Uczestnicy poprzednich sesji pracują w firmach takich jak:
Super kurs który poukładał moją wiedzę. Wiedza wyniesiona stała się zalążkiem do e-booka o bezpieczeństwie, który napisałem razem z moją firmą.
Jeżeli chcesz pisać bezpieczne aplikacje, OTWA jest dla Ciebie!
Rafał Hofman
Software Engineer at Bright Inventions
Jestem bardzo usatysfakcjonowana udziałem w kursie "Ofensywne Testowanie Web Aplikacji" i polecam go każdemu, kto chce dopiero zacząć swoją przygodę z security lub ma na celu uporządkowanie i poszerzenie posiadanej już wiedzy!
Karolina Dyrda
Quality Assurance Specialist
Po skończeniu tego
kursu będziesz…
Czego konkretnie nauczysz się
w tym Programie?
Poznasz główne narzędzia używane w bezpieczeństwie ofensywnym i użyjesz ich we własnoręcznej weryfikacji bezpieczeństwa testowej web aplikacji.
Tydzień 1: Rekonesans i enumeracja
Odkryjesz stos technologiczny web aplikacji
Wykonasz skan web aplikacji pod kątem dostępnych zasobów i funkcjonalności
Przeprowadzisz automatyczny skan podatności web serwera
Zweryfikujesz bezpieczeństwo certyfikatu SSL/TLS web aplikacji
Wykonasz aktywny podsłuch ruchu sieciowego
Przeskanujesz aplikacje pod kątem używanego WAF-a
Tydzień 2: Podatności w AuthZ i wstrzyknięcia kodu
Otrzymasz dostęp do danych innych użytkowników dzięki podatności IDOR
Wykradniesz ciasteczka użytkownika wykorzystując podatność XSS (symulacja realnego ataku)
Wykonasz automatyczny skan podatności web aplikacji wykorzystując niestandardowe payloady (Fuzzing)
Tydzień 3: Błędna logika, konfiguracja & podatne biblioteki
Poznasz proces Modelowania Zagrożeń i pryncypia bezpiecznej architektury
Zbadasz bezpieczeństwo serwowanych przez aplikację nagłówków
Wykonasz automatyczny skan podatności używanych przez aplikację bibliotek (BE/FE)
Przeskanujesz obraz Dockerowy pod kątem bezpieczeństwa
Tydzień 4: Podatności w AuthN, integralność & automatyzacja ataków
Przeprowadzisz atak siłowy na hasło użytkownika web aplikacji
Przeprowadzisz atak “Credential Stuffing” na użytkowników web aplikacji
Odkryjesz nowe podatności w aplikacji testowej dzięki automatyzacji (DAST)
Przeprowadzisz zautomatyzowany atak na użytkowników usługi OpenSSH
Wykonasz symulację ataku na łańcuch dostawczy po stronie front-end (CDN)
Tydzień 5: Podatność SSRF i Raportowanie
Wykorzystasz podatność, która spowodowała wielomilionowe ($$$) wycieki danych
Poznasz rynkowe narzędzia do oceny krytyczności oraz klasyfikacji znajdywanych podatności
Wygenerujesz swój klucz PGP i użyjesz go do zaszyfrowania finalnego raportu (tak jak ma to miejsce w realnych testach)
Skończysz pisać raport i oddasz go do mojej oceny
Siema, jestem Andrzej! 👋
Moja kariera w cyberbezpieczeństwie rozpoczęła się ponad 15 lat temu. W tym czasie przeszedłem z hackowania do zabezpieczania, dzięki czemu posiadam perspektywę zarówno atakującego jak i obrońcy. Obecnie prowadzę firmę doradczo-szkoleniową Bezpieczny Kod. W ramach tej działalności rozwijam umiejętności zespołów i doradzam w zakresie najlepszych praktyk dla bezpiecznego procesu wytwórczego (SDLC).
W ostatnich latach przeszkoliłem setki specjalistów IT (QA, Dev, Ops) z tematów takich jak: Testowanie Bezpieczeństwa, Modelowanie Zagrożeń, DevSecOps oraz Secure By Design. Moje szkolenia koncentrują się przede wszystkim na praktyce, umożliwiając zespołom wytwórczym wdrażanie nowych umiejętności w codziennej pracy.
Jestem również aktywnym twórcą cyfrowym. Buduję otwartą społeczność wokół bezpieczeństwa aplikacji (Discord), prowadzę kanał YouTube i Podcast, oraz wysyłam cotygodniowy newsletter. Stworzyłem również szkolenie online „Ofensywne Testowanie Web Aplikacji“ (OTWA) i jestem w trakcie budowania kolejnego (w temacie DevSecOps). Moje działania mają na celu edukację oraz budowanie przestrzeni do wymiany doświadczeń dla zawodowców IT.
Dołącz do sesji "Wiosna 2024"
Chcesz nauczyć się testować bezpieczeństwo i zhackować swoje web aplikacje zanim zrobią to inni? Nie czekaj, dołącz!
170+ absolwentów
Jeśli z jakiegokolwiek powodu okaże się, że OTWA nie jest dla Ciebie to masz 14 dni na pełny zwrot (od startu sesji).
Co mówią uczestnicy
poprzednich sesji?
Fantastyczne szkolenie! Wszystkie koncepty omówione bez zbędnego rozwlekania, wszystko w punkt!
Mój faworyt pośród szkoleń typu OffSec :)
Paweł Tutka
DevOps Engineer @ Orange
Szkolenie było dla mnie maksymalnie merytoryczne, praktyczne i ciekawe. Dostałem ogrom skomplikowanej wiedzy przekazanej w sposób prosty i przejrzysty.
Najwyżej oceniam szkolenie zarówno od strony merytorycznej, jak i audio-wizualnej. Pełen profesjonalizm :)
Łukasz Zajączkowski
Quality Assurance Engineer
Na początku miałam obawy, co do formy prowadzenia kursu (kurs nie jest prowadzony live). Jednak moje obawy były totalnie bezpodstawne. Przerabianie materiału z przygotowanych wcześniej nagrań jest dobrym pomysłem (mogłam go realizować w dogodnym dla siebie czasie).
W razie jakichkolwiek wątpliwości, co do poruszanej tematyki nie było żadnego problemu z kontaktem z Andrzejem (odpowiadał zawsze szybko, a jego odpowiedzi były treściwe i w pełni wyczerpywały temat). Poza tym widać, że Andrzej chętnie dzieli się swoją wiedzą i jest naprawdę oddany temu, co robi :)
Gabriela Czarnecka
Quality Assurance Specialist
Bardzo się cieszę z uzyskanego certyfikatu oraz z możliwości brania udziału w szkoleniu OTWA. Dało mi ono szanse poznać wiele ciekawych narzędzi do wykorzystywanych testowania bezpieczeństwa i usystematyzować wiedzę już posiadaną.
Wartością dodaną tego szkolenia na pewno jest nauka tworzenia raportu z testu bezpieczeństwa, którym to raportem można się pochwalić chociażby w ramach portfolio :)
Bartosz Miazga
Junior Security Professional
Agenda Programu
Celem OTWA jest zbudowanie u Ciebie solidnych fundamentów w testowaniu bezpieczeństwa web aplikacji.
110
lekcji video
10+
godzin materiału
FAQ
Najczęściej zadawane pytania w poprzednich sesjach.