Каждая крупная категория уязвимостей. Каждый язык, на котором пишет Ваша команда.
Более 185 типов уязвимостей и более 900 заданий по веб-, API-, мобильной и клиентской безопасности. Продакшен-реалистичные паттерны на 15 языках и фреймворках.
Четыре столпа безопасности приложений.
OWASP Web Top 10
Инъекции, нарушенный контроль доступа, криптографические сбои, SSRF и остальные категории, доминирующие в рисках веб-приложений.
OWASP API Top 10
Специфичные для API риски: пробелы авторизации на уровне объекта, mass assignment, ограничение частоты запросов, server-side request forgery на внутренних эндпоинтах.
OWASP Mobile Top 10
Небезопасное хранение, обход биометрии, инъекции в WebView, злоупотребление deep-link — режимы отказа, которые не покрывает обучение только по веб.
Безопасность на стороне клиента
DOM XSS, загрязнение прототипа, утечки через LocalStorage, злоупотребление postMessage — баги, которые живут в браузере, а не на сервере.
Продакшен-реалистичный — не псевдокод.
Задания написаны для языка и фреймворка, которые на самом деле используют Ваши разработчики. Одна и та же SQL-инъекция выглядит иначе в сервисе Spring Boot, представлении Django, обработчике Express или контроллере .NET — и платформа это отражает.
Покрытие — это то, что делает обучение обязательным.
Фреймворки соответствия требованиям, такие как PCI DSS 4.0.1 и EU CRA, не принимают «мы обучили команду по OWASP Top 10». Они ожидают покрытия классов уязвимостей, которые действительно появляются в Вашем стеке. Широта категорий и глубина по языкам — это то, что позволяет команде безопасности сделать это обучение обязательным для всей инженерной организации, не оставляя команды непокрытыми.
Посмотрите на своём стеке.
Интерактивное демо позволяет выбрать язык Вашей команды и запускать задания именно в этом стеке.