Uczestnicy nauczą się przeprowadzać ataki siłowe na mechanizmy uwierzytelniania web aplikacji i usług (np. OpenSSH). Poznają metody automatyzacji procesu wykrywania podatności poprzez Analizę Dynamiczną (DAST). Zgłębią techniki atakowania łańcucha dostawczego na przykładzie front-end oraz zrozumieją rolę mechanizmu Subresource Integrity (SRI) w ochronie przed takimi atakami.

Raportowanie

Uczestnicy nauczą się oceniać krytyczność wykrytych problemów bezpieczeństwa, wykorzystując systemy CVE i CVSS. Poznają metody identyfikacji znanych podatności oraz techniki klasyfikacji nowo odkrytych zagrożeń z użyciem VRT. Zgłębią charakterystykę efektywnego raportu z testów bezpieczeństwa. Na zakończenie, zdobędą wiedzę o możliwych ścieżkach dalszego rozwoju w dziedzinie bezpieczeństwa aplikacji webowych.

Pomożemy Twojemu zespołowi nabyć kluczowe umiejętności w cyberbezpieczeństwie.
Poznaj pełną agendę programu Ofensywne Testowanie Web Aplikacji.

Pełna oferta w PDF ↗

O naszych programach mówią

Szkolenie było dla mnie maksymalnie merytoryczne, praktyczne i ciekawe. Dostałem ogrom skomplikowanej wiedzy przekazanej w sposób prosty i przejrzysty.

— Łukasz Zajączkowski, QA Engineer

Ze względu na dynamiczny charakter dziedziny bezpieczeństwa aplikacji, szkolenie powinno uwzględniać najnowsze zagrożenia, techniki ataków i narzędzia obronne. Szkolenie oparte jest na aktualnych trendach i praktykach. Super praktyczne ćwiczenia.

— Maciej Bartkowski, Head of Security Department

Fantastyczne szkolenie! Wszystkie koncepty omówione bez zbędnego rozwlekania, wszystko w punkt!

— Paweł Tutka, DevOps Engineer

Wiedza wyniesiona stała się zalążkiem do e-booka o bezpieczeństwie, który napisałem razem z moją firmą. Jeżeli chcesz pisać bezpieczne aplikacje, OTWA jest dla Ciebie!

— Rafał Hofman, Software Engineer

Jestem pod wielkim wrażeniem umiejętności Andrzeja i polecam wszystkim uczestnictwo w organizowanych przez niego szkoleniach. To naprawdę duża dawka solidnej wiedzy z zakresu cyberbezpieczeństwa.

— Tomasz Kuciński, Główny Administrator Systemu

Udział w kursie nie tylko dostarczył mi wiedzy na temat cybersecurity, którą będę wykorzystywać w codziennej pracy, ale także dużo zabawy przy atakowaniu aplikacji Juice Shop!

— Karolina Dyrda, QA Specialist

Dowiemy się nie tylko jak jak testować i pisać bezpieczne oprogramowanie ale co równie ważne dlaczego powinniśmy to robić. Dzięki niemu usystematyzowałem wiedzę, usprawniłem używane procesy DevSecOps i wprowadziłem nowe.

— Lucjan, DevOps Engineer

Materiał szkoleniowy był bardzo dobrze przygotowany i zawierał mnóstwo praktycznych informacji, które z pewnością będą przydatne w codziennej pracy związanej z testowaniem aplikacji webowych. Na plus należy także zaliczyć różnorodność tematów poruszanych podczas szkolenia, co pozwoliło na zrozumienie zagadnień związanych z ofensywnym testowaniem od strony technicznej, ale także z punktu widzenia procesów i strategii.

— Adrian Maryniewski, QA Engineer

W programie zawarte są kluczowe zagadnienia, standardy i wytyczne dotyczące testowania bezpieczeństwa, techniki wykrywania podatności, a także wymagania dotyczące ich raportowania. Polecam wszystkim, którzy chcą specjalizować się w tym obszarze cyber bezpieczeństwa!

— Marek Kost, Senior Security Professional (CISM, CISA, CRISC)

Nasze treści w tym obszarze

  • Budowanie Programu Security Champions i DevSecOps w FinTech (przypadek XTB)

    Budowanie Programu Security Champions i DevSecOps w FinTech (przypadek XTB)

    Łukasz Jagielski z XTB o budowaniu programu Security Champions i wdrażaniu DevSecOps w fintechu. Praktyczne doświadczenia: od inspiracji BNP Paribas, przez wdrażanie bez zaburzania flow deweloperów, po mierzenie sukcesu transformacji bezpieczeństwa.

    Więcej →

  • Cyberbezpieczeństwo w USA vs Polska: Różnice, AI i Rynek Pracy

    Cyberbezpieczeństwo w USA vs Polska: Różnice, AI i Rynek Pracy

    Maciej zauważa, że w USA cyberbezpieczeństwo jest postrzegane jako wartość biznesowa, generująca zyski i spełniająca oczekiwania klientów. To podejście jest bardziej zaawansowane niż w Polsce, gdzie często traktuje się je wyłącznie jako koszt. Podkreśla niską świadomość zagrożeń cyfrowych, w tym AI, oraz nieskuteczność szkoleń phishingowych.

    Więcej →

  • Architekt o cybersecurity. Czy wszyscy w IT muszą znać się na bezpieczeństwie?

    Architekt o cybersecurity. Czy wszyscy w IT muszą znać się na bezpieczeństwie?

    Michał, tech lead i architekt, podkreśla rosnącą świadomość bezpieczeństwa programistów i podejście „shift-left”. Elastyczność i ciągła nauka są kluczowe. Testy bezpieczeństwa wdraża się po incydentach lub dla zgodności. Zabezpieczenie VPS wymaga firewalla, fail2ban i rozważnego wystawiania usług. Dla początkujących w CyberSec poleca TryHackMe, aby przetestować zainteresowanie.

    Więcej →

Umów konsultację na temat tego szkolenia

Nie wiesz czy to szkolenie najlepiej odpowie na potrzeby Twojego zespołu? Skorzystaj z bezpłatnej konsultacji i pozwól nam dopasować idealny program do Twoich celów.

Umów konsultację →