Bezpečnost webových aplikací v praxi – OWASP Top 10 a API (HCK4)

Bezpečnost, Kyberbezpečnost

Kurz vás provede nejčastějšími bezpečnostními chybami v moderních aplikacích podle aktuálního žebříčku OWASP Top 10. Zaměříme se nejen na technické zranitelnosti, ale i na návrhové chyby a procesní slabiny, které vedou k ohrožení aplikací v reálném provozu. Významnou součástí kurzu je téma Secure Design, tedy jak navrhovat bezpečné systémy už od prvních fází vývoje.

Kurz je postaven velmi prakticky – každé téma doprovázejí reálné ukázky útoků, rozbory kódu i praktická hands-on cvičení, která účastníci samostatně řeší. Samostatný blok je věnován bezpečnosti REST a SOAP API, které dnes tvoří komunikační základ většiny webových i mobilních aplikací.

TOTO ŠKOLENÍ VÁM POMŮŽE:

  • Seznámit se s aktuálním žebříčkem OWASP Top 10 a jeho praktickými dopady
  • Pochopit příčiny běžných zranitelností v kódu, konfiguraci i návrhu
  • Naučit se techniky prevence a detekce útoků v reálných scénářích
  • Zvládnout zabezpečení REST a SOAP API včetně správy tokenů a autorizace
  • Aplikovat principy Secure Design a provádět threat modeling v rané fázi vývoje
  • Zavést postupy pro správu závislostí, aktualizací a integrity softwaru
  • Implementovat efektivní logging, monitoring a reakci na bezpečnostní incidenty

KDO BY SE MĚL KURZU ZÚČASTNIT?

  • Vývojáři backendu a fullstacku
  • QA a bezpečnostní testeři aplikací
  • DevOps / SRE odpovědní za nasazení a konfigurace
  • Architekti softwaru a návrháři řešení
  • Bezpečnostní analytici a incident response týmy

KDE A KDY KURZ PROBÍHÁ?



S námi máte na výběr: Přijďte na kurz osobně do naší učebny, nebo se ke kurzu připojte online. Vámi preferovanou formu můžete zvolit v průběhu objednávky. Více informací k hybridní formě školení naleznete zde.
Praha + online (volitelně)
8.6. - 9.6.2026
14 900 Kč
Privátní školení

Odemkněte potenciál svých zaměstnanců. Každé školení z naší nabídky přizpůsobíme konkrétním cílům i lidem.
Potřebujete školení přímo u vás ve firmě, nebo upravit obsah a délku na míru? ICT Pro je ideální řešení. Školit můžeme také v angličtině.

Poptat kurz na míru

Náplň kurzu:

Skrýt detaily
  • Úvod do aplikační bezpečnosti
    1. Mentalita útočníka a principy secure mindsetu
    2. Shrnutí známých reálných incidentů a dopadů
    3. Seznámení s projektem OWASP a významem Top 10
    4. Vztah k DevSecOps a bezpečnostní kultuře ve firmě
  • A01: Broken Access Control
    1. Proč vznikají chyby v řízení přístupu
    2. Nejčastější typy chyb: IDOR, chybějící kontroly na úrovni serveru
    3. Příklady reálných incidentů a nesprávných implementací
    4. Prevence a detekce nedostatečné kontroly přístupů
  • A02: Cryptographic Failures
    1. Selhání v šifrování přenosu a ukládání dat
    2. Chyby v používání algoritmů, nesprávná implementace TLS
    3. Špatné ukládání hesel a hashovacích funkcí
    4. Doporučení pro ukládání, transport a správu citlivých dat
  • A03: Injection
    1. Typy injekčních útoků: SQL, OS, LDAP, NoSQL
    2. Vstupy bez validace a jejich průnik do interpretrů
    3. Vliv frameworků na vkládání hodnot do dotazů nebo příkazů
    4. Techniky prevence a bezpečného zpracování vstupů
  • A04: Insecure Design / SSDLC
    1. Rozdíl mezi chybou návrhu a implementace
    2. Principy bezpečného návrhu (secure-by-design)
    3. Threat modeling a identifikace rizik v rané fázi vývoje
    4. Vzory bezpečných návrhů a příklady jejich použití
    5. Zpětná kontrola návrhu vs. dodatečná oprava zranitelnosti
  • A05: Security Misconfiguration
    1. Nejčastější slabiny v konfiguračních souborech a nástrojích
    2. Defaultní účty, otevřené porty, chybějící hlavičky, špatné CORS
    3. Význam bezpečných výchozích hodnot
    4. Automatizované skenování a kontrola konfigurace
  • A06: Vulnerable and Outdated Components
    1. Rizika závislosti na starších verzích knihoven a modulů
    2. Identifikace zranitelností pomocí CVE, SBOM
    3. Proces aktualizací a řízení závislostí
    4. Důležitost testování po aktualizaci
  • A07: Identification and Authentication Failures
    1. Prolomení hesel, session hijacking, slabá autentizace
    2. Špatně nastavené cookies, neobnovované tokeny
    3. Význam vícefaktorové autentizace (MFA)
    4. Odlišnosti v autentizaci u klasických aplikací a API
  • A08: Software and Data Integrity Failures
    1. Neověřené moduly, aktualizace a dodavatelské řetězce
    2. Integrita build procesů (CI/CD)
    3. Signování kódu a aktualizací
    4. Důvěra v externí repozitáře a knihovny
  • A09: Security Logging and Monitoring Failures
    1. Co a kdy logovat z pohledu bezpečnosti
    2. Vztah k forenzní analýze a detekci incidentů
    3. Nejčastější chyby: absence logů, nechráněné logy
    4. Základy integrace do SIEM a alertingu
  • A10: Server-Side Request Forgery (SSRF)
    1. Princip SSRF a proč je stále častější
    2. Příklady chyb při zpracování uživatelských URL nebo webhooků
    3. Možnosti zneužití v cloudu nebo interních sítích
    4. Ochranné mechanismy (allowlist, metadata blocking)
  • Bezpečnost REST a SOAP API
    1. Rozdíly mezi klasickou aplikací a REST/SOAP rozhraním
    2. Vstupy, autentizace a autorizace na úrovni API
    3. Problémy s rate limitingem, pagination, IDOR, HPP
    4. Management tokenů a datová izolace mezi tenanty
    5. Propojení s OWASP API Top 10 a dopady do návrhu
Předpokládané znalosti:
Základní znalost vývoje nebo testování webových aplikací. Orientace v HTTP, webových technologiích, případně shellu.
Časový rozvrh:
2 dny (9:00hod. - 17:00hod.)
Cena za osobu:
14 900,00 Kč (18 029,00 Kč včetně 21% DPH)

Vybrané zákaznické reference

Česká pošta, s.p., David R.
Bezpečnost webových aplikací v praxi – OWASP Top 10 a API ( HCK4)
"Školení bylo prakticky zaměřené a obsah dobře pokrýval aktuální potřeby na bezpečnost. Oceňuji, že lektor probral způsoby ochrany na konkrétních příkladech. Jako přínos hodnotím i ukázky nástrojů. Celkově doporučuji, kurz splnil moje očekávání."
Asseco Central Europe, a.s., Dominik I.
Bezpečnost webových aplikací v praxi – OWASP Top 10 a API ( HCK4)
"Školení bylo velmi přínosné a srozumitelné. Školitel byl skvělý – měl výborný přístup, dokázal zaujmout a vše vysvětlil na praktických příkladech, které pomohly okamžitě pochopit jednotlivé problémy. Oceňuji také možnost práce s reálnými ukázkami a praktickými úlohami."
Asseco Central Europe, a.s., Filip T.
Bezpečnost webových aplikací v praxi – OWASP Top 10 a API ( HCK4)
"Velmi zajímavý přístup obecně využitelný i pro FE i BE vývoj. "
Asseco Central Europe, a.s., Martin Š.
Bezpečnost webových aplikací v praxi – OWASP Top 10 a API ( HCK4)
"Skvělé, moje oblíbená část byla teorie a povídání o příkladech z praxe, co se stalo. U příkladů v javě bych zvolil trochu rychlejší styl. Celkově dobrý dojem."
Asseco Central Europe, a.s., Jan P.
Bezpečnost webových aplikací v praxi – OWASP Top 10 a API ( HCK4)
"Školení se mi velmi líbilo. Lektor mi přišel opravdu zkušený a je vidět, že ho téma zajímá a baví. Z hlediska cílové skupiny mi přišlo spíše pro BE/ fullstack vývojáře. Komplexita byla více než dostatečná, mohlo by navazovat školení se zaměřením čistě na vývoj FE."
innogy Česká republika, a.s., Jiří H.
Bezpečnost webových aplikací v praxi – OWASP Top 10 a API ( HCK4)
"Dobrý den, nemohu hodnotit jinak než kladně. Profesionalita, znalosti a zároveň přátelský/osobní přístup lektora byly dokonalé."
Česká správa sociálního zabezpečení, Jan K.
Bezpečnost webových aplikací v praxi – OWASP Top 10 a API ( HCK4)
"Školení bylo úžasné a lektor s neuvěřitelnými vědomostmi."
Česká správa sociálního zabezpečení, Jana F.
Bezpečnost webových aplikací v praxi – OWASP Top 10 a API ( HCK4)
"Velmi přínosné školení, skvělá odbornost lektora."
Česká správa sociálního zabezpečení, Martin M.
Bezpečnost webových aplikací v praxi – OWASP Top 10 a API ( HCK4)
"Školení bylo perfektní. Na dané téma by se dalo mluvit a proškolit mnohem více, kdyby bylo více času. Lektor mi i za ten týden naučil opravdu spousty nových věcí a dozvěděl jsem se spousty nových informací. "
ITS akciová společnost, Jan V.
Bezpečnost webových aplikací v praxi – OWASP Top 10 a API ( HCK4)
"Přátelský přístup lektora, srozumitelný výklad, hezká prezentace. Informací a materiálů je tolik, že by to vydalo klidně i na měsíční školení :) Díky"
T-Mobile Czech Republic a.s., Radomír M.
Bezpečnost webových aplikací v praxi – OWASP Top 10 a API ( HCK4)
"Výborné přehledové školení na Web jak pro vývojaře webů, tak pro it security. Možnost se kdykoliv přerušit zeptat se na detaily atp."
AlbisTech s.r.o., Tomáš V.
Bezpečnost webových aplikací v praxi – OWASP Top 10 a API ( HCK4)
"Můj dojem ze školení je výborný. Lektor byl profesionál s velkým množstvím znalostí a zkušeností. Bylo vidět, že problematice opravdu rozumí. Získal jsem plno informací a materiálů, které mi velmi pomohou v dalším profesním růstu. Jsem velice spokojený."
ententee s.r.o., Petr V.
Bezpečnost webových aplikací v praxi – OWASP Top 10 a API ( HCK4)
"velká profesionalita pana Šottla - jak odborná, tak trenérská. Perfektně splnil obtížné zadání- do 3 hodin kondenzovat ochutnávku 2 denního kurzu, abychom mohli definovat individuální follow-upy. Velmi ochotně nad rámec tréninku dodal tipy na dlší studium problematiky... -> 5* "