Покрытие

Каждая крупная категория уязвимостей. Каждый язык, на котором пишет Ваша команда.

Более 310+ типов уязвимостей и более 1500+ заданий по 9 OWASP-фреймворкам — безопасность приложений, облака и ИИ. Продакшен-реалистичные паттерны на 15 языках и фреймворках.

310+
типов уязвимостей
1500+
заданий
15
языков и стеков

Девять столпов безопасности приложений.

App Security4

OWASP Web Top 10

80 тем

Инъекции, нарушенный контроль доступа, криптографические сбои, SSRF и остальные категории, доминирующие в рисках веб-приложений.

SQL InjectionXSSCSRFSSRFAuth Failures

OWASP API Top 10

25 тем

Специфичные для API риски: пробелы авторизации на уровне объекта, mass assignment, ограничение частоты запросов, server-side request forgery на внутренних эндпоинтах.

BOLAMass AssignmentRate LimitingSSRF

OWASP Mobile Top 10

30 тем

Небезопасное хранение, обход биометрии, инъекции в WebView, злоупотребление deep-link — режимы отказа, которые не покрывает обучение только по веб.

Insecure StorageBiometric BypassWebView Injection

Безопасность на стороне клиента

24 тем

DOM XSS, загрязнение прототипа, утечки через LocalStorage, злоупотребление postMessage — баги, которые живут в браузере, а не на сервере.

DOM XSSPrototype PollutionLocalStorage Leak
Cloud Security2

OWASP Cloud-Native Top 10

31 тем

CNAS — небезопасная облачная конфигурация, инъекция в контейнерах, злоупотребление IAM, управление секретами, сетевые политики, открытость IMDS в AWS / GCP / Azure.

Public S3 BucketsIMDS ExposureIaC SecretsUntrusted Images

OWASP CI/CD Top 10

10 тем

CICDSEC — обход управления потоком, отравленное выполнение pipeline, злоупотребление цепочкой зависимостей, утечка секретов, целостность артефактов, пробелы в журналах аудита pipeline сборки.

Pipeline PoisoningDependency ConfusionSecrets in RepoRunner Risks
AI Security3

OWASP LLM Top 10

32 тем

Prompt-инъекции, раскрытие конфиденциальной информации, цепочка поставок моделей, уязвимости обработки вывода, утечка системного prompt и неограниченное потребление в LLM-приложениях.

Prompt InjectionPII DisclosureRAG PoisoningRCE via Output

OWASP Agentic AI Top 10

30 тем

Отравление памяти, злоупотребление инструментами, компрометация привилегий, каскадные галлюцинации, перехват намерений, подмена идентичности, атаки HitL-усталости для автономных ИИ-агентов.

Memory PoisoningTool MisuseGoal HijackingHitL Fatigue

Безопасная ИИ-ассистированная разработка

23 тем

Утечка секретов в ИИ-инструменты, небезопасные предложения кода, манипуляция prompt в зависимостях, риски ИИ при ревью PR, лицензионное загрязнение, границы автономных кодирующих агентов.

Code Paste LeakVulnerable PatternREADME PoisoningMCP Exposure

Продакшен-реалистичный — не псевдокод.

Задания написаны для языка и фреймворка, которые на самом деле используют Ваши разработчики. Одна и та же SQL-инъекция выглядит иначе в сервисе Spring Boot, представлении Django, обработчике Express или контроллере .NET — и платформа это отражает.

Бэкенд
JSJavaScript
TSTypeScript
PYPython
JAJava
C#C#
PHPPHP
GOGo
Мобильные
SWSwift
KTKotlin
Фронтенд
Re/JSReact + JavaScript
Re/TSReact + TypeScript
Vu/JSVue + JavaScript
Vu/TSVue + TypeScript
Ng/JSAngular + JavaScript
Ng/TSAngular + TypeScript
1const query = `SELECT * FROM users
2 WHERE email = ${req.body.email}`
3// Vulnerable: string interpolation

Покрытие — это то, что делает обучение обязательным.

Фреймворки соответствия требованиям, такие как PCI DSS 4.0.1 и EU CRA, не принимают «мы обучили команду по OWASP Top 10». Они ожидают покрытия классов уязвимостей, которые действительно появляются в Вашем стеке. Широта категорий и глубина по языкам — это то, что позволяет команде безопасности сделать это обучение обязательным для всей инженерной организации, не оставляя команды непокрытыми.

Посмотрите на своём стеке.

Интерактивное демо позволяет выбрать язык Вашей команды и запускать задания именно в этом стеке.