Poziom zaawansowania:
Prowadzący: Marek Rzepecki, Kamil Jarosiński, Mateusz Lewczak, Robert Kruczek
Miejsce i data:
  • zdalne: 08.04-24.06.2025
Cena: Moduł podst.+ zaawan.- 3500 PLN net; Moduł podst-1950 PLN net; Moduł zaawans. 1950 PLN net- 12 sesji po 4 h każda

Uwaga: zapisy na szkolenie w sklepie

Szkolenie online, 12 sesji podzielonych na dwa moduły. Realizowane w terminach:

Moduł I  8.04.2025; 15.04.2025; 24.04.2025; 29.04.2025; 6.05.2025; 13.05.2025

– spotkanie podsumowujące -13.05.2025 – godzina 19:00

Moduł II 20.05.2025;  27.05.2025; 3.06.2025; 10.06.2025; 17.06.2025; 24.06.2025

– spotkanie podsumowujące – 24.06.2025-godzina 19:00

O szkoleniu

Websecurity Master od sekuraka to najbardziej kompleksowy w Polsce kurs poświęcony bezpieczeństwu aplikacji webowych. Dzięki niemu poznasz najczęstsze, najbardziej istotne ataki na aplikacje webowe, nauczysz się również chronić przed zagrożeniami. Całą wiedzę otrzymasz bezpośrednio od praktyków – na co dzień zajmujących się tym zagadnieniem w największej firmie pentesterskiej w Polsce. Dowiesz się również, jakie kierunki rozwoju obrać w dziedzinie bezpieczeństwa aplikacji webowych oraz gdzie szukać pomocy w razie wykrycia prób ataku na Twoje aplikacje.

Kurs został przygotowany na podstawie naszego 15-letniego doświadczenia w testowaniu bezpieczeństwa aplikacji webowych, przeprowadzenia kilku tysięcy testów bezpieczeństwa (analizy kodu źródłowego oraz testy black box), a także wniosków z realizacji kilkuset edycji szkoleń o tematyce związanej z bezpieczeństwem aplikacji webowych – dla największych organizacji w Polsce oraz za granicą. Jesteśmy również wydawcą bestsellerowej książki: Bezpieczeństwo aplikacji webowych (ponad 15 000 sprzedanych egzemplarzy).

Kurs Websecurity Master od sekuraka to dwanaście praktycznych sesji szkoleniowych, prowadzonych zdalnie na żywo i podzielonych na dwa moduły (możesz zdecydować się na jeden moduł lub dwa moduły).

  •  MODUŁ I – Podstawy bezpieczeństwa aplikacji webowych + dodatkowa sesja pytań i odpowiedzi na żywo,
  • MODUŁ II – Zaawansowane bezpieczeństwo aplikacji webowych + dodatkowa sesja pytań i odpowiedzi na żywo.

Kurs jest podzielony na 4-godzinne sesje szkoleniowe prowadzone zdalnie w formie pokazów praktycznych, na żywo. W każdym tygodniu odbywa się jedna sesja, która jest nagrywana (jeśli danego tygodnia nie będziesz mógł uczestniczyć – możesz nadrobić zarówno teorię, jak i praktykę). Nagrania sesji na żywo dostępne będą przez sześć miesięcy od startu kursu, natomiast LAB szkoleniowy dostępny będzie przez 30 dni od zakończenia kursu.

Każda sesja zorganizowana jest według schematu:

  • trzy godziny – pokazy na żywo oraz niezbędne wprowadzenie teoretyczne,
  • jedna godzina – realizacja zadań praktycznych (wraz z nadzorem i ewentualnymi podpowiedziami od prowadzącego).

 Po każdym module przewidziana jest dodatkowa, 2-godzinna sesja pytań i odpowiedzi dla uczestników kursu.

Na potrzeby szkolenia przygotowaliśmy specjalny LAB szkoleniowy, w którym uczestnicy ćwiczą i utrwalają zdobytą wiedzę na realnych przykładach ataków. LAB szkoleniowy dostępny jest w trakcie całego szkolenia oraz 30 dni po nim. Kolejne zadania praktyczne ogłaszane są w ramach poszczególnych sesji. Na koniec każdego z dwóch modułów kursu przekazywane są rozwiązania wszystkich zadań LAB-owych.

Wsparcie trenerów oraz wymianę wiedzy w czasie rzeczywistym w trakcie całego kursu zapewnia platforma Discord, dzięki której można na bieżąco konsultować się z trenerami oraz wymieniać się praktyczną wiedzą z innymi uczestnikami.

Informacje o kursie w skondensowanej formie znajdziesz tutaj a ulotkę w wersji PL o szkoleniu którą możesz podesłać np. szefowi tutaj (w wersji EN tutaj)

Czego dowiesz się podczas szkolenia?

  • Nauczysz się rozpoznawać poważne w skutkach błędy bezpieczeństwa aplikacji webowych.
  • Zyskasz wiedzę, jak zabezpieczyć aplikacje przed atakami.
  • Dowiesz się, jak pisać bezpieczniejszy kod.
  • Nauczysz się samodzielnie przeprowadzać test bezpieczeństwa aplikacji.
  • Poznasz kluczowe narzędzia oraz dokumentacje pomocne w dbaniu o bezpieczeństwo aplikacji.
  • Dowiesz się, gdzie możesz sprawnie i skutecznie dalej się rozwijać.
  • Otrzymasz informacje, gdzie szukać pomocy w razie wykrycia prób ataku na aplikacje.

Co powinieneś wiedzieć przed szkoleniem?

  • Aby uczestniczyć w pierwszym module kursu, wystarczy ogólna wiedza z dziedziny IT, choć przydatna będzie znajomość takich pojęć jak: żądanie HTTP, ciasteczka  sesyjne, serwer aplikacji webowej etc. Warto też poznać wcześniej podstawowe funkcje narzędzia Burp Suite.
  • Aby uczestniczyć tylko w drugim – zaawansowanym – module kursu, warto znać następujące zagadnienia:
    1. podstawy bezpieczeństwa aplikacji webowych,
    2. podstawy JavaScript,
    3. narzędzie Burp Suite.

Przed szkoleniem wszyscy Uczestnicy otrzymają listę materiałów pomocnych w przygotowaniu się do zajęć, dzięki czemu będą mogli zaznajomić się z używanymi podczas kursu narzedziami i pojęciami.

Dla kogo przeznaczone jest szkolenie?

  • dla programistów,
  • dla DevOpsów,
  • dla pentesterów,
  • dla administratorów sieci/systemów,
  • dla osób zainteresowanych tematyką bezpieczeństwa aplikacji webowych.

Zapraszamy jednak każdego przedstawiciela świata IT, który chce się rozwijać w dziedzinie bezpieczeństwa i któremu zależy na tworzeniu bezpieczniejszego świata.

Agenda

MODUŁ I – Podstawy bezpieczeństwa aplikacji webowych

Sesja nr 1: Praktyczne wprowadzenie do bezpieczeństwa aplikacji webowych:

  • Przegląd prawdziwych, aktualnych podatności w aplikacjach webowych (z ostatniego roku). Pokazy na żywo
  • Podstawy rekonesansu aplikacji webowych.
  • Podstawy korzystania z narzędzia Burp Suite oraz podstawy protokołu HTTP.
  • Pokaz wieloetapowego ataku na aplikację webową.
  •  Wprowadzenie do testowania bezpieczeństwa aplikacji webowych:
    1. jak zaplanować testy bezpieczeństwa aplikacji,
    2. testy automatyczne vs testy ręczne,
    3. raportowanie.

Sesja nr 2: Skondensowane wprowadzenie do OWASP Top Ten:

  • Przegląd wszystkich 10 klas podatności.
  • Omówienie ogólnych strategii obrony aplikacji przed atakami.
  • Pokazy na żywo.
  • LAB do realizacji przez uczestników.

 Sesja nr 3: Podatności/problemy w mechanizmach uwierzytelnienia/autoryzacji:

  • Bezpieczne przechowywanie haseł w aplikacji.
  • W jaki sposób hackerzy potrafią ominąć uwierzytelnianie dwuskładnikowe? Jak temu zapobiec?
  • Problemy z mechanizmami resetu hasła.
  • Podatności klasy IDOR.
  • Bezpieczeństwo JWT.
  • Przegląd nietypowych podatności umożliwiających ominięcie uwierzytelnienia/autoryzacji.
  • LAB do realizacji przez uczestników.

 Sesja nr 4: Przegląd częstych podatności w aplikacjach webowych (część I):

  • LAB do realizacji przez uczestników.
  • Podatności klasy RCE/Command Injection:
    1. mechanizmy uploadu,
    2. przegląd podatności Command Injection,
    3. problemy w bibliotekach,
    4. inne podatności prowadzące do wykonania kodu w systemie operacyjnym (przegląd).

Sesja nr 5: Przegląd częstych podatności w aplikacjach webowych (część II):

  • Przegląd częstych podatności występujących w aplikacjach webowych:
    1. SQL Injection,
    2. NoSQL Injection,
    3. manipulacje plikami XML w celu zdobycia nieautoryzowanego dostępu do danych na serwerze (XXE),
    4. podatność SSRF,
    5. podatność Path Traversal,
    6. LAB do realizacji przez uczestników.

Sesja nr 6: Wieloetapowe ćwiczenie podsumowujące podstawowy moduł szkolenia: 

  • Rekonesans.
  • Wykorzystanie kilku podatności.
  • Podniesienie uprawnień w atakowanym systemie.

 Sesja pytań i odpowiedzi na żywo (2 h):

  • Możliwość zadania dowolnego pytania związanego z bezpieczeństwem aplikacji webowych.
  • Możliwość poproszenia o powtórzenia/podpowiedzi do dowolnego ćwiczenia z części praktycznej.

MODUŁ II – Zaawansowane bezpieczeństwo aplikacji webowych

 Sesja nr 1: Zaawansowane bezpieczeństwo aplikacji webowych (przegląd podatności, część I):

Podatności związane z deserializacją.

  • Podatność SSTI.
  • Podatność Mass Assignment.
  • Jak włączone mechanizmy debug mogą prowadzić do przejęcia kontroli nad aplikacją webową?
  • LAB do realizacji przez uczestników.

Sesja nr 2: Zaawansowane bezpieczeństwo aplikacji webowych (przegląd podatności, część II):

  • Czym jest WAF?
  • Techniki omijania WAF.
  • HTTP request smuggling.
  • Wybrane problemy bezpieczeństwa mechanizmów cache w aplikacjach webowych.
  • Mechanizmy przeglądarkowe służące do zabezpieczania aplikacji webowych i ich użytkowników.
  • LAB do realizacji przez uczestników.

 Sesja nr 3: Bezpieczeństwo API REST:

  • Omijanie zabezpieczeń dostępu do metod HTTP.
  • Podatności Server-Side Request Forgery (SSRF) oraz XXE w kontekście API REST.
  • Wycieki kluczy API.
  • Bezpieczeństwo OAuth2.
  • Wybrane klasyczne podatności webowe w kontekście API REST.
  • LAB do realizacji przez uczestników.

Sesja nr 4: Podstawy bezpieczeństwa frontendu aplikacji webowych (część I – Podatność XSS):

  • Cross-Site Scripting – najistotniejsza podatność świata client-side.
  • Omówienie Same Origin Policy i trening praktycznych skutków XSS-ów.
  •  Typy XSS.
  • Omówienie punktów wejścia XSS (parametry GET/POST, pliki SVG, upload plików).
  • Charakterystyka punktów wyjścia XSS (niebezpieczne funkcje JS, konteksty w HTML).
  •  Omówienie metod ochrony przed XSS, techniki omijania filtrów XSS.
  • XSS-y a dopuszczanie fragmentów kodu HTML.
  • LAB do realizacji przez uczestników.

Sesja nr 5: Podstawy bezpieczeństwa frontendu aplikacji webowych (część II – Inne podatności frontendowe):

  • Biblioteki JS (jQuery, Angular, React, Knockout).
  • Wybrane problemy dotyczące bezpieczeństwa elementów API HTML5.
  • Podatność CSRF.
  • LAB do realizacji przez uczestników.

Sesja nr 6: Wieloetapowe ćwiczenie podsumowujące zaawansowany moduł kursu:

  • Wykorzystanie kilku podatności.
  • Ominięcie filtrów/WAF.
  • Wykorzystanie problemów bezpieczeństwa w klasycznych aplikacjach oraz w API REST.

Sesja pytań i odpowiedzi na żywo (2 h):

  • Możliwość zadania dowolnego pytania związanego z bezpieczeństwem aplikacji webowych.
  • Możliwość poproszenia o powtórzenia/podpowiedzi do dowolnego ćwiczenia z części praktycznej.

Co zawiera cena szkolenia?

  • Udział w szkoleniu na żywo. MODUŁ I (podstawowy) i/lub MODUŁ II (zaawansowany), dodatkowe sesje Q&A.
  • Bezterminowy dostęp do e-booka (PDF/mobi/epub) książki Bezpieczeństwo aplikacji webowych od sekuraka
  • Dostęp do dedykowanej platformy Discord gromadzącej uczestników oraz trenerów.
  • Dostęp do specjalnie przygotowanego LAB-u do ćwiczeń (przez czas trwania szkolenia i 30 dni po jego zakończeniu) .
  • Dostęp do nagrań z sesji na żywo (przez sześć miesięcy od daty rozpoczęcia kursu).
  • Opis rozwiązań każdego z LAB-ów.
  • Onepager dotyczący każdej sesji szkoleniowej – najważniejsze informacje o prezentowanym materiale oraz dodatkowo quiz sprawdzający wiedzę.
  • Certyfikat ukończenia szkolenia (PDF).

Przydatne informacje

  • Szkolenie prowadzone jest na żywo, w wersji zdalnej.
  • Harmonogram

Start spotkań o godzinie 9:00, zakończenie ok. 13:15 (4 h szkolenia + przerwy)

Moduł I (podstawowy)

– sesja 1 – 8.04.2025

– sesja 2 – 15.04.2025

– sesja 3 – 24.04.2025

– sesja 4 – 29.04.2025

– sesja 5 – 6.05.2025

– sesja 6 – 13.05.2025

– spotkanie podsumowujące -13.05.2025 – godzina 19:00

Moduł II (zaawansowany)

– sesja 1 – 20.05.2025

– sesja 2 – 27.05.2025

– sesja 3 – 3.06.2025

– sesja 4 – 10.06.2025

– sesja 5 – 17.06.2025

– sesja 6 – 24.06.2025

– spotkanie podsumowujące – 24.06.2025-godzina 19:00

Prowadzący: Marek Rzepecki, Kamil Jarosiński, Mateusz Lewczak, Robert Kruczek

  • Marek Rzepecki
    Zawodowy, etyczny hacker i pasjonat tematyki ofensywnego cyberbezpieczeństwa. Od blisko pięciu lat konsultant do spraw cyberbezpieczeństwa w Securitum. Zrealizował setki niezależnych audytów bezpieczeństwa aplikacji webowych i mobilnych, infrastruktur sieciowych oraz ataków DDoS dla największych firm polskich i zagranicznych. Poza hackowaniem zajmuje się również przekazywaniem wiedzy związanej z cyberbezpieczeństwem. Prowadzi zaawansowane szkolenia na temat bezpieczeństwa aplikacji webowych, mobilnych, infrastruktur sieciowych oraz służące podnoszeniu świadomości istnienia cyberzagrożeń. Przeszkolił tysiące osób w Polsce i za granicą. Prelegent na konferencjach branżowych i autor materiałów edukacyjnych.

    Kamil Jarosiński

    Konsultant do spraw bezpieczeństwa w Securitum. Ma ponadpięcioletnie doświadczenie w przeprowadzaniu testów penetracyjnych. W ramach obowiązków służbowych testuje bezpieczeństwo aplikacji WWW, API, środowisk chmurowych, hardware. Testował bezpieczeństwo w największych bankach, u operatorów telefonii komórkowej czy w branży e-commerce.

    Trener szkoleń z zakresu bezpieczeństwa aplikacji WWW, API REST oraz środowisk chmurowych. Prelegent na konferencji Mega Sekurak Hacking Party. W wolnych chwilach uczestnik programów bug bounty ze zgłoszonymi podatnościami w Sony, HCL Software czy Telekom Deutschland.

    Robert Kruczek

    Pentester, socjotechnik, etyczny hacker, pracujący od ponad ośmiu lat w Securitum. W trakcie realizacji swoich zadań wykonał testy penetracyjne kilkuset aplikacji internetowych i desktopowych. Prelegent na konferencjach branżowych- Mega Sekurak Hacking Party, Confidence. Mentor w programie stażowym Sekurak.Academy.

    Mateusz Lewczak

    Doświadczony programista, zainteresowany niskopoziomowymi aspektami Security, w wolnym czasie wykorzystuje swoją kreatywność do tworzenia narzędzi hackerskich. Wielokrotnie nagradzany za wybitne osiągnięcia w nauce (w tym Stypendium Prezesa Rady Ministrów). Konsultant do spraw bezpieczeństwa IT w Securitum oraz członek międzynarodowego instytutu IEEE zrzeszającego ambitnych specjalistów ze świata IT.