W module 1 poznasz strukturę i harmonogram szkolenia, a następnie dowiesz się w jaki sposób podejść do studiowania i czemu komunikacja jest ważnym elementem całego programu. Ponadto poruszymy kwestie etyczne związane z hackowaniem web aplikacji oraz dowiesz się co trzeba zrobić żeby otrzymać certyfikat ukończenia.
4
miesiące
110
lekcji wideo
16
modułów
Dlaczego warto dołączyć
do szkolenia OTWA?
OTWA to 4-miesięczny kompleksowy program szkoleniowy składający się ze 110 lekcji zamkniętych w 16 modułach. Z powodu wielkości programu zapisy są dostępne jedynie 2 razy w roku: na sesję zimową oraz na sesję letnią.
Celem programu jest zbudowanie u Ciebie solidnych fundamentów w dziedzinie bezpieczeństwa web aplikacji. Przerabiając materiał od A do Z poznasz główne standardy, metodyki i narzędzia techniczne używane do testowania bezpieczeństwa web aplikacji, a następnie wykorzystasz je do własnoręcznej oceny podstawowych właściwości bezpieczeństwa aplikacji i systemów IT.
Jako uczestnik programu otrzymasz również dostęp do zamkniętej społeczności bezpieczników oraz możliwość uczestniczenia w konsultacjach grupowych.
Od zera do bohatera
Fundamenty teoretyczne
Jeszcze przed wskoczeniem w sprawy techniczne dobrze jest znać odpowiedzi na pytania “po co” coś robimy, jaki jest tego szerszy cel, i jak możemy podejść, jakich narzędzi możemy użyć do osiągnięcia tego celu. Odpowiedzi na te i inne pytania leżą w modułach 1-3.
Umiejętności praktyczne
Mając fundamenty teoretyczne możemy przejść do budowania twardych umiejętności praktycznych. To jest główna część programu OTWA oparta o listę OWASP Top 10 i narzędzia pokrewne. Pracę nad budową umiejętności technicznych rozpoczynamy w module 4 i kończymy w module 13.
Raportowanie i certyfikacja
Wybrane moduły programu OTWA zawierają wymagane prace domowe. Jako uczestnik masz możliwość (ale nie przymus) ich odrobienia, a jeśli wykażesz się tą dodatkową inicjatywą to stworzysz swój pierwszy raport z testów bezpieczeństwa web aplikacji oraz otrzymasz certyfikat ukończenia szkolenia.
Upgrade kariery
Dochodząc do końca programu umiesz wszystko to co każdy Junior Security Engineer umieć powinien. Co więcej masz na to dowód w postaci certyfikatu ukończenia szkolenia. Jeśli zechcesz możesz zmienić kierunek swojej kariery i wskoczyć w cyberbezpieczeństwo… lub potraktować cyber jako dodatkową specjalizację w tym czym już się zajmujesz.
Korzyści z uczestnictwa
Teoria + Praktyka
Celem programu jest zbudowanie solidnych fundamentów w dziedzinie bezpieczeństwa web aplikacji zarówno od strony teorii jak i od strony twardych umiejętności technicznych.
Społeczność
Jako uczestnik programu otrzymasz dostęp do zamkniętej społeczności bezpieczników. Celem tej społeczności jest wspólne wsparcie rozwoju w kierunku cyberbezpieczeństwa.
Office Hours
Każdy uczestnik szkolenia może brać udział w comiesięcznych konsultacjach grupowych online. Konsultacje grupowe to świetne miejsce żeby dostać odpowiedź na nurtujące Cię pytania.
Certyfikat
Odrobienie wszystkich wymaganych prac domowych oraz dostarczenie raportu z testów bezpieczeństwa aplikacji, którą badamy w szkoleniu kwalifikuje do otrzymania certyfikatu ukończenia szkolenia.
Bezterminowy dostęp
Szkolenie jest dostępne w postaci wcześniej przygotowanych lekcji wideo. Dzięki temu możesz uczyć się gdzie chcesz i kiedy chcesz oraz wracać do szkolenia w dogodnym dla siebie momencie.
Standardy + Narzędzia
Program zbudowany jest wokół uznanych rynkowych standardów i narzędzi. Takie podejście umożliwia Ci eksplorowanie tematu bezpieczeństwa aplikacji na własną rękę długo po zakończeniu szkolenia.
Co zyskasz
po szkoleniu?
Nowe umiejętności
Nauczysz się szukać, znajdywać i raportować podatności w aplikacjach i systemach IT.
Z kolei całość umiejętności zbudujesz w kontekście projektów OWASP, które wyznaczają branżowe standardy oraz są jedną z najważniejszych kompetencji na stanowiska związane z cyberbezpieczeństwem.
Dowód nauki
Po odrobieniu wszystkich wymaganych prac domowych oraz dostarczeniu raportu z testów bezpieczeństwa aplikacji, którą badamy w szkoleniu otrzymasz certyfikat ukończenia szkolenia.
Certyfikat ten jest dowodem uzyskania przez Ciebie umiejętności praktycznych i gra rolę cennego artefaktu.
Nowy kierunek
Cyberbezpieczeństwo jest zarówno szerokie jak i głębokie dlatego jest świetnym kierunkiem kariery.
Po przerobieniu szkolenia OTWA od A do Z będziesz umieć wszystko to co Junior Security Engineer umieć powinien i jeśli tylko zechcesz możesz pójść dalej w kierunku cyberbezpieczeństwa.
Narzędzia, które poznasz i użyjesz:
Dla kogo przeznaczone
jest to szkolenie?
Testerzy
Pracując w roli testera jesteś w świetnej pozycji żeby dodać specjalizację bezpieczeństwa do swojego arsenału umiejętności i wyłapywać podatności zanim trafią na produkcję. Security możesz potraktować jako specjalizację… lub nową ścieżkę kariery!
Deweloperzy
Tworząc aplikacje zależy Ci pewnie na tym, żeby były one bezpieczne, a żeby wiedzieć jak coś zabezpieczyć to najpierw trzeba wiedzieć jak można to popsuć. Zadaniem OTWA jest nauczenie Cię tego w jaki sposób hakerzy najczęściej atakują web aplikacje.
Bezpiecznicy
Pracując w roli bezpiecznika na początku swojej drogi może Ci brakować szerszego spojrzenia na domenę bezpieczeństwa aplikacji, czyli na bardzo ważny obszar wokół którego dzieje się wiele. Z OTWA uzupełnisz te braki.
Certyfikat
Jeżeli odrobisz wszystkie wymagane prace domowe i dostarczysz swój raport z testów bezpieczeństwa aplikacji, którą badamy w programie to otrzymasz certyfikat ukończenia szkolenia.
A co mówią uczestnicy
poprzednich sesji szkolenia?
Mentor –
Andrzej Dyjak
Architekt bezpieczeństwa z kilkunastoletnim doświadczeniem, aktywny konsultant, prelegent i szkoleniowiec.
Doświadczenie zdobywał w kraju i za granicą (🇩🇰 🇬🇧) dostarczając pełne spektrum oceny bezpieczeństwa dla organizacji z sektora prywatnego i publicznego.
Czego dokładnie nauczysz się w szkoleniu?
Celem programu jest zbudowanie u Ciebie solidnych fundamentów w dziedzinie bezpieczeństwa web aplikacji. Przerabiając materiał od A do Z poznasz główne standardy, metodyki i narzędzia techniczne używane do testowania bezpieczeństwa web aplikacji, a następnie wykorzystasz je do własnoręcznej oceny podstawowych właściwości bezpieczeństwa aplikacji i systemów IT.
SPRAWDŹ SZCZEGÓŁOWĄ AGENDĘ →
Agenda
szkolenia OTWA
Moduł 1: Powitanie i plan gry
Moduł 2: Fundamenty teoretyczne
W module 2 zbudujemy fundamenty teoretyczne związane z wysokopoziomowym spojrzeniem na bezpieczeństwo aplikacji. Poznasz tutaj różnice pomiędzy obszarami cyberbezpieczeństwa takimi jak CorpSec, NetSec i AppSec. Dowiesz się czym jest triada CIA i jakie dodatkowe właściwości bezpieczeństwa mogą ją uzupełnić, a następnie poznasz relację pomiędzy słabością a podatnością oraz zagrożeniem a ryzykiem. Dowiesz się również w jaki różny sposób można podchodzić do oceny bezpieczeństwa systemów IT i zrozumiesz różnice pomiędzy podejściami black-box, white-box oraz gray-box. Całość zamkniemy omówieniem przydatnych projektów OWASP, które będziemy wykorzystywać w szkoleniu jako fundament do pracy praktycznej.
Moduł 3: Fundamenty praktyczne
W module 3 zbudujemy fundamenty praktyczne związane z testowaniem bezpieczeństwa web aplikacji. To w tym module postawisz swoje lokalne laboratorium, z którego będziesz korzystać w dalszej części szkolenia. Następnie przypomnisz sobie podstawy tego w jaki sposób działa sieć World Wide Web – od tematów takich jak cykl zapytanie-odpowiedź przez tematy takie jak ciasteczka czy Document Object Model aż do tematów takich jak Same Origin Policy czy Cross-Origin Resource Sharing. A na zakończenie tego modułu poznasz wachlarz możliwości jakie daje narzędzie typu proxy (Zed Attack Proxy – ZAP) pod kątem testowania web aplikacji.
Moduł 4: Rekonesans i enumeracja web aplikacji
W module 4 nauczysz się przeprowadzać rekonesans i enumerację web aplikacji, czyli dowiesz się m.in. jak ustalić stos technologiczny web aplikacji, co ciekawego można znaleźć w kodzie źródłowym strony oraz jakie specjalne pliki mogą czaić się na serwerze. Ponadto wykonasz podstawowy skan podatności web serwera oraz poznasz pierwszą klasę problemów z listy OWASP Top 10, a konkretnie A2-Cryptographic Failures, czyli problemy związane z użyciem kryptografii na przykładzie niebezpiecznego kanału komunikacyjnego (HTTP bez SSL/TLS).
Moduł 5: Kontrola dostępu
W module 5 poznasz A1-Broken Access Control, czyli pierwszą pozycję z listy OWASP Top 10. Ta klasa problemów związana jest z błędami w obsłudze dostępu, a my omówimy ją szczegółowo na przykładzie podatności Insecure Direct Object Reference (IDOR), która jest jedną z najgroźniejszych i najczęściej występujących podatności w web aplikacjach.
Moduł 6: Wstrzyknięcia
W module 6 poznasz A3-Injections, czyli trzecią pozycję z listy OWASP Top 10. Ta klasa problemów związana jest w błędami w obsłudze danych wejściowych od użytkownika, co w pewnych przypadkach krańcowych daje możliwość wykonania kodu atakującemu. Tę klasę problemów omawiamy na przykładzie podatności Cross-Site Scripting (XSS), która nawiedza web aplikacje od ponad 20 lat i w dalszym ciągu nie chce dać za wygraną.
Moduł 7: Podatności wynikające z logiki aplikacji
W module 7 poznasz A4-Insecure Design, czyli czwartą pozycję z listy OWASP Top 10. Ta klasa problemów wynika z niedociągnięć na poziomie projektowania i architektury aplikacji, a więc jest czymś dużo głębszym niż proste błędy implementacyjne. Ten szeroki zakres problemów omawiamy na wybranych podatnościach w aplikacji testowej.
Moduł 8: Podatności wynikające z konfiguracji
W module 8 poznasz A5-Security Misconfiguration, czyli piąta pozycję z listy OWASP Top 10. Ta szeroka klasa problemów bezpieczeństwa dotyczy zarówno aplikacji jak i infrastruktury, a my przestudiujemy ją na nagłówkach bezpieczeństwa (Security Headers).
Moduł 9: Podatności w komponentach zewnętrznych
W module 9 poznasz A6-Vulnerable and Outdated Components, czyli szóstą pozycję z listy OWASP Top 10. To bardzo ciekawa klasa problemów, które nie dotyczą bezpośrednio kodu aplikacji, ale bibliotek, z których aplikacja korzysta. Co więcej problem ten dotyka on zarówno front-endu jak i back-endu. Ten problem omawiamy na wybranych podatnościach w aplikacji testowej.
Moduł 10: Uwierzytelnianie
W module 10 poznasz A7-Identification and Authentication Failures, czyli siódmą pozycję z listy OWASP Top 10. Ta klasa problemów związana jest w błędami w mechanizmie uwierzytelniania i w skrajnych przypadkach może mieć katastrofalne skutki. Tę klasę problemów omawiamy na przykładzie ataków siłowych (Brute Force) oraz ataku Credential Stuffing.
Moduł 11: Problemy z integralnością aplikacji i danych
W module 11 poznasz A8-Software and Data Integrity Failures, czyli ósmą pozycję z listy OWASP Top 10. Ta klasa problemów związana jest z błędami w utrzymaniu i weryfikacji integralności zarówno danych jak i używanego oprogramowania. Tę klasę problemów omawiamy na przykładzie ataku na łańcuch dostawczy poprzez Content Delivery Network (CDN).
Moduł 12: Monitorowanie i logowanie
W module 12 poznasz A9-Security Logging and Monitoring Failures, czyli dziewiątą pozycję z listy OWASP Top 10. Ta klasa problemów związana jest z błędami w logowaniu i monitorowaniu stanu aplikacji co ma bezpośredni wpływ na jej bezpieczeństwo. Tę klasę problemów omawiamy na przykładzie realnych ataków zautomatyzowanych zarówno na web aplikację jak i na web serwer.
Moduł 13: Podatność Server-Side Request Forgery
W module 13 poznasz podatność A10-Server-Side Request Forgery, czyli ostatnią pozycję z listy OWASP Top 10. W chwili obecnej jest to jedyna podatność (a nie klasa!) na liście OWASP Top 10. Podatność SSRF w pewnych sprzyjających warunkach może prowadzić do katastrofalnych skutków.
Moduł 14: Raportowanie
W module 14 poznasz narzędzia pozwalające na klasyfikację podatności pod różnymi względami (np. typu czy krytyczności). Ponadto zobaczysz jak wyglądają solidne raporty z testów bezpieczeństwa aplikacji od topowych firm takich jak Trail of Bits czy Doyensec.
Moduł 15: Co dalej
W module 15 dowiesz się na jakie różne sposoby możesz dalej rozwijać swoje umiejętności – od dalszej pracy w warunkach laboratoryjnych, przez naukę ‘w realnym świecie’ aż po dalszą podróż w stronę ofensywy. Ponadto dowiesz się jakie certyfikaty branżowe są warte czasu i uwagi oraz w jaki sposób dokumentacja Twojej podróży w miejscu publicznym może Ci pomóc.
Moduł 16: BONUS
- Nagrania ze spotkań w ramach Office Hours
- Lekcja uzupełniająca: SQL Injection
- Lekcja uzupełniająca: Cross-Site Request Forgery (CSRF)
- Lekcja uzupełniająca: Unvalidated Redirects & Forwards
- Lekcja uzupełniająca: XML External Entity (XXE)
- Lekcja uzupełniająca: Insecure Deserialization
Gwarancja satysfakcji...
Program OTWA zbudowany jest tak żeby dać Ci maksimum wartości. Dlatego jako uczestnik szkolenia otrzymujesz 30-dniową gwarancję satysfakcji. A co to oznacza?
... albo zwrot pieniędzy
Jeżeli z jakiegokolwiek powodu okaże się, że OTWA nie jest dla Ciebie to masz 30 dni na pełny zwrot (liczone od startu szkolenia). Wystarczy, że napiszesz na adres: [email protected] i po sprawie.
Dołączam do szkolenia
Ofensywne Testowanie Web Aplikacji
Czas na decyzję... Chcesz wskoczyć na nowy, wyższy poziom? Chcesz nauczyć się testować bezpieczeństwo i zhackować swoje web aplikacje zanim zrobią to inni? Jeżeli TAK to dołącz do sesji “Zima 2022” szkolenia OTWA już teraz w najniższej cenie.
UWAGA: Sesja "Zima 2022" wystartowała 31.10.2022 i już trwa!
Dostęp indywidualny
*** zł
- 4-miesięczny program OTWA
- Dożywotni dostęp do materiałów
- Dostęp do zamkniętej społeczności
- Konsultacje grupowe raz w miesiącu
- BONUS: Nagrania z konsultacji oraz lekcje uzupełniające
Potrzebujesz dostęp dla grupy?
Skontaktuj się z nami
W procesie wytwórczym za bezpieczeństwo odpowiedzialny jest każdy. Jeśli rozważasz zakup szkolenia OTWA dla swojego zespołu i potrzebujesz dostępów dla większej ilości osób to napisz na adres [email protected] – pomożemy Ci przejść przez cały proces zakupowy sprawnie i szybko.
Czy jest inna droga?
Oczywiście! Wiedza w obecnych czasach jest dostępna w Internecie za darmo i nic nie stoi na przeszkodzie żeby zdobyć ją na własną rękę. Program OTWA to droga na skróty pozwalająca przebyć tę samą trasę szybciej, sprawniej i taniej.
FAQ...
czyli najczęściej
zadawane pytania
Kiedy dostanę dostęp do szkolenia?
Z powodu wielkości programu zapisy są dostępne jedynie 2 razy w roku: na sesję zimową oraz na sesję letnią. Sesja "Zima 2022" wystartowała 31.10.2022 i już trwa – dostęp do materiałów uzyskasz wkrótce po zakupie.
Czy dostanę dostęp do wszystkich modułów od razu?
Nie – nowe moduły wypuszczane są co tydzień po to, aby uniknąć natłoku materiału i zoptymalizować progresję nauki.
Czy otrzymam fakturę VAT?
Oczywiście – przy zakupie wypełnij pole NIP i automatycznie otrzymasz fakturę VAT zaraz po zakupie na podaną skrzynkę e-mail.
Czy mogę otrzymać fakturę pro-forma
Oczywiście – wystarczy, że prześlesz nam dane firmy mailowo, a przygotujemy dla Ciebie i prześlemy fakturę pro-forma do opłacenia.
Czy mogę zwrócić zakupione szkolenie?
Tak – w ciągu 30 dni od startu szkolenia masz prawo do pełnego zwrotu kosztów, bez pytań. Po prostu napisz do nas wiadomość, aby otrzymać zwrot lub skorzystaj z odpowiedniej opcji w panelu.
Czy mogę przesłać zakupione szkolenie innej osobie?
Nie – zakup obejmuje licencję, która jest ważna tylko dla jednej osoby. Jeśli chcesz kupić go na prezent, skontaktuj się z nami mailowo. Możesz też dokonać zakupu licencji grupowej dla pracowników.
Czy mogę pobrać materiały wideo na dysk?
W przypadku tego szkolenia możliwe jest wyłącznie oglądanie go przez naszą stronę, w trybie online. Program jest aktualizowany i zapewnia to również, że zawsze masz dostępną najnowszą wersję.
Jak otrzymam aktualizacje?
Nie musisz nic robić – program na naszej stronie będzie zawsze w najbardziej aktualnej wersji. Jeśli dokonamy ważnej aktualizacji, poinformujemy Cię również o tym mailowo.
Czy są jakieś wymagania techniczne?
Aby odtwarzać materiały szkoleniowe musisz posiadać jedną z popularnych przeglądarek, np. Chrome, Brave lub Firefox, w najnowszej wersji. Jeśli Twoja przeglądarka blokuje strony, polecamy zdjąć blokadę dla naszego serwisu. Poza tym, potrzebujesz połączenia z internetem.
Gdzie mogę uzyskać pomoc?
Jeśli potrzebujesz pomocy, skontaktuj się z nami poprzez e-mail: [email protected]
Brakuje Twojego pytania? Napisz!
[email protected]
[email protected]
