Websecurity Master od sekuraka

Seria 12 sesji online, podzielonych na dwa moduły.

Każda sesja każda trwa około 4 godziny, start o godzinie 9:00

Terminy w 2025 r.: 

Moduł I : 14.10.2025, 16.10.2025, 22.10.2025, 29.10.2025, 3.11.2025 i 7.11.2025

Moduł II: 19.11.2025, 26.11.2025, 3.12.2025, 10.12.2025, 15.12.2025 i 17.12.2025 

Terminy w 2026 r.: 

Moduł I : 11.05.2026, 14.05.2026, 18.05.2026, 21.05.2026, 25.05.2026, 28.05.2026

Moduł II: 8.06.2026, 11.06.2026, 15.06.2026, 18.06.2026, 22.06.2026, 25.06.2026

O szkoleniu

Websecurity Master od sekuraka to najbardziej kompleksowy w Polsce kurs poświęcony bezpieczeństwu aplikacji webowych. Dzięki niemu poznasz najczęstsze, najbardziej istotne ataki na aplikacje webowe, nauczysz się również chronić przed zagrożeniami. Całą wiedzę otrzymasz bezpośrednio od praktyków – na co dzień zajmujących się tym zagadnieniem w największej firmie pentesterskiej w Polsce. Dowiesz się również, jakie kierunki rozwoju obrać w dziedzinie bezpieczeństwa aplikacji webowych oraz gdzie szukać pomocy w razie wykrycia prób ataku na Twoje aplikacje.

Kurs został przygotowany na podstawie naszego 15-letniego doświadczenia w testowaniu bezpieczeństwa aplikacji webowych, przeprowadzenia kilku tysięcy testów bezpieczeństwa (analizy kodu źródłowego oraz testy black box), a także wniosków z realizacji kilkuset edycji szkoleń o tematyce związanej z bezpieczeństwem aplikacji webowych – dla największych organizacji w Polsce oraz za granicą. Jesteśmy również wydawcą bestsellerowej książki: Bezpieczeństwo aplikacji webowych (ponad 15 000 sprzedanych egzemplarzy).

Kurs Websecurity Master od sekuraka to dwanaście praktycznych sesji szkoleniowych, prowadzonych zdalnie na żywo i podzielonych na dwa moduły (możesz zdecydować się na jeden moduł lub dwa moduły).

•  MODUŁ I – Podstawy bezpieczeństwa aplikacji webowych + dodatkowa sesja pytań i odpowiedzi na żywo,
• MODUŁ II – Zaawansowane bezpieczeństwo aplikacji webowych + dodatkowa sesja pytań i odpowiedzi na żywo.

Kurs jest podzielony na 4-godzinne sesje szkoleniowe prowadzone zdalnie w formie pokazów praktycznych, na żywo. W każdym tygodniu odbywa się jedna sesja, która jest nagrywana (jeśli danego tygodnia nie będziesz mógł uczestniczyć – możesz nadrobić zarówno teorię, jak i praktykę). Nagrania sesji na żywo dostępne będą przez sześć miesięcy od startu kursu, natomiast LAB szkoleniowy dostępny będzie przez 30 dni od zakończenia kursu.

Każda sesja zorganizowana jest według schematu:

• trzy godziny – pokazy na żywo oraz niezbędne wprowadzenie teoretyczne,
• jedna godzina – realizacja zadań praktycznych (wraz z nadzorem i ewentualnymi podpowiedziami od prowadzącego).

 Po każdym module przewidziana jest dodatkowa, 2-godzinna sesja pytań i odpowiedzi dla uczestników kursu.

Na potrzeby szkolenia przygotowaliśmy specjalny LAB szkoleniowy, w którym uczestnicy ćwiczą i utrwalają zdobytą wiedzę na realnych przykładach ataków. LAB szkoleniowy dostępny jest w trakcie całego szkolenia oraz 30 dni po nim. Kolejne zadania praktyczne ogłaszane są w ramach poszczególnych sesji. Na koniec każdego z dwóch modułów kursu przekazywane są rozwiązania wszystkich zadań LAB-owych.

Wsparcie trenerów oraz wymianę wiedzy w czasie rzeczywistym w trakcie całego kursu zapewnia platforma Discord, dzięki której można na bieżąco konsultować się z trenerami oraz wymieniać się praktyczną wiedzą z innymi uczestnikami.

Informacje o kursie w skondensowanej formie znajdziesz tutaj a ulotkę w wersji PL o szkoleniu którą możesz podesłać np. szefowi tutaj (w wersji EN tutaj)

Czego dowiesz się podczas szkolenia?

• Nauczysz się rozpoznawać poważne w skutkach błędy bezpieczeństwa aplikacji webowych.
• Zyskasz wiedzę, jak zabezpieczyć aplikacje przed atakami.
• Dowiesz się, jak pisać bezpieczniejszy kod.
• Nauczysz się samodzielnie przeprowadzać test bezpieczeństwa aplikacji.
• Poznasz kluczowe narzędzia oraz dokumentacje pomocne w dbaniu o bezpieczeństwo aplikacji.
• Dowiesz się, gdzie możesz sprawnie i skutecznie dalej się rozwijać.
• Otrzymasz informacje, gdzie szukać pomocy w razie wykrycia prób ataku na aplikacje.

Co powinieneś wiedzieć przed szkoleniem?

• Aby uczestniczyć w pierwszym module kursu, wystarczy ogólna wiedza z dziedziny IT, choć przydatna będzie znajomość takich pojęć jak: żądanie HTTP, ciasteczka  sesyjne, serwer aplikacji webowej etc. Warto też poznać wcześniej podstawowe funkcje narzędzia Burp Suite.
• Aby uczestniczyć tylko w drugim – zaawansowanym – module kursu, warto znać następujące zagadnienia:
  1. podstawy bezpieczeństwa aplikacji webowych,
  2. podstawy JavaScript,
  3. narzędzie Burp Suite.

Przed szkoleniem wszyscy Uczestnicy otrzymają listę materiałów pomocnych w przygotowaniu się do zajęć, dzięki czemu będą mogli zaznajomić się z używanymi podczas kursu narzedziami i pojęciami.

Dla kogo przeznaczone jest szkolenie?

• dla programistów,
• dla DevOpsów,
• dla pentesterów,
• dla administratorów sieci/systemów,
• dla osób zainteresowanych tematyką bezpieczeństwa aplikacji webowych.

Zapraszamy jednak każdego przedstawiciela świata IT, który chce się rozwijać w dziedzinie bezpieczeństwa i któremu zależy na tworzeniu bezpieczniejszego świata.

Agenda

MODUŁ I – Podstawy bezpieczeństwa aplikacji webowych

Sesja nr 1: Praktyczne wprowadzenie do bezpieczeństwa aplikacji webowych:

• Przegląd prawdziwych, aktualnych podatności w aplikacjach webowych (z ostatniego roku). Pokazy na żywo
• Podstawy rekonesansu aplikacji webowych.
• Podstawy korzystania z narzędzia Burp Suite oraz podstawy protokołu HTTP.
• Pokaz wieloetapowego ataku na aplikację webową.
•  Wprowadzenie do testowania bezpieczeństwa aplikacji webowych:

1. 1. jak zaplanować testy bezpieczeństwa aplikacji,
   2. testy automatyczne vs testy ręczne,
   3. raportowanie.

Sesja nr 2: Skondensowane wprowadzenie do OWASP Top Ten:

• Przegląd wszystkich 10 klas podatności.
• Omówienie ogólnych strategii obrony aplikacji przed atakami.
• Pokazy na żywo.
• LAB do realizacji przez uczestników.

 Sesja nr 3: Podatności/problemy w mechanizmach uwierzytelnienia/autoryzacji:

• Bezpieczne przechowywanie haseł w aplikacji.
• W jaki sposób hackerzy potrafią ominąć uwierzytelnianie dwuskładnikowe? Jak temu zapobiec?
• Problemy z mechanizmami resetu hasła.
• Podatności klasy IDOR.
• Bezpieczeństwo JWT.
• Przegląd nietypowych podatności umożliwiających ominięcie uwierzytelnienia/autoryzacji.
• LAB do realizacji przez uczestników.

 Sesja nr 4: Przegląd częstych podatności w aplikacjach webowych (część I):

• LAB do realizacji przez uczestników.
• Podatności klasy RCE/Command Injection:

1. 1. mechanizmy uploadu,
   2. przegląd podatności Command Injection,
   3. problemy w bibliotekach,
   4. inne podatności prowadzące do wykonania kodu w systemie operacyjnym (przegląd).

Sesja nr 5: Przegląd częstych podatności w aplikacjach webowych (część II):

• Przegląd częstych podatności występujących w aplikacjach webowych:

1. 1. SQL Injection,
   2. NoSQL Injection,
   3. manipulacje plikami XML w celu zdobycia nieautoryzowanego dostępu do danych na serwerze (XXE),
   4. podatność SSRF,
   5. podatność Path Traversal,
   6. LAB do realizacji przez uczestników.

Sesja nr 6: Wieloetapowe ćwiczenie podsumowujące podstawowy moduł szkolenia: 

• Rekonesans.
• Wykorzystanie kilku podatności.
• Podniesienie uprawnień w atakowanym systemie.

 Sesja pytań i odpowiedzi na żywo (2 h):

• Możliwość zadania dowolnego pytania związanego z bezpieczeństwem aplikacji webowych.
• Możliwość poproszenia o powtórzenia/podpowiedzi do dowolnego ćwiczenia z części praktycznej.

MODUŁ II – Zaawansowane bezpieczeństwo aplikacji webowych

 Sesja nr 1: Zaawansowane bezpieczeństwo aplikacji webowych (przegląd podatności, część I):

Podatności związane z deserializacją.

• Podatność SSTI.
• Podatność Mass Assignment.
• Jak włączone mechanizmy debug mogą prowadzić do przejęcia kontroli nad aplikacją webową?
• LAB do realizacji przez uczestników.

Sesja nr 2: Zaawansowane bezpieczeństwo aplikacji webowych (przegląd podatności, część II):

• Czym jest WAF?
• Techniki omijania WAF.
• HTTP request smuggling.
• Wybrane problemy bezpieczeństwa mechanizmów cache w aplikacjach webowych.
• Mechanizmy przeglądarkowe służące do zabezpieczania aplikacji webowych i ich użytkowników.
• LAB do realizacji przez uczestników.

 Sesja nr 3: Bezpieczeństwo API REST:

• Omijanie zabezpieczeń dostępu do metod HTTP.
• Podatności Server-Side Request Forgery (SSRF) oraz XXE w kontekście API REST.
• Wycieki kluczy API.
• Bezpieczeństwo OAuth2.
• Wybrane klasyczne podatności webowe w kontekście API REST.
• LAB do realizacji przez uczestników.

Sesja nr 4: Podstawy bezpieczeństwa frontendu aplikacji webowych (część I – Podatność XSS):

• Cross-Site Scripting – najistotniejsza podatność świata client-side.
• Omówienie Same Origin Policy i trening praktycznych skutków XSS-ów.
•  Typy XSS.
• Omówienie punktów wejścia XSS (parametry GET/POST, pliki SVG, upload plików).
• Charakterystyka punktów wyjścia XSS (niebezpieczne funkcje JS, konteksty w HTML).
•  Omówienie metod ochrony przed XSS, techniki omijania filtrów XSS.
• XSS-y a dopuszczanie fragmentów kodu HTML.
• LAB do realizacji przez uczestników.

Sesja nr 5: Podstawy bezpieczeństwa frontendu aplikacji webowych (część II – Inne podatności frontendowe):

• Biblioteki JS (jQuery, Angular, React, Knockout).
• Wybrane problemy dotyczące bezpieczeństwa elementów API HTML5.
• Podatność CSRF.
• LAB do realizacji przez uczestników.

Sesja nr 6: Wieloetapowe ćwiczenie podsumowujące zaawansowany moduł kursu:

• Wykorzystanie kilku podatności.
• Ominięcie filtrów/WAF.
• Wykorzystanie problemów bezpieczeństwa w klasycznych aplikacjach oraz w API REST.

Sesja pytań i odpowiedzi na żywo (2 h):

• Możliwość zadania dowolnego pytania związanego z bezpieczeństwem aplikacji webowych.
• Możliwość poproszenia o powtórzenia/podpowiedzi do dowolnego ćwiczenia z części praktycznej.

Co zawiera cena szkolenia?

• Udział w szkoleniu na żywo. MODUŁ I (podstawowy) i/lub MODUŁ II (zaawansowany), dodatkowe sesje Q&A.
• Bezterminowy dostęp do e-booka (PDF/mobi/epub) książki Bezpieczeństwo aplikacji webowych od sekuraka
• Dostęp do dedykowanej platformy Discord gromadzącej uczestników oraz trenerów.
• Dostęp do specjalnie przygotowanego LAB-u do ćwiczeń (przez czas trwania szkolenia i 30 dni po jego zakończeniu) .
• Dostęp do nagrań z sesji na żywo (przez sześć miesięcy od daty rozpoczęcia kursu).
• Opis rozwiązań każdego z LAB-ów.
• Onepager dotyczący każdej sesji szkoleniowej – najważniejsze informacje o prezentowanym materiale oraz dodatkowo quiz sprawdzający wiedzę.
• Certyfikat ukończenia szkolenia (PDF).

Przydatne informacje

• Szkolenie prowadzone jest na żywo, w wersji zdalnej.

Harmonogram

Start spotkań o godzinie 9:00, zakończenie ok. 13:15 (4 h szkolenia + przerwy)

Terminy w 2025 r.:

Moduł I – Podstawy bezpieczeństwa aplikacji webowych + dodatkowa sesja pytań i odpowiedzi na żywo

– sesja 1 – 14 października 2025 r.

– sesja 2 – 16 października 2025 r.

– sesja 3 – 22 października 2025 r.

– sesja 4 – 29 października 2025 r.

– sesja 5 – 3 listopada 2025 r.

– sesja 6 – 7 listopada 2025 r.

– spotkanie podsumowujące, sesja Q&A -7.11.2025 – godzina 19:00

Moduł II – Zaawansowane bezpieczeństwo aplikacji webowych + dodatkowa sesja pytań i odpowiedzi na żywo

– sesja 1 – 19 listopada 2025 r.

– sesja 2 – 26 listopada 2025 r.

– sesja 3 – 3 grudnia 2025 r.

– sesja 4 – 10 grudnia 2025 r.

– sesja 5 – 15 grudnia 2025 r.

– sesja 6 – 17 grudnia 2025 r.

– spotkanie podsumowujące, sesja Q&A -17.12.2025 – godzina 19:00

Terminy w 2026 r.: 

Moduł I – Podstawy bezpieczeństwa aplikacji webowych + dodatkowa sesja pytań i odpowiedzi na żywo

Sesja 1 – 11 maja 2026

Sesja 2 – 14 maja 2026

Sesja 3 – 18 maja 2026

Sesja 4 – 21 maja 2026

Sesja 5 – 25 maja 2026

Sesja 6 – 28 maja 2026

– spotkanie podsumowujące, sesja Q&A -28.05.2026 – godzina 19:00

Moduł II – Zaawansowane bezpieczeństwo aplikacji webowych + dodatkowa sesja pytań i odpowiedzi na żywo

Sesja 1 – 8 czerwca 2026

Sesja 2 – 11 czerwca 2026

Sesja 3 – 15 czerwca 2026

Sesja 4 – 18 czerwca 2026

Sesja 5 – 22 czerwca 2026

Sesja 6 – 25 czerwca 2026

– spotkanie podsumowujące, sesja Q&A -25.06.2026 – godzina 19:00