Te same mechanizmy, które spotykałem w realnych aplikacjach, odtworzone tak, żebyś mógł je bezpiecznie zaatakować. Dostajesz konkretny cel: przejmij konto, wyciągnij cudze dane, zostań adminem. Atakujesz do skutku, a potem widzisz dokładnie ten fragment, który Cię wpuścił, i jego poprawioną wersję. Bez slajdów, bez teorii na zapas.
Zapisz się na listę oczekującychWyciągasz cudze dane, bo backend nie pyta, czyje są.
Nadpisujesz pole, którego nie powinieneś dotknąć.
Obchodzisz reguły, które nigdzie nie są „podatnością", a jednak puszczają.
Przejmujesz konto, nie znając hasła.
Dwa requesty omijają limit pilnowany pojedynczo.
Zmuszasz backend, żeby odpytał wewnętrzną sieć w Twoim imieniu.
Coraz więcej kodu pisze model, a coraz więcej produktów stoi na LLM i agentach. Odpowiedzialność za to, co trafia na produkcję, zostaje Twoja. W tym dziale pokazuję, gdzie pojawiają się dziury, na trzech frontach: kod generowany przez AI, aplikacje wpinające LLM i agenci AI, oraz jak to ograniczać.
Nie zatrzymujesz się na „znalazłem podatność". Wykorzystujesz ją do końca, jak prawdziwy atakujący, żeby zobaczyć jej realny skutek. Bo dopiero wtedy zapamiętasz, czego szukać we własnym kodzie.
„Przejmij cudze konto." „Wyciągnij dane innego użytkownika." „Zostań adminem." Konkretny cel na działającej aplikacji.
Nie kończysz na „jest podatność". Idziesz do końca: przejmujesz konto, wyciągasz dane, eskalujesz. Dopiero wtedy widać, co realnie z tej dziury wypada.
Dlaczego zadziałało, gdzie był błąd, jak wygląda poprawka. Zostaje Ci w głowie, bo chwilę wcześniej sam to wykorzystałeś.
Najtrudniejsze przypadki, Twoje pytania. Cztery spotkania w kohorcie.
Dokładne terminy i ceny dopinam. Napisz do mnie, a podeślę szczegóły, gdy tylko otworzę zapisy.
Platforma z aplikacjami i rok dostępu, plus cztery cotygodniowe spotkania na żywo w grupie. Własne tempo, kilka godzin tygodniowo. Dla pojedynczego developera, który chce ruszyć sam.
Pracuję na żywo z całym zespołem, u Was w firmie (on-site) albo online. Format elastyczny: dwa dni albo rozłożone inaczej. Decyzję podejmuje zwykle CTO albo Head of Engineering.
Dokładne terminy i program dopinam. Zostaw maila, a dam Ci znać jako pierwszemu, gdy tylko ruszą zapisy.