Szkolenie zawiera 20 sprawnie omówionych realnych case studies (podatności z REST API) z ostatnich 3 lat oraz praktyczne omówienie tematyki bezpieczeństwa API REST stanowiące aktualne kompendium tego tematu (przeszło 200 interaktywnych slajdów, przeszło 100 zewnętrznych linków).
Terminy online: 25 maja 2026 r.
Termin onsite (Warszawa): 16 kwietnia 2026 r.
Czego dowiesz się podczas szkolenia
- Case study kilkunastu przypadków błędów w API rest na przestrzeni lat
- Rekonesans - czyli jak znaleźć API
- Jakie metody HTTP należy testować w przypadku API
- Czym jest nadpisywanie metod HTTP
- JSON vs YAML vs XML jako format danych przetwarzany przez API
- Wycieki kluczy - jak może się to stać i co należy zrobić
- Czym jest oAuth2
- Jak hakować JWT
Co powinieneś wiedzieć przed szkoleniem
- Znać podstawy związane z API rest - wspierane metody HTTP
- Znać format JSON
- Podstawy protokołu HTTP
- Zapoznać się z podatnością XXE
Do kogo skierowane jest szkolenie
-
- Do programistów
- Do devopsów
- Do pentesterów
- Do zainteresowanych tematyka bezpieczeństwa aplikacji webowych
Agenda
- Krótki wstęp do API REST
- Rekonesans API (pasywny / aktywny / rekonesans API mobilnych)
- Krótkie omówienie metod: GET/POST/PUT/DELETE/PATCH/HEAD/MERGE/REDIRECT/…
- Omijanie zabezpieczeń dostępu do metod HTTP
- Server-Side Request forgery (SSRF)
- Podatności XML
- XXE
- Remote Code Execution
- XXE vs SSRF
- Podatności JSON vs. XML vs. YAML
- Deserializacja vs. bezpieczeństwo API
- Bezpieczeństwo JWT (JSON Web Tokens).
- Bezpieczeństwo OAuth2
- Wycieki kluczy API
- Bezpieczeństwo Webhooks
- Bezpieczeństwo frameworków
Przydatne informacje
- Szkolenie prowadzone jest w wersji zdalnej lub onsite (centrum Warszawy), w godzinach: 9:00-16:30
- Instruktor jest do dyspozycji uczestników przez cały czas trwania szkolenia. Szkolenie nie jest nagrywane!
- Do szkolenia w wersji zdalnej wymagany jest laptop z dowolnym systemem operacyjnym, z przeglądarką Firefox / Chrome, stabilny internet i słuchawki z mikrofonem.
- [UWAGA!] Link/Linki do szkolenia wysyłamy najpóźniej do dwóch dni przed szkoleniem w osobnej wiadomości, na podanego podczas rejestracji maila. Jeżeli nie dostałeś linka to napisz na szkolenia@securitum.pl podając numer zamówienia.
- Istnieje możliwość organizacji szkolenia w formie zamkniętej – dla zamkniętej grupy osób (po polsku lub angielsku). Szkolenia takie organizujemy na atrakcyjnych warunkach finansowych. W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt:e-mail: szkolenia@securitum.pl, tel.: +48 516 824 029
- Voucher 2026 upoważnia do udziału w szkoleniu w dowolnym terminie zaplanowanym i potwierdzonym przez Organizatora w roku 2026. Obowiązuje zapis na wybrany termin. Aby zrealizować voucher należy napisać na adres szkolenia@securitum.pl i podać numer zamówienia. Właściciel vouchera otrzyma od nas specjalny kod do rejestracji na wybrany termin szkolenia w sklepie.
Co zawiera cena szkolenia
-
- Udział w szkoleniu i dostęp do platformy szkoleniowej.
- Certyfikat ukończenia szkolenia (PDF).
Podobne szkolenia
Bezpieczeństwo frontendu aplikacji WWW
Zaawansowane bezpieczeństwo aplikacji webowych (2 dni)
Praktyczne wprowadzenie do OWASP Top Ten (1 dzień)
https://sklep.securitum.pl/wprowadzenie-do-bezpieczenstwa-aplikacji-www
O prowadzącym
Kamil Jarosiński. Konsultant do spraw bezpieczeństwa w Securitum. Od 2018 roku przeprowadza testy penetracyjne oraz szkolenia z zakresu bezpieczeństwa aplikacji webowych. W ramach obowiązków służbowych testuje bezpieczeństwo aplikacji WWW, API, środowisk chmurowych, hardware. Testował bezpieczeństwo w największych bankach, u operatorów telefonii komórkowej czy w branży e-commerce.
W codziennej praktyce zawodowej łączy doświadczenie z wiedzą potwierdzoną certyfikatem CompTIA Security+, dbając o najwyższe standardy ochrony danych i infrastruktury.
Współautor wydanej nakładem Securitum Wydawnictwo książki Wprowadzenie do bezpieczeństwa IT, t. 2.
Trener szkoleń z zakresu bezpieczeństwa aplikacji WWW, API REST oraz środowisk chmurowych. Prelegent na konferencji Mega Sekurak Hacking Party oraz Sekurak Cyberstarter. W wolnych chwilach uczestnik programów bug bounty ze zgłoszonymi podatnościami w Sony, HCL Software czy Telekom Deutschland.
Marek Rzepecki to zawodowy, etyczny hacker i pasjonat tematyki ofensywnego cyberbezpieczeństwa. Od 2018 roku konsultant do spraw cyberbezpieczeństwa w Securitum; z branżą związany zawodowo od ponad 10 lat. Zrealizował setki niezależnych audytów bezpieczeństwa aplikacji webowych i mobilnych, infrastruktur sieciowych dla największych polskich i zagranicznych firm.
Poza hackowaniem zajmuje się również przekazywaniem wiedzy związanej z cyberbezpieczeństwem. Prowadzi wysoce techniczne szkolenia zarówno z zakresu ofensywnego, jak i defensywnego bezpieczeństwa aplikacji webowych, infrastruktur sieciowych oraz aplikacji mobilnych, a także szkolenia dla osób nietechnicznych, poszerzające i aktualizujące wiedzę na temat cyberzagrożeń.
Przeszkolił tysiące osób w Polsce i za granicą. Prelegent na konferencjach branżowych, między innymi Mega Sekurak Hacking Party, Confidence, a także autor materiałów edukacyjnych. Współautor książki wydanej przez Securitum Wydawnictwo: Wprowadzenie do bezpieczeństwa IT, t. 1.
Opinie uczestników o szkoleniu
[trener] Świetny i kompetentny człowiek.
Same konkrety, brak lania wody - duża wiedza.
Część praktyczna - zadania do samodzielnego wykonania, a nie tylko sucha wiedza.
Sporo ciekawostek, dobrze przygotowana prezentacja, kompetentny i komunikatywny prowadzący.
Fajne przykłady nie za trudne ale dające sporo do myślenia. Dobrze prowadzone ćwiczenia praktyczne. Powinno być więcej... ale musiałby być dodatkowy dzien.
Bogata wiedza teoretyczna i praktyczna, duże zaangażowanie, umiejętność płynnego prowadzenia szkolenia. Nie jest to łatwe w formie zdalnej, tym bardziej doceniam.
Bardzo fajnie że trener pasjonuje się tematem. Dobrze tłumaczy.
kompetencja, obszerność materiału, ilość narzędzi i przykładów, balans teoria-praktyka.
Uświadomienie jak atakujący mogą "łączyć kropki", nawet nieistniejące, by przeprowadzić atak. tematów nieciekawych nie było.