Szkolenie ofensywne dla developerów

Naucz się atakować własny kod, zanim zrobi to ktoś inny.

Ofensywa to ponad 20 celowo podatnych aplikacji, wzorowanych na realnych przypadkach, które spotykałem podczas testów bezpieczeństwa. Przejmujesz konta, wyciągasz cudze dane, obchodzisz limity, aż zrozumiesz, jak to działa od środka. Potem wracasz do swojego repo i widzisz to samo, zanim trafi na produkcję.

Dla pojedynczego developera albo całego zespołu. Bez slajdów.

verify.js
app.post('/verify', (req, res) => {
  const { code } = req.body
  if (code) {
    // kod sprawdzany tylko gdy został przesłany
    if (!valid(code)) return res.status(401)
  }
  // podatność -> brak wartości code pozwala ominąć walidację
  user.verified = true
})
Problem

Co dziś przechodzi przez Twój code review

To nie kolejne szkolenie o SQL injection. Dzięki ORM-om i automatycznym skanerom takie ataki straciły na popularności.

Kod się kompiluje, testy zielone, review zatwierdzony. A i tak ktoś przejmuje cudze konto, czyta nie swoje dane albo obchodzi płatność. IDOR, kontrola dostępu, logika biznesowa, race condition to podatności, które wyglądają jak poprawny kod, więc nie łapie ich ani skaner, ani framework. Bo to nie błąd składni, tylko decyzji.

Nie chodzi o to, żebyś znał te podatności. Chodzi o to, żebyś widział je we własnym kodzie, zanim zobaczy je ktoś inny.

Dodatkowy moduł

Kod pisze AI. Odpowiadasz za niego Ty.

Halucynowane pakiety, sekrety w kodzie, prompt injection, agent wysyłający dane nie tam, gdzie trzeba. Pokazuję, gdzie AI zawodzi i jak temu zapobiec.

Zobacz moduł AI

Dla Ciebie, jeśli

  • Chcesz być tym developerem, który wyłapuje podatności na review, zanim zrobi to pentester
  • Wiesz, że „to napisało AI" nie będzie tłumaczeniem po incydencie
  • Masz dość teorii i list OWASP. Chcesz zobaczyć atak na własne oczy, na działającej apce

Nie dla Ciebie, jeśli

  • Nie jesteś programistą
  • Szukasz certyfikatu do CV
  • Liczysz, że zostaniesz pentesterem w weekend
  • Wolisz oglądać slajdy, niż atakować
FAQ

Zanim zapytasz

Security to robota pentestera, nie moja.+

Pentester wchodzi raz na pół roku. Ty piszesz i akceptujesz kod codziennie. To Ty decydujesz, co wejdzie na produkcję, więc to Twoja kompetencja, nie jego.

To kolejne slajdy z OWASP?+

Zero slajdów. Atakujesz ponad 20 działających aplikacji. Teorię poznajesz dlatego, że właśnie obszedłeś dany mechanizm, nie na odwrót.

AI niedługo ogarnie security za mnie.+

Sporo kodu z AI ma podatności, a odpowiedzialność za merge jest Twoja, nie modelu. AI pisze składnię. Decyzję, co jest bezpieczne, podejmujesz Ty.

Mamy SAST i skanery w CI.+

Skanery łapią głównie składnię. IDOR, logikę biznesową i błędy kontroli dostępu przepuszczają, bo kod jest poprawny. Skaner plus Ty to realne pokrycie.

Pracuję w innym stacku.+

Atakującego nie obchodzi język. IDOR wygląda tak samo w Node, Pythonie i Ruby. To błąd decyzji, nie składni.

Nie mam czasu.+

Online, własne tempo, kilka godzin tygodniowo. Mniej, niż zajmie Ci debugowanie jednego incydentu na produkcji.