Start
Produkty
Cyberbezpieczeństwo
Automatyczne testy bezpieczeństwa z OWASP ZAP

POPRAWKA1 Automatyczne testy bezpieczeństwa z OWASP ZAP

Bezpieczeństwo aplikacji webowych nie może być dziś dodatkiem do testów funkcjonalnych. OWASP ZAP pozwala zautomatyzować wykrywanie podatności i włączyć testy bezpieczeństwa w proces CI/CD. Szkolenie pokazuje, jak praktycznie wykorzystać OWASP ZAP w codziennej pracy QA i DevOps.

Termin gwarantowany

Automatyczne testy bezpieczeństwa z OWASP ZAP

Pierwotna cena wynosiła: 2400,00 PLN.Aktualna cena wynosi: 1359,00 PLN.

Certyfikat ukończenia
Dodatkowe materiały po szkoleniu
30 dniowe wsparcie szkoleniowca
Praktyczne zadania
Możliwość płatności w ratach (umowa bezpośrednio z Quality Island) – Pobierz wzór umowy

7 w magazynie (może być zamówiony)

Zobacz opinie o szkoleniu

Organizacja Dla kogo Czego się nauczysz Jak pracujemy Atuty szkoleń Wymagania wstępne Program kursu Możliwości finansowania Kroki FAQ

OWASP ZAP (Zed Attack Proxy) to jedno z najpopularniejszych narzędzi do dynamicznego testowania bezpieczeństwa aplikacji webowych (DAST). Pozwala wykrywać podatności takie jak XSS, SQL Injection, błędy konfiguracji czy niebezpieczne nagłówki HTTP.

Szkolenie Automatyczne testy bezpieczeństwa z OWASP ZAP koncentruje się na:

zrozumieniu podstaw bezpieczeństwa aplikacji webowych,
konfiguracji i pracy z OWASP ZAP,
automatyzacji skanów bezpieczeństwa,
analizie i interpretacji wyników,
integracji testów bezpieczeństwa z CI/CD,
współpracy QA, DevOps i developerów w obszarze security.

Szkolenie dostępne jest na dwóch poziomach:

Podstawowy – dla osób rozpoczynających pracę z testami bezpieczeństwa
Średniozaawansowany – dla osób chcących zautomatyzować i skalować testy bezpieczeństwa

Celem szkolenia jest włączenie testów bezpieczeństwa w realny proces wytwarzania oprogramowania.

Organizacja

2 dni ( 2 x 7 h) w godzinach 8:00-15:00
Dodatkowe materiały po szkoleniu
Certyfikat uczestnictwa
Nagranie z całego szkolenia (dodatkowo płatne)
30 dniowe wsparcie ekspertów
Praktyczne zadania
Wieloletni praktyk, ekspert w obszarze testów

Forma szkolenia
Szkolenie realizowane jest online (na żywo, na profesjonalnej platformie do pracy zdalnej ClickMeeting) lub stacjonarnie – w zależności od wybranego terminu. W obu przypadkach pracujemy warsztatowo, z aktywnym udziałem uczestników. Możemy przeprowadzić szkolenie w formie otwartej lub zamkniętej dla firm (z dopasowaniem do architektury systemu)
Czas trwania
Szkolenie trwa 1 dzień (ok. 8 godzin pracy warsztatowej), z przerwami. Skupiamy się na konkretach, bez „rozciągania programu”.
Poziom
Szkolenie jest przeznaczone dla poziomu junior → mid (możemy również przygotować szkolenie na poziomie expert)

Dla kogo

To szkolenie jest dla Ciebie, jeśli:

pracujesz jako tester automatyzujący i chcesz rozszerzyć testy o security
jesteś QA i chcesz rozumieć podatności aplikacji webowych
pracujesz jako analityk techniczny i analizujesz ryzyka bezpieczeństwa
jesteś DevOps i chcesz zintegrować testy bezpieczeństwa z pipeline
chcesz włączyć DAST do procesu CI/CD
odpowiadasz za jakość i bezpieczeństwo aplikacji webowych.

To szkolenie nie jest dla Ciebie, jeśli:

nie masz podstawowej wiedzy o testowaniu aplikacji webowych
nie pracujesz z aplikacjami webowymi lub API
szukasz szkolenia wyłącznie manualnego bez elementów technicznych
oczekujesz zaawansowanego kursu pentesterskiego

Czego się nauczysz

Po szkoleniu będziesz potrafić:

konfigurować OWASP ZAP
przeprowadzać skany pasywne i aktywne
analizować podatności (XSS, SQLi, misconfiguration)
interpretować raporty bezpieczeństwa
automatyzować skany w CI/CD
pracować z API ZAP
współpracować z developerami przy usuwaniu podatności

Jak pracujemy

To szkolenie ma formę warsztatową. Pracujesz, testujesz i popełniasz błędy tu i teraz, dokładnie tak, jak w realnym projekcie.

Nasze podejście:

>80% praktyki – minimum teorii, tylko tyle, ile trzeba, żeby rozumieć dlaczego coś robimy,
uczymy bezpieczeństwa w kontekście realnych aplikacji
pokazujemy, jak łączyć testy funkcjonalne z testami security
pracujemy na realistycznych scenariuszach podatności
analizujemy wyniki i uczymy ich interpretacji
koncentrujemy się na automatyzacji, nie tylko manualnym skanowaniu
pokazujemy, jak włączyć security do pipeline CI/CD

Atuty szkoleń

Praktyka zamiast teorii

Szkolenia prowadzą praktycy, którzy na co dzień pracują z jakością i testami.
Zero „hello world”, realne przypadki i problemy z projektów.

Elastyczne formy płatności

Raty 0%, płatność odroczona lub dofinansowanie z BUR.
Pomagamy dobrać najlepszą opcję, bez presji i zbędnych formalności.

Certyfikat potwierdzający realne kompetencje

Po szkoleniu otrzymujesz certyfikat w języku angielskim, możliwy do udostępnienia rekruterom i pracodawcom.
Zakres certyfikatu jasno opisuje zdobyte umiejętności.

Profesjonalna forma online

Interaktywne zajęcia na stabilnej platformie:
współdzielenie ekranu, Q&A, nagrania, materiały i aktywny kontakt z trenerem.

Wsparcie po szkoleniu

Nie zostawiamy Cię samego po ostatnim slajdzie.
Masz pytania po szkoleniu? Możesz do nas wrócić z konkretnym problemem.

Gwarancja zadowolenia

Jeśli szkolenie nie spełni Twoich oczekiwań, porozmawiamy.
A jeśli masz uzasadnione zastrzeżenia, zwracamy pieniądze.

Wymagania wstępne

podstawowa wiedza o testowaniu aplikacji webowych
znajomość HTTP i działania przeglądarki
rozumienie pojęcia API
podstawowa wiedza o podatnościach webowych

Własny laptop z możliwością instalacji OWASP ZAP i Docker.

Program kursu

1. Przegląd zagrożeń bezpieczeństwa aplikacji webowych

• Omówienie aktualnej listy OWASP Top 10
• Najczęstsze podatności: XSS, SQL Injection, Broken Authentication, Security Misconfiguration
• Jak powstają podatności w aplikacjach webowych
• Wpływ podatności na biznes i reputację organizacji
• Rola QA i DevOps w ograniczaniu ryzyka bezpieczeństwa
• Mapowanie zagrożeń na realne scenariusze projektowe

2. Wprowadzenie do OWASP ZAP – interfejs, tryby działania, skanowanie ręczne vs automatyczne

• Architektura OWASP ZAP (proxy, spider, active scanner)
• Interfejs użytkownika i podstawowe moduły
• Tryby pracy: manualny, automatyczny, daemon
• Różnice między skanowaniem ręcznym a automatycznym
• Koncepcja proxy i przechwytywania ruchu HTTP
• Ograniczenia narzędzia w kontekście DAST

3. Konfiguracja środowiska testowego i REST API do testów

• Instalacja OWASP ZAP i konfiguracja proxy
• Konfiguracja przeglądarki do pracy z ZAP
• Przygotowanie aplikacji testowej (np. Docker)
• Testowanie aplikacji webowej i REST API
• Obsługa autoryzacji i sesji
• Izolowanie środowiska testowego do skanów bezpieczeństwa

4. Tworzenie własnych skryptów skanowania i konfiguracja reguł

• Konfiguracja polityk skanowania
• Włączanie i wyłączanie wybranych reguł
• Tworzenie skryptów automatyzujących skan
• Parametryzacja zakresu skanowania
• Ograniczanie ryzyka nadmiernie agresywnych testów
• Personalizacja alertów i progów czułości

5. Automatyczne testy bezpieczeństwa w trybie headless

• Uruchamianie ZAP w trybie daemon
• Wykonywanie skanów z linii komend
• Automatyzacja skanów w środowisku CI
• Konfiguracja parametrów skanowania bez GUI
• Zarządzanie raportami w trybie headless
• Monitorowanie wyników w pipeline

6. Weryfikacja i klasyfikacja alertów

• Analiza poziomów ryzyka (Low, Medium, High)
• Interpretacja szczegółów alertu
• Rozróżnianie podatności od false positives
• Weryfikacja manualna wykrytych podatności
• Komunikacja wyników do zespołu developerskiego
• Priorytetyzacja zgłoszeń bezpieczeństwa

7. Testy pasywne i aktywne

• Czym jest skan pasywny i kiedy go stosować
• Czym jest skan aktywny i jakie niesie ryzyko
• Wpływ skanów aktywnych na środowisko testowe
• Dobór typu skanu do etapu projektu
• Ograniczanie zakresu testów aktywnych
• Łączenie skanów pasywnych i aktywnych w strategii security

8. Integracja OWASP ZAP z CI/CD

• Uruchamianie ZAP w kontenerze Docker
• Konfiguracja pipeline w GitLab CI
• Integracja z Jenkins
• Warunkowe blokowanie builda przy krytycznych podatnościach
• Automatyczne generowanie raportów w pipeline
• Wersjonowanie konfiguracji bezpieczeństwa

9. Raportowanie wyników testów

• Generowanie raportów HTML, XML, JSON
• Interpretacja metryk bezpieczeństwa
• Integracja z narzędziami raportującymi (np. Jira, DefectDojo)
• Tworzenie podsumowań dla managementu
• Monitorowanie trendów podatności w czasie
• Dokumentowanie działań naprawczych

10. Dobre praktyki i ograniczenia testów automatycznych w obszarze security

• Miejsce DAST w strategii bezpieczeństwa
• Ograniczenia automatycznych testów bezpieczeństwa
• Kiedy potrzebne są testy manualne lub pentest
• Łączenie OWASP ZAP z innymi narzędziami (SAST, SCA)
• Budowanie kultury bezpieczeństwa w organizacji
• Plan dalszego rozwoju testów security

Wiele możliwości finansowania szkoleń i kursów

Środki własne

Opłać szkolenie od razu, szybko i bez formalności.
Przelew online, BLIK lub karta. Bez prowizji i ukrytych kosztów.

Płatność ratalna

Rozłóż płatność na raty 0%, bez dodatkowych opłat.
Każdą kwotę powyżej 2000 zł możesz podzielić nawet na 6 rat.

Odroczona płatność

Zapisz się dziś, zapłać dopiero za 3 miesiące.
Elastyczne podejście. W razie potrzeby możemy czasowo wstrzymać płatność.

Dofinansowanie Z BUR

Szkolenie może być objęte dofinansowaniem w ramach BUR, zazwyczaj 50-80% kosztów.
Pomagamy sprawdzić możliwości i prowadzimy przez formalności krok po kroku.

Czytaj więcej

Szkolenie w 5 krokach

Prosty zapis na szkolenie

Wybierasz termin szkolenia i zapisujesz się w kilka sekund.
Bez skomplikowanych formularzy i zbędnych formalności.

Wybór formy płatności

Decydujesz, jak chcesz zapłacić:
jednorazowo, w ratach 0%, z odroczoną płatnością lub z dofinansowaniem (np. BUR).
Jeśli trzeba, pomagamy dobrać najlepszą opcję.

Przygotowanie do szkolenia

Przed szkoleniem otrzymujesz informacje organizacyjne i wskazówki techniczne.
Dzięki temu wchodzisz na szkolenie przygotowany, bez stresu i improwizacji.

Udział w szkoleniu (praktyka)

Szkolenie ma charakter intensywnego warsztatu. Uczestnicy konfigurują OWASP ZAP, wykonują skany bezpieczeństwa aplikacji webowej, analizują wykryte podatności oraz uczą się automatyzować testy z wykorzystaniem API ZAP i integracji z CI/CD. Ćwiczenia obejmują zarówno skany pasywne, jak i aktywne oraz interpretację raportów. Każdy uczestnik pracuje na własnym laptopie i samodzielnie realizuje zadania.

Materiały i dalsze wsparcie

Po szkoleniu otrzymujesz materiały oraz certyfikat.
Opcjonalnie możesz dokupić nagranie szkolenia i wracać do materiału, kiedy chcesz.
W razie pytań, jesteśmy dostępni także po zakończeniu szkolenia.

Najczęściej zadawane pytania

Czy szkolenie jest przeznaczone dla pentesterów?

Nie. Szkolenie koncentruje się na automatyzacji testów bezpieczeństwa w procesie QA i DevOps, a nie na zaawansowanych technikach ofensywnych. Celem jest włączenie DAST do codziennego procesu testowego.

Czy muszę znać bezpieczeństwo aplikacji przed szkoleniem?

Na poziomie podstawowym nie. Wprowadzamy najważniejsze podatności webowe (np. XSS, SQL Injection) i tłumaczymy ich znaczenie.

Na poziomie średniozaawansowanym pomocna będzie wcześniejsza styczność z tematyką security.

Czy szkolenie obejmuje integrację z CI/CD?

Tak. Uczestnicy uczą się, jak uruchamiać OWASP ZAP w pipeline oraz analizować raporty w kontekście procesu wdrożeniowego.

Czy omawiacie fałszywe alarmy (false positives)?

Tak. Jednym z elementów szkolenia jest analiza wyników i rozróżnianie realnych podatności od false positives.

Czy OWASP ZAP może być używany w projektach enterprise?

Tak. Omawiamy, jak skalować użycie ZAP w większych środowiskach oraz jak zarządzać raportami i politykami bezpieczeństwa.

Czy szkolenie pokazuje pracę z API ZAP?

Tak. Na poziomie średniozaawansowanym uczestnicy uczą się automatyzować skany z wykorzystaniem API i skryptów.

Czy szkolenie obejmuje testowanie API pod kątem bezpieczeństwa?

Tak. Pokazujemy, jak wykrywać podstawowe podatności również w kontekście API.

Czy szkolenie można dopasować do środowiska firmy?

Tak. W formule zamkniętej możemy dopasować ćwiczenia do architektury systemu firmy.

Czy po szkoleniu będę w stanie samodzielnie uruchamiać skany bezpieczeństwa?

Tak. Poziom podstawowy pozwala samodzielnie wykonywać skany i analizować raporty. Poziom średniozaawansowany umożliwia integrację i automatyzację testów w pipeline.

Co jeśli szkolenie nie spełni moich oczekiwań?

Dbamy o wysoką jakość i realną wartość merytoryczną.
Jeśli po szkoleniu uznasz, że nie spełniło ono Twoich oczekiwań, skontaktuj się z nami. Traktujemy takie sytuacje poważnie i indywidualnie.

Masz pytania? Porozmawiajmy o szkoleniu

Nie masz pewności, czy to szkolenie jest dla Ciebie? Zastanawiasz się, czy poziom będzie odpowiedni, jak wygląda program albo która forma finansowania ma sens w Twoim przypadku?

Porozmawiaj z naszym konsultantem, który: