Plan Szkolenia

Wprowadzenie

  • Przegląd OWASP, jego celu i znaczenia w bezpieczeństwie aplikacji webowych
  • Wyjaśnienie listy OWASP Top 10
    • A01:2021-Broken Access Control wskoczył z piątego miejsca; 94% aplikacji zostało przetestowanych pod kątem jakiejś formy złamanych kontroli dostępu. 34 Wspólnych Numerów Słabych Miejsc (CWEs) przypisanych do Złamanych Kontroli Dostępu miały więcej wystąpień w aplikacjach niż jakakolwiek inna kategoria.
    • A02:2021-Cryptographic Failures przesuwa się o jedno miejsce wyżej na #2, wcześniej znane jako Sensitive Data Exposure, które było szerokim objawem zamiast przyczyny. Nowe skupienie poświęcone jest błędom związanym z kryptografią, które często prowadzą do wycieku danych wrażliwych lub kompromitacji systemu.
    • A03:2021-Injection spada na trzecie miejsce. 94% aplikacji zostało przetestowanych pod kątem jakiejś formy injekcji, a 33 CWEs przypisane do tej kategorii mają drugą najwyższą liczbę wystąpień w aplikacjach. Cross-site Scripting jest teraz częścią tej kategorii w tej edycji.
    • A04:2021-Insecure Design to nowa kategoria dla 2021 roku, skupiająca się na ryzykach związanych z błędami projektowymi. Jeśli naprawdę chcemy „przesunąć się w lewo” jako przemysł, wymaga to większego wykorzystania modelowania zagrożeń, bezpiecznych wzorców i zasad projektowania oraz architektur referencyjnych.
    • A05:2021-Security Misconfiguration przesuwa się z #6 w poprzedniej edycji; 90% aplikacji zostało przetestowanych pod kątem jakiejś formy błędnej konfiguracji. Z większą liczbą przejść do wysoko konfigurowalnego oprogramowania nie jest zaskakujące, że ta kategoria przesuwa się w górę. Poprzednia kategoria dla Zewnętrznych Entyt XML (XXE) jest teraz częścią tej kategorii.
    • A06:2021-Vulnerable and Outdated Components wcześniej nosiło tytuł Using Components with Known Vulnerabilities i jest #2 w ankiecie Top 10 społeczności, ale również miało wystarczająco dużo danych, aby dostać się do Top 10 za pomocą analizy danych. Ta kategoria przesuwa się z #9 w 2017 roku i jest znanym problemem, z którym mamy trudności w testowaniu i ocenie ryzyka. Jest to jedyna kategoria, która nie ma żadnych Wspólnych Zagrożeń i Wycieków (CVEs) przypisanych do włączonych CWEs, dlatego domyślna waga eksploatacji i wpływu 5.0 jest uwzględniana w ich wynikach.
    • A07:2021-Identification and Authentication Failures wcześniej nosiło tytuł Broken Authentication i spada z drugiego miejsca, a teraz zawiera CWEs związane bardziej z błędem identyfikacji. Ta kategoria wciąż jest ważną częścią Top 10, ale zwiększona dostępność zestandaryzowanych ram dla bezpieczeństwa wydaje się pomagać.
    • A08:2021-Software and Data Integrity Failures to nowa kategoria dla 2021 roku, skupiająca się na zakładaniu założenia dotyczących aktualizacji oprogramowania, krytycznych danych i CI/CD bez weryfikacji integralności. Jedno z najwyższych zważonych wpływów z danych Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) przypisanych do 10 CWEs w tej kategorii. Niebezpieczna Deserializacja z 2017 roku jest teraz częścią tej większej kategorii.
    • A09:2021-Security Logging and Monitoring Failures wcześniej nosiło tytuł Insufficient Logging & Monitoring i jest dodane z ankiety branżowej (#3), przesuwając się z #10 w poprzedniej edycji. Ta kategoria jest rozszerzona, aby zawierać więcej typów błędów, jest trudna do testowania i nie jest dobrze przedstawiona w danych CVE/CVSS. Jednak błędy w tej kategorii mogą bezpośrednio wpływać na widoczność, ostrzeganie o incydentach i śledztwa.
    • A10:2021-Server-Side Request Forgery jest dodane z ankiety Top 10 społeczności (#1). Dane pokazują stosunkowo niską częstość wystąpienia z powyższą średnią pokryciem testów, wraz z powyższą średnią oceną dla potencjału eksploatacji i wpływu. Ta kategoria reprezentuje scenariusz, w którym członkowie społeczności bezpieczeństwa mówią nam, że jest to ważne, choć nie jest to ilustrowane w danych w tym momencie.

Broken Access Control

  • Przykłady praktyczne złamanych kontroli dostępu
  • Bezpieczne kontrole dostępu i najlepsze praktyki

Cryptographic Failures

  • Szczegółowa analiza błędu kryptograficznego, takich jak słabe algorytmy szyfrowania lub nieprawidłowe zarządzanie kluczami
  • Znaczenie silnych mechanizmów kryptograficznych, bezpiecznych protokołów (SSL/TLS) oraz przykłady współczesnej kryptografii w bezpieczeństwie aplikacji webowych

Injection Attacks

  • Szczegółowe omówienie SQL, NoSQL, OS i LDAP injekcji
  • Techniki zmniejszania ryzyka przy użyciu przygotowanych poleceń, parametrowanych zapytań i escape'owania wejścia

Insecure Design

  • Badanie błędów projektowych, które mogą prowadzić do podatności, takich jak nieprawidłowa walidacja wejścia
  • Strategie dla bezpiecznej architektury i zasad bezpiecznego projektowania

Security Misconfiguration

  • Przykłady rzeczywistych błędnych konfiguracji
  • Krok po kroku, aby zapobiegać błędnym konfiguracjom, w tym zarządzanie konfiguracją i narzędzia automatyzacji

Vulnerable and Outdated Components

  • Identyfikacja ryzyk związanych z używaniem podatnych bibliotek i ram
  • Najlepsze praktyki zarządzania zależnościami i aktualizacjami

Identification and Authentication Failures

  • Powszechne problemy z uwierzytelnianiem
  • Bezpieczne strategie uwierzytelniania, takie jak wieloetapowe uwierzytelnianie i prawidłowe zarządzanie sesjami

Software and Data Integrity Failures

  • Skupienie się na problemach, takich jak nieufne aktualizacje oprogramowania i manipulowanie danymi
  • Bezpieczne mechanizmy aktualizacji i sprawdzanie integralności danych

Security Logging and Monitoring Failures

  • Znaczenie rejestrowania informacji związanych z bezpieczeństwem i monitorowania podejrzanych działań
  • Narzędzia i praktyki dla właściwego rejestrowania i monitorowania w czasie rzeczywistym w celu wykrywania naruszeń we wczesnym stadium

Server-Side Request Forgery (SSRF)

  • Wyjaśnienie, jak atakujący wykorzystują podatności SSRF do dostępu do wewnętrznych systemów
  • Taktiki zmniejszania ryzyka, w tym prawidłowa walidacja wejścia i konfiguracje zapory

Best Practices and Secure Coding

  • Kompleksowa dyskusja na temat najlepszych praktyk w bezpiecznym kodowaniu
  • Narzędzia do wykrywania podatności

Podsumowanie i kolejne kroki

Wymagania

  • Ogólne zrozumienie cyklu życia rozwoju aplikacji webowych
  • Doświadczenie w rozwoju aplikacji webowych i bezpieczeństwie

Grupa docelowa

  • Programiści webowi
  • Liderzy
 14 godzin

Liczba uczestników


cena netto za uczestnika

Szkolenia otwarte są realizowane w przypadku uzbierania się grupy szkoleniowej liczącej co najmniej 5 osób na dany termin.

Opinie uczestników (7)

Komponenty interaktywne i przykłady.

Raphael - Global Knowledge
Szkolenie - OWASP Top 10

Przetłumaczone przez sztuczną inteligencję

Praktyczne podejście i wiedza trenera

RICARDO
Szkolenie - OWASP Top 10

Przetłumaczone przez sztuczną inteligencję

Wiedza trenera była fenomenalna

Patrick - Luminus
Szkolenie - OWASP Top 10

Przetłumaczone przez sztuczną inteligencję

ćwiczenia, nawet jeśli wykraczają poza moją strefę komfortu.

Nathalie - Luminus
Szkolenie - OWASP Top 10

Przetłumaczone przez sztuczną inteligencję

Trener jest bardzo pouczający i naprawdę zna temat

Blu Aguilar - SGL Manila (Shared Service Center) Inc.
Szkolenie - OWASP Top 10

Przetłumaczone przez sztuczną inteligencję

Trainor jest naprawdę ekspertem w tej dziedzinie.

Reynold - SGL Manila (Shared Service Center) Inc.
Szkolenie - OWASP Top 10

Przetłumaczone przez sztuczną inteligencję

Praktyczne laboratorium pozyskiwania powłoki z zaatakowanej maszyny

Catalin
Szkolenie - OWASP Top 10

Przetłumaczone przez sztuczną inteligencję

Propozycje terminów

OWASP Top 10

2025-11-19 09:00
14 godzin
Lublin
2580 PLN (Zdalne)
2780 PLN (Stacjonarne)

OWASP Top 10

2025-12-03 09:00
14 godzin
Zamość
2580 PLN (Zdalne)
2780 PLN (Stacjonarne)

OWASP Top 10

2025-12-17 09:00
14 godzin
Zielona Góra
2580 PLN (Zdalne)
2680 PLN (Stacjonarne)

OWASP Top 10

2025-12-31 09:00
14 godzin
Kraków
2580 PLN (Zdalne)
2780 PLN (Stacjonarne)

OWASP Top 10

2026-01-14 09:00
14 godzin
Tarnów
2580 PLN (Zdalne)
2780 PLN (Stacjonarne)

Szkolenia Powiązane

DevSecOps Firefight: Breach, Fix & Fortify

7 godzin
Ten światowego poziomu, nowoczesny, praktyczny warsztat zanurza uczestników w kluczowe rzeczywistości bezpieczeństwa współczesnych linii CI/CD. Zaprojektowany dla specjalistów ds. bezpieczeństwa, DevOps inżynierów i developerów chcących opanować zaawansowaną obronę przed włamaniami w linie, szkolenie łączy symulacje żywych ataków z wiodącymi narzędziami branży i praktycznymi technikami obronnymi.
Więcej...

Web Security Testing - Bezpieczeństwo i testowanie WebAplikacji przy wykorzystaniu OWASP

21 godzin

To prowadzone przez instruktora szkolenie na żywo (na miejscu lub zdalnie) jest przeznaczone dla programistów, inżynierów i architektów, którzy chcą zabezpieczyć swoje aplikacje i usługi internetowe.

Pod koniec tego szkolenia uczestnicy będą mogli integrować, testować, chronić i analizować swoje aplikacje i usługi internetowe za pomocą OWASP struktury i narzędzi testowych

Więcej...

OWASP GenAI Security

 14 godzin

Na podstawie najnowszych wytycznych z projektu OWASP GenAI Security, uczestnicy nauczą się identyfikować, oceniać i przeciwdziałać zagrożeniom specyficznym dla AI za pomocą ćwiczeń praktycznych i scenariuszy z życia rzeczywistego.

Więcej...

Przewodnik po testowaniu bezpieczeństwa aplikacji mobilnych OWASP

 21 godzin

To prowadzone przez instruktora szkolenie na żywo w Polsce (online lub na miejscu) jest przeznaczone dla programistów, inżynierów i architektów, którzy chcą zastosować zasady, procesy, techniki i narzędzia testowania MSTG w celu zabezpieczenia swoich aplikacji i usług mobilnych.

Po zakończeniu tego szkolenia uczestnicy będą w stanie

  • Zapoznanie się z technikami testowania w celu opracowania strategii skutecznego wdrożenia testów bezpieczeństwa w cyklu życia oprogramowania.
  • Wykonywanie technik testowania w celu sprawdzenia ogólnych luk i zagrożeń w aplikacjach mobilnych.
  • Uruchomienie różnych procesów testowania bezpieczeństwa w celu zabezpieczenia aplikacji mobilnych na Androida i iOS.
Więcej...

OWASP Web Security Testing Guide

21 godzin

To prowadzone przez instruktora szkolenie na żywo w Polsce (online lub na miejscu) jest przeznaczone dla programistów, inżynierów i architektów, którzy chcą zastosować ramy, zasady i techniki testowania WSTG w celu zabezpieczenia swoich aplikacji i usług internetowych.

Po zakończeniu tego szkolenia uczestnicy będą w stanie

  • Używanie WSTG do wdrażania procesów i technik testowania w cyklu życia tworzenia stron internetowych.
  • Badanie różnych technik testowania w celu dostosowania frameworka WSTG do potrzeb biznesowych.
  • Wykonywanie różnych metod testowania bezpieczeństwa w celu ochrony aplikacji internetowych przed zagrożeniami i atakami.
  • Utworzenie raportu z oceny w celu udokumentowania ustaleń i wyników testów bezpieczeństwa.
Więcej...

Jak Pisac Bezpieczny Kod

35 godzin

Ten kurs w Polsce ma na celu pomoc w następujących dziedzinach:

  1. Pomóc programistom w opanowaniu technik pisania bezpiecznego kodu
  2. Pomóc testerom oprogramowania w testowaniu bezpieczeństwa aplikacji przed publikacją w środowisku produkcyjnym
  3. Pomóc architektom oprogramowania w zrozumieniu ryzyk związanych z aplikacjami
  4. Pomóc liderom zespołów w ustawianiu podstawowych wymagań bezpieczeństwa dla programistów
  5. Pomóc administratorom sieci w konfigurowaniu serwerów w celu uniknięcia błędów konfiguracyjnych
Więcej...

Programista Java Bezpieczny (włącznie z OWASP)

21 godzin

Ten kurs obejmuje koncepcje i zasady bezpiecznego kodowania w Javie za pomocą metodologii testowania Open Web Application Security Project (OWASP). Open Web Application Security Project to społeczność internetowa, która tworzy ogólnodostępne artykuły, metodologie, dokumentację, narzędzia i technologie w dziedzinie bezpieczeństwa aplikacji internetowych.

Więcej...

Zabezpieczony Programista .NET (wraz z OWASP)

21 godzin

Ten kurs obejmuje koncepcje i zasady bezpiecznego kodowania w ASP.net za pomocą metodologii testowania Open Web Application Security Project (OWASP), OWASP to społeczność internetowa, która tworzy ogólnodostępne artykuły, metodologie, dokumentację, narzędzia i technologie w dziedzinie bezpieczeństwa aplikacji internetowych;

Ten kurs bada funkcje bezpieczeństwa Dot Net Framework i sposoby zabezpieczania aplikacji internetowych;                         

Więcej...

Powiązane Kategorie

OWASP
OWASP