pxl

Ofensywne Testowanie
Web Aplikacji

Uczestniczysz w procesie wytwórczym oprogramowania? Wskocz na nowy, wyższy poziom. Naucz się testować bezpieczeństwo i zhackuj swoje web aplikacje zanim zrobią to inni!

Szkolenie przeszło już ponad 100 uczestników, sprawdź co o nim mówią!

SzczegółyDołączam
4 miesiące
110 lekcji wideo
16 modułów

Dlaczego warto dołączyć
do szkolenia OTWA?

OTWA to 4-miesięczny kompleksowy program szkoleniowy składający się ze 110 lekcji zamkniętych w 16 modułach. Z powodu wielkości programu zapisy są dostępne jedynie 2 razy w roku: na sesję zimową oraz na sesję letnią.

Celem programu jest zbudowanie u Ciebie solidnych fundamentów w dziedzinie bezpieczeństwa web aplikacji. Przerabiając materiał od A do Z poznasz główne standardy, metodyki i narzędzia techniczne używane do testowania bezpieczeństwa web aplikacji, a następnie wykorzystasz je do własnoręcznej oceny podstawowych właściwości bezpieczeństwa aplikacji i systemów IT.

Jako uczestnik programu otrzymasz również dostęp do zamkniętej społeczności bezpieczników oraz możliwość uczestniczenia w konsultacjach grupowych.

Od zera do bohatera

Fundamenty teoretyczne

Jeszcze przed rozpoczęciem hackowania aplikacji testowej dobrze jest poznać odpowiedzi na pytania po co coś robimy? Jaki jest tego szerszy cel? Jak możemy do niego podejść i jakich narzędzi użyć do jego osiągnięcia? Odpowiedzi na te i pokrewne pytania znajdziesz w modułach 1-3.

Umiejętności praktyczne

Mając fundamenty teoretyczne możemy przejść do budowania twardych umiejętności praktycznych. To jest główna część programu oparta o listę OWASP Top 10 i narzędzia pokrewne – WSTG, ASVS i OCSS. Pracę nad budową umiejętności technicznych rozpoczniesz w module 4 i skończysz w module 13.

Raportowanie i certyfikacja

Wybrane moduły programu OTWA zawierają prace domowe, a Ty jako uczestnik masz możliwość –ale nie przymus– ich odrobienia. Jeśli wykażesz się tą dodatkową inicjatywą to stworzysz swój pierwszy raport z testów bezpieczeństwa web aplikacji i otrzymasz certyfikat ukończenia szkolenia.

Upgrade kariery

Zostając absolwentem szkolenia OTWA umiesz to co każdy Junior Security Engineer umieć powinien. Masz na to również dowód w postaci certyfikatu ukończenia. Jeśli chcesz możesz zmienić kierunek swojej kariery i wskoczyć w cyberbezpieczeństwo... lub potraktować Cyber jako dodatkową specjalizację.

Korzyści z uczestnictwa

Teoria + Praktyka

Celem programu jest zbudowanie solidnych fundamentów w dziedzinie bezpieczeństwa web aplikacji zarówno od strony teorii jak i od strony twardych umiejętności technicznych.

Społeczność

Jako uczestnik programu otrzymasz dostęp do zamkniętej społeczności bezpieczników. Celem tej społeczności jest wspólne wsparcie rozwoju w kierunku cyberbezpieczeństwa.

Office Hours

Każdy uczestnik szkolenia może brać udział w comiesięcznych konsultacjach grupowych online. Konsultacje grupowe to świetne miejsce żeby dostać odpowiedź na nurtujące Cię pytania.

Certyfikat

Odrobienie wszystkich wymaganych prac domowych oraz dostarczenie raportu z testów bezpieczeństwa aplikacji, którą badamy w szkoleniu kwalifikuje do otrzymania certyfikatu ukończenia szkolenia.

Bezterminowy dostęp

Szkolenie jest dostępne w postaci wcześniej przygotowanych lekcji wideo. Dzięki temu możesz uczyć się gdzie chcesz i kiedy chcesz oraz wracać do szkolenia w dogodnym dla siebie momencie.

Standardy + Narzędzia

Program zbudowany jest wokół uznanych rynkowych standardów i narzędzi. Takie podejście umożliwia Ci eksplorowanie tematu bezpieczeństwa aplikacji na własną rękę długo po zakończeniu szkolenia.

Co zyskasz
po szkoleniu?

Nowe umiejętności

Nauczysz się szukać, znajdywać i raportować podatności w aplikacjach i systemach IT.

Z kolei całość umiejętności zbudujesz w kontekście projektów OWASP, które wyznaczają branżowe standardy oraz są jedną z najważniejszych kompetencji na stanowiska związane z cyberbezpieczeństwem.

Dowód nauki

Po odrobieniu wszystkich wymaganych prac domowych oraz dostarczeniu raportu z testów bezpieczeństwa aplikacji, którą badamy w szkoleniu otrzymasz certyfikat ukończenia szkolenia.

Certyfikat ten jest dowodem uzyskania przez Ciebie umiejętności praktycznych i gra rolę cennego artefaktu.

Nowy kierunek

Cyberbezpieczeństwo jest zarówno szerokie jak i głębokie dlatego jest świetnym kierunkiem kariery.

Po przerobieniu szkolenia OTWA od A do Z będziesz umieć wszystko to co Junior Security Engineer umieć powinien i jeśli tylko zechcesz możesz pójść dalej w kierunku cyberbezpieczeństwa.

Narzędzia, które poznasz i użyjesz:

OWASP
OWASP Zed Attack Proxy
OWASP JuiceShop
Kali Linux
THC Hydra
nmap
Wireshark
John The Ripper
nikto
sqlmap
WhatWeb
dirb
wordlists
SSLscan
Firefox Developer Edition

Dla kogo przeznaczone
jest to szkolenie?

Testerzy

Pracując w roli testera jesteś w świetnej pozycji żeby dodać specjalizację bezpieczeństwa do swojego arsenału umiejętności i wyłapywać podatności zanim trafią na produkcję. Security możesz potraktować jako specjalizację… lub nową ścieżkę kariery!

Dev + Ops

Tworząc lub utrzymując aplikacje zależy Ci pewnie na tym, żeby były one bezpieczne. A żeby wiedzieć jak coś zabezpieczyć to najpierw trzeba wiedzieć jak można to popsuć. Zadaniem OTWA jest nauczenie Cię tego w jaki sposób hakerzy najczęściej atakują web aplikacje.

Bezpiecznicy

Pracując w roli bezpiecznika na początku Twojej drogi może Ci brakować szerszego spojrzenia na domenę bezpieczeństwa aplikacji, czyli na bardzo ważny obszar cyberbezpieczeństwa wokół którego dzieje się wiele. Z programem OTWA uzupełnisz te braki.

Certyfikat

Jeżeli odrobisz wszystkie wymagane prace domowe i dostarczysz swój raport z testów bezpieczeństwa aplikacji, którą badamy w programie to otrzymasz certyfikat ukończenia szkolenia.

A co mówią uczestnicy
poprzednich sesji szkolenia?

Mentor –
Andrzej Dyjak

Architekt bezpieczeństwa z kilkunastoletnim doświadczeniem, aktywny konsultant, prelegent i szkoleniowiec.

Doświadczenie zdobywał w kraju i za granicą (🇩🇰 🇬🇧) dostarczając pełne spektrum oceny bezpieczeństwa dla organizacji z sektora prywatnego i publicznego.

Czego dokładnie nauczysz się w szkoleniu?

Celem programu jest zbudowanie u Ciebie solidnych fundamentów w dziedzinie bezpieczeństwa web aplikacji. Przerabiając materiał od A do Z poznasz główne standardy, metodyki i narzędzia techniczne używane do testowania bezpieczeństwa web aplikacji, a następnie wykorzystasz je do własnoręcznej oceny podstawowych właściwości bezpieczeństwa aplikacji i systemów IT.

SPRAWDŹ SZCZEGÓŁOWĄ AGENDĘ →

Agenda
szkolenia OTWA

Moduł 1: Powitanie i plan gry
ROZWIŃ

W module 1 poznasz strukturę i harmonogram szkolenia, a następnie dowiesz się w jaki sposób podejść do studiowania i czemu komunikacja jest ważnym elementem całego programu. Ponadto poruszymy kwestie etyczne związane z hackowaniem web aplikacji oraz dowiesz się co trzeba zrobić żeby otrzymać certyfikat ukończenia.

Moduł 2: Fundamenty teoretyczne
ROZWIŃ

W module 2 zbudujemy fundamenty teoretyczne związane z wysokopoziomowym spojrzeniem na bezpieczeństwo aplikacji. Poznasz tutaj różnice pomiędzy obszarami cyberbezpieczeństwa takimi jak CorpSec, NetSec i AppSec. Dowiesz się czym jest triada CIA i jakie dodatkowe właściwości bezpieczeństwa mogą ją uzupełnić, a następnie poznasz relację pomiędzy słabością a podatnością oraz zagrożeniem a ryzykiem. Dowiesz się również w jaki różny sposób można podchodzić do oceny bezpieczeństwa systemów IT i zrozumiesz różnice pomiędzy podejściami black-box, white-box oraz gray-box. Całość zamkniemy omówieniem przydatnych projektów OWASP, które będziemy wykorzystywać w szkoleniu jako fundament do pracy praktycznej.

Moduł 3: Fundamenty praktyczne
ROZWIŃ

W module 3 zbudujemy fundamenty praktyczne związane z testowaniem bezpieczeństwa web aplikacji. To w tym module postawisz swoje lokalne laboratorium, z którego będziesz korzystać w dalszej części szkolenia. Następnie przypomnisz sobie podstawy tego w jaki sposób działa sieć World Wide Web – od tematów takich jak cykl zapytanie-odpowiedź przez tematy takie jak ciasteczka czy Document Object Model aż do tematów takich jak Same Origin Policy czy Cross-Origin Resource Sharing. A na zakończenie tego modułu poznasz wachlarz możliwości jakie daje narzędzie typu proxy (Zed Attack Proxy – ZAP) pod kątem testowania web aplikacji.

Moduł 4: Rekonesans i enumeracja web aplikacji
ROZWIŃ

W module 4 nauczysz się przeprowadzać rekonesans i enumerację web aplikacji, czyli dowiesz się m.in. jak ustalić stos technologiczny web aplikacji, co ciekawego można znaleźć w kodzie źródłowym strony oraz jakie specjalne pliki mogą czaić się na serwerze. Ponadto wykonasz podstawowy skan podatności web serwera oraz poznasz pierwszą klasę problemów z listy OWASP Top 10, a konkretnie A2-Cryptographic Failures, czyli problemy związane z użyciem kryptografii na przykładzie niebezpiecznego kanału komunikacyjnego (HTTP bez SSL/TLS).

Moduł 5: Kontrola dostępu
ROZWIŃ

W module 5 poznasz A1-Broken Access Control, czyli pierwszą pozycję z listy OWASP Top 10. Ta klasa problemów związana jest z błędami w obsłudze dostępu, a my omówimy ją szczegółowo na przykładzie podatności Insecure Direct Object Reference (IDOR), która jest jedną z najgroźniejszych i najczęściej występujących podatności w web aplikacjach.

Moduł 6: Wstrzyknięcia
ROZWIŃ

W module 6 poznasz A3-Injections, czyli trzecią pozycję z listy OWASP Top 10. Ta klasa problemów związana jest w błędami w obsłudze danych wejściowych od użytkownika, co w pewnych przypadkach krańcowych daje możliwość wykonania kodu atakującemu. Tę klasę problemów omawiamy na przykładzie podatności Cross-Site Scripting (XSS), która nawiedza web aplikacje od ponad 20 lat i w dalszym ciągu nie chce dać za wygraną.

Moduł 7: Podatności wynikające z logiki aplikacji
ROZWIŃ

W module 7 poznasz A4-Insecure Design, czyli czwartą pozycję z listy OWASP Top 10. Ta klasa problemów wynika z niedociągnięć na poziomie projektowania i architektury aplikacji, a więc jest czymś dużo głębszym niż proste błędy implementacyjne. Ten szeroki zakres problemów omawiamy na wybranych podatnościach w aplikacji testowej.

Moduł 8: Podatności wynikające z konfiguracji
ROZWIŃ

W module 8 poznasz A5-Security Misconfiguration, czyli piąta pozycję z listy OWASP Top 10. Ta szeroka klasa problemów bezpieczeństwa dotyczy zarówno aplikacji jak i infrastruktury, a my przestudiujemy ją na nagłówkach bezpieczeństwa (Security Headers).

Moduł 9: Podatności w komponentach zewnętrznych
ROZWIŃ

W module 9 poznasz A6-Vulnerable and Outdated Components, czyli szóstą pozycję z listy OWASP Top 10. To bardzo ciekawa klasa problemów, które nie dotyczą bezpośrednio kodu aplikacji, ale bibliotek, z których aplikacja korzysta. Co więcej problem ten dotyka on zarówno front-endu jak i back-endu. Ten problem omawiamy na wybranych podatnościach w aplikacji testowej.

Moduł 10: Uwierzytelnianie
ROZWIŃ

W module 10 poznasz A7-Identification and Authentication Failures, czyli siódmą pozycję z listy OWASP Top 10. Ta klasa problemów związana jest w błędami w mechanizmie uwierzytelniania i w skrajnych przypadkach może mieć katastrofalne skutki. Tę klasę problemów omawiamy na przykładzie ataków siłowych (Brute Force) oraz ataku Credential Stuffing.

Moduł 11: Problemy z integralnością aplikacji i danych
ROZWIŃ

W module 11 poznasz A8-Software and Data Integrity Failures, czyli ósmą pozycję z listy OWASP Top 10. Ta klasa problemów związana jest z błędami w utrzymaniu i weryfikacji integralności zarówno danych jak i używanego oprogramowania. Tę klasę problemów omawiamy na przykładzie ataku na łańcuch dostawczy poprzez Content Delivery Network (CDN).

Moduł 12: Monitorowanie i logowanie
ROZWIŃ

W module 12 poznasz A9-Security Logging and Monitoring Failures, czyli dziewiątą pozycję z listy OWASP Top 10. Ta klasa problemów związana jest z błędami w logowaniu i monitorowaniu stanu aplikacji co ma bezpośredni wpływ na jej bezpieczeństwo. Tę klasę problemów omawiamy na przykładzie realnych ataków zautomatyzowanych zarówno na web aplikację jak i na web serwer.

Moduł 13: Podatność Server-Side Request Forgery
ROZWIŃ

W module 13 poznasz podatność A10-Server-Side Request Forgery, czyli ostatnią pozycję z listy OWASP Top 10. W chwili obecnej jest to jedyna podatność (a nie klasa!) na liście OWASP Top 10. Podatność SSRF w pewnych sprzyjających warunkach może prowadzić do katastrofalnych skutków.

Moduł 14: Raportowanie
ROZWIŃ

W module 14 poznasz narzędzia pozwalające na klasyfikację podatności pod różnymi względami (np. typu czy krytyczności). Ponadto zobaczysz jak wyglądają solidne raporty z testów bezpieczeństwa aplikacji od topowych firm takich jak Trail of Bits czy Doyensec.

Moduł 15: Co dalej
ROZWIŃ

W module 15 dowiesz się na jakie różne sposoby możesz dalej rozwijać swoje umiejętności – od dalszej pracy w warunkach laboratoryjnych, przez naukę ‘w realnym świecie’ aż po dalszą podróż w stronę ofensywy. Ponadto dowiesz się jakie certyfikaty branżowe są warte czasu i uwagi oraz w jaki sposób dokumentacja Twojej podróży w miejscu publicznym może Ci pomóc.

Moduł 16: BONUS
ROZWIŃ
  • Nagrania ze spotkań w ramach Office Hours
  • Lekcja uzupełniająca: SQL Injection
  • Lekcja uzupełniająca: Cross-Site Request Forgery (CSRF)
  • Lekcja uzupełniająca: Unvalidated Redirects & Forwards
  • Lekcja uzupełniająca: XML External Entity (XXE)
  • Lekcja uzupełniająca: Insecure Deserialization

Gwarancja satysfakcji...

Program OTWA zbudowany jest tak żeby dać Ci maksimum wartości. Dlatego jako uczestnik szkolenia otrzymujesz 30-dniową gwarancję satysfakcji. A co to oznacza?

... albo zwrot pieniędzy

Jeżeli z jakiegokolwiek powodu okaże się, że OTWA nie jest dla Ciebie to masz 30 dni na pełny zwrot (liczone od startu szkolenia). Wystarczy, że napiszesz na adres [email protected] i po sprawie.

Dołączam do szkolenia
Ofensywne Testowanie Web Aplikacji

Czas na decyzję... Chcesz wskoczyć na nowy, wyższy poziom? Chcesz nauczyć się testować bezpieczeństwo i zhackować swoje web aplikacje zanim zrobią to inni? Jeżeli TAK to dołącz do sesji “Lato 2023” szkolenia OTWA już teraz w najniższej cenie.

🚨 UWAGA: Sesja "Lato 2023" startuje 5.6.2023.

Dostęp indywidualny

1199 zł
  • ✅ 4-miesięczny program OTWA
  • ✅ Dożywotni dostęp do materiałów
  • ✅ Dostęp do zamkniętej społeczności
  • ✅ Comiesięczne konsultacje grupowe
  • ✅ BONUS: Nagrania z konsultacji oraz lekcje uzupełniające
Dołączam do szkolenia →

Podana cena jest najniższą ceną w ciągu ostatnich 30 dni.

Potrzebujesz dostęp dla zespołu?
A może chcesz wykorzystać swój budżet szkoleniowy?

W procesie wytwórczym za bezpieczeństwo odpowiedzialny jest każdy. Jeśli rozważasz zakup szkolenia OTWA dla swojego zespołu i potrzebujesz większej ilości dostępów to napisz na adres [email protected] – pomożemy Ci przejść przez cały proces zakupowy sprawnie i szybko.

Pobierz broszurkę z korzyściami szkolenia, którą możesz przesłać do swojego szefa.

Pobierz pdf →

Zobacz szablon wiadomości e-mail, do której możesz dołączyć broszurkę z korzyściami szkolenia.

Zobacz list →
Pobierz pdf →
Zobacz list →

Czy jest inna droga?

Oczywiście! Wiedza w obecnych czasach jest dostępna w Internecie za darmo i nic nie stoi na przeszkodzie żeby zdobyć ją na własną rękę. Program OTWA to droga na skróty pozwalająca przebyć tę samą trasę szybciej, sprawniej i taniej.

FAQ...
czyli najczęściej
zadawane pytania

Kiedy dostanę dostęp do szkolenia?
ROZWIŃ

Z powodu wielkości programu zapisy są dostępne jedynie 2 razy w roku: na sesję zimową oraz na sesję letnią. Sesja "Lato 2023" startuje 5.06.2023 – wtedy uzyskasz dostęp do platformy szkoleniowej.

Czy dostanę dostęp do wszystkich modułów od razu?
ROZWIŃ

Nie – nowe moduły wypuszczane są co tydzień po to, aby uniknąć natłoku materiału i zoptymalizować progresję nauki.

Czy otrzymam fakturę VAT?
ROZWIŃ

Oczywiście – przy zakupie wypełnij pole NIP i automatycznie otrzymasz fakturę VAT zaraz po zakupie na podaną skrzynkę e-mail.

Czy mogę otrzymać fakturę pro-forma
ROZWIŃ

Oczywiście – wystarczy, że prześlesz nam dane firmy mailowo, a przygotujemy dla Ciebie i prześlemy fakturę pro-forma do opłacenia.

Czy mogę zwrócić zakupione szkolenie?
ROZWIŃ

Tak – w ciągu 30 dni od startu szkolenia masz prawo do pełnego zwrotu kosztów, bez pytań. Po prostu napisz do nas wiadomość, aby otrzymać zwrot lub skorzystaj z odpowiedniej opcji w panelu.

Czy mogę przesłać zakupione szkolenie innej osobie?
ROZWIŃ

Nie – zakup obejmuje licencję, która jest ważna tylko dla jednej osoby. Jeśli chcesz kupić go na prezent, skontaktuj się z nami mailowo. Możesz też dokonać zakupu licencji grupowej dla pracowników.

Czy mogę pobrać materiały wideo na dysk?
ROZWIŃ

W przypadku tego szkolenia możliwe jest wyłącznie oglądanie go przez naszą stronę, w trybie online. Program jest aktualizowany i zapewnia to również, że zawsze masz dostępną najnowszą wersję.

Jak otrzymam aktualizacje?
ROZWIŃ

Nie musisz nic robić – program na naszej stronie będzie zawsze w najbardziej aktualnej wersji. Jeśli dokonamy ważnej aktualizacji, poinformujemy Cię również o tym mailowo.

Czy są jakieś wymagania techniczne?
ROZWIŃ

Aby odtwarzać materiały szkoleniowe musisz posiadać jedną z popularnych przeglądarek, np. Chrome, Brave lub Firefox, w najnowszej wersji. Jeśli Twoja przeglądarka blokuje strony, polecamy zdjąć blokadę dla naszego serwisu. Poza tym, potrzebujesz połączenia z internetem.

Gdzie mogę uzyskać pomoc?
ROZWIŃ

Jeśli potrzebujesz pomocy, skontaktuj się z nami poprzez e-mail: [email protected]

Brakuje Twojego pytania? Napisz!
[email protected]