Transformacja

QA Security Testing Transformation

Funkcjonalność testujesz w każdym sprincie. Bezpieczeństwo — raz w roku, przy penteście. Transformacja domyka tę lukę: po sześciu tygodniach Twój zespół QA sam sprawdza bezpieczeństwo web aplikacji, na bieżąco.

Format: kohorta online + spotkania live Czas: 6 tygodni Cena: od 40 000 PLN
Zanim ruszycie

Co sprint testujecie działanie aplikacji, ale nie jej bezpieczeństwo.

Funkcjonalny bug widać od razu. Podatności nie — trzeba jej szukać celowo. Jedyny moment, w którym ktoś naprawdę próbuje złamać Wasze aplikacje, to coroczny pentest. Wszystko, co powstaje pomiędzy, trafia do użytkowników niesprawdzone. A zewnętrzne testy nie nadążają za tempem, w jakim dowozicie.

Ta transformacja jest dla Was, jeśli…

  • Macie zespół QA i chcecie, żeby to on realizował testy bezpieczeństwa, a nie tylko firma zewnętrzna raz w roku.
  • Budujecie web aplikacje i chcecie, żeby testerzy rozumieli, jak atakujący je łamie.
  • Te same klasy podatności wracają w kolejnych raportach z pentestów.
  • Chcecie odciążyć drogie testy zewnętrzne, żeby pentesterzy skupili się na tym, co naprawdę trudne.
  • Regulacje wymuszają regularne testowanie bezpieczeństwa, nie raz w roku.
Co osiągniecie

Zespół QA, który sam testuje bezpieczeństwo, nie certyfikat za obecność.

Transformacja zostawia w zespole umiejętność, której nie daje punktowe szkolenie: powtarzalny proces testowania bezpieczeństwa i raportowania znalezisk. Ten materiał przerobiły już setki testerów i inżynierów QA w największych organizacjach w kraju.

Przeszkolony zespół
Zespół QA, który samodzielnie testuje podstawowe właściwości bezpieczeństwa web aplikacji w istniejącym procesie.
Proces raportowania
Umiejętność pisania profesjonalnych raportów z testów i komunikowania ryzyk do zespołów deweloperskich.
Większe pokrycie
Bezpieczeństwo testowane na bieżąco, w każdym sprincie, a nie raz w roku podczas pentestu.
Raport i certyfikaty
Raport poszkoleniowy z sugestiami oraz certyfikaty z wyróżnieniem — dowód pod compliance.
Jak przebiega

Sześć tygodni kohorty, nie jednorazowy warsztat.

Fundamentem transformacji jest kurs OTWA. Napędzają ją cotygodniowe spotkania live wokół jego materiałów: przez sześć tygodni zespół przerabia kolejne moduły, a my spotykamy się online i rozwiązujemy problemy, na które natrafił. Do tego dochodzi ćwiczenie raportowe oraz dwie sesje o wdrożeniu w SDLC.

Spotkanie inicjalizacyjne i onboarding

Wprowadzenie do programu, omówienie Waszego procesu QA i oczekiwań oraz onboarding zespołu na platformę.

Sześć tygodni, sześć spotkań live

Co tydzień zespół przerabia kolejny moduł (rekonesans, kontrola dostępu i wstrzyknięcia, automatyzacja, SSRF, raportowanie), a my spotykamy się online na godzinę i rozwiązujemy problemy w kontekście jego aplikacji. To office hours dla zespołu z ekspertem.

Grupowe ćwiczenie raportowe

Zespół dzieli się na podgrupy; każda identyfikuje i opisuje podatność w formacie profesjonalnego raportu z testów bezpieczeństwa. Recenzujemy raporty i omawiamy je z uczestnikami, ucząc nie tylko znajdowania podatności, ale i rzetelnego dokumentowania.

Dwie sesje o wdrożeniu w SDLC

Sesja dla liderów — perspektywa zarządcza: jak zorganizować security testing w procesie, czego oczekiwać od QA, gdzie kończy się rola testera a zaczyna pentester. Oraz sesja Q&A dla testerów: jakie narzędzia na którym etapie, jak włączyć testy w pipeline, jak priorytetyzować i komunikować ryzyka.

Raport poszkoleniowy

Po programie podsumowujemy, co zauważyliśmy w rozmowach z zespołem, i przekazujemy raport z sugestiami — kierunek do dalszych decyzji, nie audyt.

Transformacja czy sam kurs online?
  • Transformacja — formuła kohortowa: sześć tygodni spotkań live z ekspertem, ćwiczenie raportowe oraz sesje o wdrożeniu w SDLC.
  • Online / self-paced — ten sam kurs OTWA i asynchroniczne wsparcie eksperta na forum, bez kohorty, ćwiczenia raportowego i sesji z biznesem.

Dla autonomicznych zespołów wariant Online często bywa wystarczający — ale to dostęp do kursu, nie transformacja. Transformację warto wybrać wtedy, gdy zależy Ci na przeprowadzeniu zespołu przez cały proces, a nie tylko na dostępie do materiału.

Zakres merytoryczny

Pełna ścieżka testera bezpieczeństwa — materiał kursu OTWA.

Tłem transformacji jest program Ofensywne Testowanie Web Aplikacji. Od fundamentów sieci Web po gotowy raport z testów: każdy moduł to praktyka na przygotowanym, kontrolowanym środowisku.

Bootloader: fundamenty testowania web

Jak naprawdę działa sieć Web (HTTP, DOM, SOP, CORS), kluczowe projekty OWASP okiem testera oraz metody oceny bezpieczeństwa: black-, grey- i white-box. Na start: własne laboratorium do testów.

Rekonesans i enumeracja

Mapowanie powierzchni ataku: stos technologiczny aplikacji, pliki specjalne na serwerze, certyfikat SSL/TLS, wykrywanie WAF-a i podsłuch lokalnego ruchu sieciowego.

Kontrola dostępu i wstrzyknięcia

Najczęstsze klasy podatności w praktyce: IDOR (dostęp do cudzych danych), Cross-Site Scripting (przejęcie sesji użytkownika) oraz fuzzing z własnymi payloadami.

Logika, konfiguracja i biblioteki

Błędy logiki biznesowej w uwierzytelnianiu, nagłówki bezpieczeństwa (HSTS, CSP), skan obrazu Dockera i podatne zależności. Do tego pryncypia bezpiecznej architektury i modelowania zagrożeń.

Uwierzytelnianie i automatyzacja

Ataki siłowe i credential stuffing, automatyzacja testów (DAST) oraz atak na łańcuch dostaw front-endu (CDN) i ochrona przez Subresource Integrity (SRI).

SSRF i raportowanie

SSRF, czyli podatność warta wielomilionowych wycieków danych, oraz ocena krytyczności znalezisk (CVE, CVSS, VRT). Finał: pełny raport pentesterski.

Standardy i narzędzia

Standardy OWASP i narzędzia, których używają atakujący.

Uczymy na uznanych standardach OWASP, z pełnym pokryciem ASVS i WSTG, które rozpoznaje każdy audytor i pentester. Cały stack jest open source i zostaje z Twoim zespołem po programie, bez kosztów licencyjnych.

OWASP Top 10 OWASP ASVS OWASP WSTG Kali Linux OWASP ZAP nmap Hydra John the Ripper sslscan CVSS / VRT
Opinie uczestników

Co mówią ludzie o naszych szkoleniach.

Nasze programy od lat wybierają zespoły inżynierskie z czołowych firm w bankowości, fintechu, ubezpieczeniach i software house'ach.

„Kursy Andrzeja to prawdziwa kopalnia wiedzy. Każdy materiał skupia się na konkretach – nie ma tu miejsca na marketingowe puste frazesy. Polecam każdemu, kto szuka solidnych podstaw bez zbędnych upiększeń."

Łukasz Mazurczak
Łukasz Mazurczak Cyber Risk Management Engineer · Santander Bank Polska

„Highly recommend if you're implementing security in the Software Development Life Cycle. Andrzej and Krzysiek are very competent, helpful and kind trainers."

Aleksandra Kornecka
Aleksandra Kornecka Senior Security Engineer

„Polecam w 100%. Wiedza przekazana w sposób przystępny i zrozumiały, co przy tematyce technicznej jest nie lada sztuką. Jestem pod wielkim wrażeniem umiejętności Andrzeja – to naprawdę duża dawka solidnej wiedzy z zakresu cyberbezpieczeństwa."

Tomasz Kuciński
Tomasz Kuciński Główny Administrator Systemu · Orange Polska

„Jestem bardzo usatysfakcjonowana. Lubię strukturę: porządny wstęp teoretyczny i logiczny podział lekcji. Andrzej jasno omawia zagadnienia, pokazuje przykładowe ataki i nie stroni od dodatkowych materiałów. W punkt!"

Karolina Dyrda
Karolina Dyrda QA Specialist

„Bardzo dobrze zaprojektowane szkolenie, pokrywające kluczowe zagadnienia bezpieczeństwa – zarówno teoretyczne, jak i praktyczne. Polecam wszystkim, którzy chcą specjalizować się w tym obszarze cyberbezpieczeństwa!"

Marek Kost
Marek Kost Senior Security Professional · CISM, CISA, CRISC

„Forma prezentacji – bomba. Merytoryka – znowu najwyższe noty. Ciągle wracam do materiałów i korzystam. Polecam!"

Marcin Kabaciński
Marcin Kabaciński Członek Zarządu · Fundacja CISO #Poland

„Super instruktor, Andrzeju pokłony. Szkolenie oparte jest na aktualnych trendach i praktykach – super praktyczne ćwiczenia."

Maciej Bartkowski
Maciej Bartkowski Head of Security · MAIN Interconnection

„Ciekawe, bardzo praktyczne szkolenie. Polecam jako wprowadzenie do tematu bezpieczeństwa aplikacji."

Tomasz Więzik
Tomasz Więzik Principal Software Developer · Axians

„Wszystko jasno wytłumaczone, świetnie poprowadzone. Polecam z całego serca!"

Gizela
Gizela Quality Engineer

„Otworzyłem oczy na wiele aspektów bezpieczeństwa, z którymi wcześniej miałem styczność jedynie pobieżnie, bez możliwości przyjrzenia się im od kuchni. Wprowadził mnie w zupełnie nowe zagadnienia, które bez wątpienia wykorzystam w codziennej praktyce."

Marcin Krupa
Marcin Krupa Starszy Analityk · Accenture

„Może korzystam z innych technologii, ale wiem czego szukać i dałabym radę. Must have dla każdego DevOpsa i architekta."

Angelika Maria Piątkowska
Angelika Maria Piątkowska Architekt · BCF Software

„Samo mięso – konkretna teoria i praktyczne podejście do tematu. Znalazłem mnóstwo cennych smaczków i optymalizacji, które od razu wdrożyłem w firmie."

Dawid Apolinarski
Dawid Apolinarski Application Security Engineer
Następny krok

Chcesz, żeby Twój zespół QA testował bezpieczeństwo?

Każda transformacja jest inna: inny zespół, inny stack, inne aplikacje. Napisz do nas, umówimy rozmowę i przygotujemy ofertę dopasowaną do Twojej organizacji.