Vai al contenuto
Miraat·dweb developer journey, reflected
IT EN FR عربي
SE

Sicurezza Applicativa

Pensa come un attaccante per scrivere codice che resista. Vulnerabilità, hardening, audit.

18 skill 7 mesi Avanzato
Per scrivere codice sicuro bisogna prima capire come si rompe. Questo percorso ti insegna le classi principali di vulnerabilità (OWASP Top 10), il modello di minaccia delle applicazioni web, e come hardening, audit e response funzionano in pratica.

Non è un corso di hacking: è formazione difensiva, pensata per sviluppatori che vogliono ridurre il rischio nei prodotti che spediscono e per chi entra in ruoli AppSec o blue team.

Sbocchi: AppSec engineer, blue team analyst, security-focused full-stack.
Threat modeling · 25 min FOUNDATION · 25 MIN Threat modeling OWASP Top 10 in profondità · 30 min FOUNDATION · 30 MIN OWASP Top 10 in profondità SQL Injection — difesa · 30 min CORE · 30 MIN SQL Injection — difesa Difesa XSS · 30 min CORE · 30 MIN Difesa XSS Difesa CSRF · 25 min CORE · 25 MIN Difesa CSRF Difesa SSRF · 25 min ADVANCED · 25 MIN Difesa SSRF Debolezze nell'autenticazione · 30 min CORE · 30 MIN Debolezze nell'autenticazio… Gestione delle sessioni · 25 min CORE · 25 MIN Gestione delle sessioni Trabocchetti del JWT · 25 min ADVANCED · 25 MIN Trabocchetti del JWT Esecuzione di codice remoto · 30 min ADVANCED · 30 MIN Esecuzione di codice remoto Configurazione TLS · 25 min CORE · 25 MIN Configurazione TLS Header di sicurezza HTTP · 20 min CORE · 20 MIN Header di sicurezza HTTP Gestione dei segreti · 25 min CORE · 25 MIN Gestione dei segreti Sicurezza delle dipendenze · 20 min CORE · 20 MIN Sicurezza delle dipendenze Vulnerability scanning · 25 min ADVANCED · 25 MIN Vulnerability scanning Code review di sicurezza · 30 min ADVANCED · 30 MIN Code review di sicurezza Risposta agli incidenti · 30 min ADVANCED · 30 MIN Risposta agli incidenti Logging per la sicurezza · 25 min CORE · 25 MIN Logging per la sicurezza

Foundation

1
Threat modeling
Mappare asset, attaccanti e punti d'ingresso. STRIDE per l'ingegnere pragmatico.
25 minuti
2
OWASP Top 10 in profondità
Le 10 famiglie di bug più comuni con CVE reali e relative fix.
30 minuti

Core

3
SQL Injection — difesa
Perché i prepared statement vincono sempre, sicurezza ORM, blind injection.
30 minuti
4
Difesa XSS
Output encoding, CSP, trusted types, sanitizzare solo ai bordi.
30 minuti
5
Difesa CSRF
Token, cookie SameSite, double-submit, quando basta lo stesso origin.
25 minuti
7
Debolezze nell'autenticazione
Credential stuffing, brute force, falle nel reset password, bypass MFA.
30 minuti
8
Gestione delle sessioni
Attributi cookie, fixation, hijacking, rotazione su cambio privilegi.
25 minuti
11
Configurazione TLS
Cipher suite, profili moderni, rinnovo automatico, HSTS preload.
25 minuti
12
Header di sicurezza HTTP
CSP, X-Frame-Options, Referrer-Policy, Permissions-Policy. Vittorie facili.
20 minuti
13
Gestione dei segreti
Vault, KMS, sealed secrets. Rotazione. Mai in git, mai in env file in produzione.
25 minuti
14
Sicurezza delle dipendenze
Lockfile, audit, upgrade automatici, database di vulnerabilità note.
20 minuti
18
Logging per la sicurezza
Cosa loggare, cosa NON loggare (dati personali!), catene anti-tampering, retention.
25 minuti

Advanced

6
Difesa SSRF
Server-side request forgery: allowlist, blocco IP metadata, egress isolata.
25 minuti
9
Trabocchetti del JWT
alg=none, key confusion, replay, perché i token a vita breve battono le blacklist.
25 minuti
10
Esecuzione di codice remoto
Deserializzazione insicura, API eval-like, command injection, supply chain.
30 minuti
15
Vulnerability scanning
SAST, DAST, scanner di dipendenze. Integrarli in CI senza fatica da falsi positivi.
25 minuti
16
Code review di sicurezza
Individuare bug comuni nelle PR: una checklist che scala oltre l'intuito.
30 minuti
17
Risposta agli incidenti
Rilevare, contenere, eradicare, recuperare. Comunicazione. Postmortem blameless.
30 minuti