Program Ofensywy

Ponad 20 aplikacji. Każda wzorowana na realnym przypadku z testów bezpieczeństwa.

Te same mechanizmy, które spotykałem w realnych aplikacjach, odtworzone tak, żebyś mógł je bezpiecznie zaatakować. Dostajesz konkretny cel: przejmij konto, wyciągnij cudze dane, zostań adminem. Atakujesz do skutku, a potem widzisz dokładnie ten fragment, który Cię wpuścił, i jego poprawioną wersję. Bez slajdów, bez teorii na zapas.

Zapisz się na listę oczekujących
Zakres

Czego się nauczysz, atakując

IDOR i kontrola dostępu

Wyciągasz cudze dane, bo backend nie pyta, czyje są.

Mass assignment

Nadpisujesz pole, którego nie powinieneś dotknąć.

Logika biznesowa

Obchodzisz reguły, które nigdzie nie są „podatnością", a jednak puszczają.

Reset hasła i sesje

Przejmujesz konto, nie znając hasła.

Race condition

Dwa requesty omijają limit pilnowany pojedynczo.

SSRF

Zmuszasz backend, żeby odpytał wewnętrzną sieć w Twoim imieniu.

Dodatkowy moduł

Bezpieczeństwo AI: kod, aplikacje, agenci

Coraz więcej kodu pisze model, a coraz więcej produktów stoi na LLM i agentach. Odpowiedzialność za to, co trafia na produkcję, zostaje Twoja. W tym dziale pokazuję, gdzie pojawiają się dziury, na trzech frontach: kod generowany przez AI, aplikacje wpinające LLM i agenci AI, oraz jak to ograniczać.

Zagrożenia, które omawiamy
  • Prompt injection
  • Zatrute MCP i narzędzia agenta
  • Za duże uprawnienia agentów
  • Fałszywe pakiety (slopsquatting)
  • Podatny kod generowany przez AI
Jak to działa

Uczysz się atakiem, nie slajdem

Nie zatrzymujesz się na „znalazłem podatność". Wykorzystujesz ją do końca, jak prawdziwy atakujący, żeby zobaczyć jej realny skutek. Bo dopiero wtedy zapamiętasz, czego szukać we własnym kodzie.

01

Dostajesz cel

„Przejmij cudze konto." „Wyciągnij dane innego użytkownika." „Zostań adminem." Konkretny cel na działającej aplikacji.

02

Wykorzystujesz ją jak atakujący

Nie kończysz na „jest podatność". Idziesz do końca: przejmujesz konto, wyciągasz dane, eskalujesz. Dopiero wtedy widać, co realnie z tej dziury wypada.

03

Wchodzisz w kod

Dlaczego zadziałało, gdzie był błąd, jak wygląda poprawka. Zostaje Ci w głowie, bo chwilę wcześniej sam to wykorzystałeś.

04

Raz w tygodniu na żywo

Najtrudniejsze przypadki, Twoje pytania. Cztery spotkania w kohorcie.

Format

Dwa formaty, ten sam materiał

Dokładne terminy i ceny dopinam. Napisz do mnie, a podeślę szczegóły, gdy tylko otworzę zapisy.

Online, dla developera

Platforma z aplikacjami i rok dostępu, plus cztery cotygodniowe spotkania na żywo w grupie. Własne tempo, kilka godzin tygodniowo. Dla pojedynczego developera, który chce ruszyć sam.

Live, dla zespołu

Pracuję na żywo z całym zespołem, u Was w firmie (on-site) albo online. Format elastyczny: dwa dni albo rozłożone inaczej. Decyzję podejmuje zwykle CTO albo Head of Engineering.

Po Ofensywie

Co zmienia się następnego dnia w pracy