Ofensywa to ponad 20 celowo podatnych aplikacji, wzorowanych na realnych przypadkach, które spotykałem podczas testów bezpieczeństwa. Przejmujesz konta, wyciągasz cudze dane, obchodzisz limity, aż zrozumiesz, jak to działa od środka. Potem wracasz do swojego repo i widzisz to samo, zanim trafi na produkcję.
Dla pojedynczego developera albo całego zespołu. Bez slajdów.
To nie kolejne szkolenie o SQL injection. Dzięki ORM-om i automatycznym skanerom takie ataki straciły na popularności.
Kod się kompiluje, testy zielone, review zatwierdzony. A i tak ktoś przejmuje cudze konto, czyta nie swoje dane albo obchodzi płatność. IDOR, kontrola dostępu, logika biznesowa, race condition to podatności, które wyglądają jak poprawny kod, więc nie łapie ich ani skaner, ani framework. Bo to nie błąd składni, tylko decyzji.
Nie chodzi o to, żebyś znał te podatności. Chodzi o to, żebyś widział je we własnym kodzie, zanim zobaczy je ktoś inny.
Halucynowane pakiety, sekrety w kodzie, prompt injection, agent wysyłający dane nie tam, gdzie trzeba. Pokazuję, gdzie AI zawodzi i jak temu zapobiec.
Pentester wchodzi raz na pół roku. Ty piszesz i akceptujesz kod codziennie. To Ty decydujesz, co wejdzie na produkcję, więc to Twoja kompetencja, nie jego.
Zero slajdów. Atakujesz ponad 20 działających aplikacji. Teorię poznajesz dlatego, że właśnie obszedłeś dany mechanizm, nie na odwrót.
Sporo kodu z AI ma podatności, a odpowiedzialność za merge jest Twoja, nie modelu. AI pisze składnię. Decyzję, co jest bezpieczne, podejmujesz Ty.
Skanery łapią głównie składnię. IDOR, logikę biznesową i błędy kontroli dostępu przepuszczają, bo kod jest poprawny. Skaner plus Ty to realne pokrycie.
Atakującego nie obchodzi język. IDOR wygląda tak samo w Node, Pythonie i Ruby. To błąd decyzji, nie składni.
Online, własne tempo, kilka godzin tygodniowo. Mniej, niż zajmie Ci debugowanie jednego incydentu na produkcji.
Dokładne terminy i program dopinam. Zostaw maila, a dam Ci znać jako pierwszemu, gdy tylko ruszą zapisy. Dostaniesz krótki mail z prośbą o potwierdzenie.