QA Security Testing Transformation
Funkcjonalność testujesz w każdym sprincie. Bezpieczeństwo — raz w roku, przy penteście. Transformacja domyka tę lukę: po sześciu tygodniach Twój zespół QA sam sprawdza bezpieczeństwo web aplikacji, na bieżąco.
Co sprint testujecie działanie aplikacji, ale nie jej bezpieczeństwo.
Funkcjonalny bug widać od razu. Podatności nie — trzeba jej szukać celowo. Jedyny moment, w którym ktoś naprawdę próbuje złamać Wasze aplikacje, to coroczny pentest. Wszystko, co powstaje pomiędzy, trafia do użytkowników niesprawdzone. A zewnętrzne testy nie nadążają za tempem, w jakim dowozicie.
Ta transformacja jest dla Was, jeśli…
- Macie zespół QA i chcecie, żeby to on realizował testy bezpieczeństwa, a nie tylko firma zewnętrzna raz w roku.
- Budujecie web aplikacje i chcecie, żeby testerzy rozumieli, jak atakujący je łamie.
- Te same klasy podatności wracają w kolejnych raportach z pentestów.
- Chcecie odciążyć drogie testy zewnętrzne, żeby pentesterzy skupili się na tym, co naprawdę trudne.
- Regulacje wymuszają regularne testowanie bezpieczeństwa, nie raz w roku.
Zespół QA, który sam testuje bezpieczeństwo, nie certyfikat za obecność.
Transformacja zostawia w zespole umiejętność, której nie daje punktowe szkolenie: powtarzalny proces testowania bezpieczeństwa i raportowania znalezisk. Ten materiał przerobiły już setki testerów i inżynierów QA w największych organizacjach w kraju.
Sześć tygodni kohorty, nie jednorazowy warsztat.
Fundamentem transformacji jest kurs OTWA. Napędzają ją cotygodniowe spotkania live wokół jego materiałów: przez sześć tygodni zespół przerabia kolejne moduły, a my spotykamy się online i rozwiązujemy problemy, na które natrafił. Do tego dochodzi ćwiczenie raportowe oraz dwie sesje o wdrożeniu w SDLC.
Spotkanie inicjalizacyjne i onboarding
Wprowadzenie do programu, omówienie Waszego procesu QA i oczekiwań oraz onboarding zespołu na platformę.
Sześć tygodni, sześć spotkań live
Co tydzień zespół przerabia kolejny moduł (rekonesans, kontrola dostępu i wstrzyknięcia, automatyzacja, SSRF, raportowanie), a my spotykamy się online na godzinę i rozwiązujemy problemy w kontekście jego aplikacji. To office hours dla zespołu z ekspertem.
Grupowe ćwiczenie raportowe
Zespół dzieli się na podgrupy; każda identyfikuje i opisuje podatność w formacie profesjonalnego raportu z testów bezpieczeństwa. Recenzujemy raporty i omawiamy je z uczestnikami, ucząc nie tylko znajdowania podatności, ale i rzetelnego dokumentowania.
Dwie sesje o wdrożeniu w SDLC
Sesja dla liderów — perspektywa zarządcza: jak zorganizować security testing w procesie, czego oczekiwać od QA, gdzie kończy się rola testera a zaczyna pentester. Oraz sesja Q&A dla testerów: jakie narzędzia na którym etapie, jak włączyć testy w pipeline, jak priorytetyzować i komunikować ryzyka.
Raport poszkoleniowy
Po programie podsumowujemy, co zauważyliśmy w rozmowach z zespołem, i przekazujemy raport z sugestiami — kierunek do dalszych decyzji, nie audyt.
- Transformacja — formuła kohortowa: sześć tygodni spotkań live z ekspertem, ćwiczenie raportowe oraz sesje o wdrożeniu w SDLC.
- Online / self-paced — ten sam kurs OTWA i asynchroniczne wsparcie eksperta na forum, bez kohorty, ćwiczenia raportowego i sesji z biznesem.
Dla autonomicznych zespołów wariant Online często bywa wystarczający — ale to dostęp do kursu, nie transformacja. Transformację warto wybrać wtedy, gdy zależy Ci na przeprowadzeniu zespołu przez cały proces, a nie tylko na dostępie do materiału.
Pełna ścieżka testera bezpieczeństwa — materiał kursu OTWA.
Tłem transformacji jest program Ofensywne Testowanie Web Aplikacji. Od fundamentów sieci Web po gotowy raport z testów: każdy moduł to praktyka na przygotowanym, kontrolowanym środowisku.
Bootloader: fundamenty testowania web
Jak naprawdę działa sieć Web (HTTP, DOM, SOP, CORS), kluczowe projekty OWASP okiem testera oraz metody oceny bezpieczeństwa: black-, grey- i white-box. Na start: własne laboratorium do testów.
Rekonesans i enumeracja
Mapowanie powierzchni ataku: stos technologiczny aplikacji, pliki specjalne na serwerze, certyfikat SSL/TLS, wykrywanie WAF-a i podsłuch lokalnego ruchu sieciowego.
Kontrola dostępu i wstrzyknięcia
Najczęstsze klasy podatności w praktyce: IDOR (dostęp do cudzych danych), Cross-Site Scripting (przejęcie sesji użytkownika) oraz fuzzing z własnymi payloadami.
Logika, konfiguracja i biblioteki
Błędy logiki biznesowej w uwierzytelnianiu, nagłówki bezpieczeństwa (HSTS, CSP), skan obrazu Dockera i podatne zależności. Do tego pryncypia bezpiecznej architektury i modelowania zagrożeń.
Uwierzytelnianie i automatyzacja
Ataki siłowe i credential stuffing, automatyzacja testów (DAST) oraz atak na łańcuch dostaw front-endu (CDN) i ochrona przez Subresource Integrity (SRI).
SSRF i raportowanie
SSRF, czyli podatność warta wielomilionowych wycieków danych, oraz ocena krytyczności znalezisk (CVE, CVSS, VRT). Finał: pełny raport pentesterski.
Standardy OWASP i narzędzia, których używają atakujący.
Uczymy na uznanych standardach OWASP, z pełnym pokryciem ASVS i WSTG, które rozpoznaje każdy audytor i pentester. Cały stack jest open source i zostaje z Twoim zespołem po programie, bez kosztów licencyjnych.
Co mówią ludzie o naszych szkoleniach.
Nasze programy od lat wybierają zespoły inżynierskie z czołowych firm w bankowości, fintechu, ubezpieczeniach i software house'ach.
„Kursy Andrzeja to prawdziwa kopalnia wiedzy. Każdy materiał skupia się na konkretach – nie ma tu miejsca na marketingowe puste frazesy. Polecam każdemu, kto szuka solidnych podstaw bez zbędnych upiększeń."
„Highly recommend if you're implementing security in the Software Development Life Cycle. Andrzej and Krzysiek are very competent, helpful and kind trainers."
„Polecam w 100%. Wiedza przekazana w sposób przystępny i zrozumiały, co przy tematyce technicznej jest nie lada sztuką. Jestem pod wielkim wrażeniem umiejętności Andrzeja – to naprawdę duża dawka solidnej wiedzy z zakresu cyberbezpieczeństwa."
„Jestem bardzo usatysfakcjonowana. Lubię strukturę: porządny wstęp teoretyczny i logiczny podział lekcji. Andrzej jasno omawia zagadnienia, pokazuje przykładowe ataki i nie stroni od dodatkowych materiałów. W punkt!"
„Bardzo dobrze zaprojektowane szkolenie, pokrywające kluczowe zagadnienia bezpieczeństwa – zarówno teoretyczne, jak i praktyczne. Polecam wszystkim, którzy chcą specjalizować się w tym obszarze cyberbezpieczeństwa!"
„Forma prezentacji – bomba. Merytoryka – znowu najwyższe noty. Ciągle wracam do materiałów i korzystam. Polecam!"
„Super instruktor, Andrzeju pokłony. Szkolenie oparte jest na aktualnych trendach i praktykach – super praktyczne ćwiczenia."
„Ciekawe, bardzo praktyczne szkolenie. Polecam jako wprowadzenie do tematu bezpieczeństwa aplikacji."
„Wszystko jasno wytłumaczone, świetnie poprowadzone. Polecam z całego serca!"
„Otworzyłem oczy na wiele aspektów bezpieczeństwa, z którymi wcześniej miałem styczność jedynie pobieżnie, bez możliwości przyjrzenia się im od kuchni. Wprowadził mnie w zupełnie nowe zagadnienia, które bez wątpienia wykorzystam w codziennej praktyce."
„Może korzystam z innych technologii, ale wiem czego szukać i dałabym radę. Must have dla każdego DevOpsa i architekta."
„Samo mięso – konkretna teoria i praktyczne podejście do tematu. Znalazłem mnóstwo cennych smaczków i optymalizacji, które od razu wdrożyłem w firmie."
Transformacja to nie koniec.
Po wdrożeniu dowolnej praktyki bezpieczeństwa organizacja zwykle potrzebuje kogoś, kto pomoże ją pogłębić i utrzymać. Możemy iść dalej: od niezależnej weryfikacji po stały nadzór.
Wdrożenie praktyki
Możemy wziąć testowanie bezpieczeństwa w procesie QA i wdrożyć je głębiej w organizacji — od proof of concept po monitoring skuteczności.
Doradztwo →→Weryfikacja efektu
Po transformacji niezależny test bezpieczeństwa albo audyt dojrzałości pokazuje, czy nowa praktyka realnie podniosła poziom.
Weryfikacja →→Stały nadzór
Managed Security Program: czuwamy nad wdrożonymi praktykami w procesie wytwórczym, monitorujemy skuteczność i reagujemy na zmiany.
Doradztwo →→Chcesz, żeby Twój zespół QA testował bezpieczeństwo?
Każda transformacja jest inna: inny zespół, inny stack, inne aplikacje. Napisz do nas, umówimy rozmowę i przygotujemy ofertę dopasowaną do Twojej organizacji.