Платформа AppSec обучение

Создавайте неуязвимые приложения

Погружайтесь в реальные уязвимости. Эксплуатируйте на изолированных стендах. Пишите исправления. Получайте обратную связь от автотестов.

Начать бесплатно Посмотреть лабы
Бесплатный старт 6 лаб + теория и квизы бесплатно · полный доступ на Pro
 SQL Injection · уязвимая функция  Lab #1 of 100+
GoPythonNode.jsPHPSQLiXSSSSRFRCECSRFIDORPath TraversalSSTIJWTRace ConditionDeserializationFile UploadAuth BypassOpen RedirectPrototype PollutionType Juggling
0 +
Лабораторий
0 
Классов уязвимостей
0 
Языка стека
3-state
Парсер тестов
Возможности
Учим через практику, не через слайды
Каждая лаба — рабочее приложение с уязвимостью, типичной для production-кода. Сломайте — почините — поймите как защитить свой код.
Реальные атаки
SQL Injection, XSS, RCE, SSRF — на изолированных K8s-подах. Ломайте безопасно, никаких production-данных.
Мгновенная проверка
Автоматическая валидация флагов и фиксов. Узнаёте результат в ту же секунду.
Fix the Code
Мало сломать. Учитесь писать защищённый код двумя независимыми способами — stdlib и библиотекой.
Kubernetes Labs
Каждая лаба — отдельный pod с эфемерным окружением. Полная изоляция и реалистичность.
Двойной прогресс
Exploit → Fix. Платформа отслеживает оба навыка отдельно, не «решил/не решил».
Мультиязычность
Go, Python, Node.js, PHP — одни и те же уязвимости на разных стеках.
Наша фишка
Единственная в своём роде платформа, где ты сначала взламываешь приложение, а затем устраняешь уязвимость в его коде.
Именно так формируется настоящее понимание механизмов атаки и защиты — с двух сторон одновременно.
Как это работает
Три шага от уязвимости к защищённому коду
01
Эксплуатация
Изучите как работает уязвимость в живом приложении и заберите флаг — через UI, скрипт или инструмент по выбору.
02
Исправление
Напишите минимальный фикс прямо в браузере. Два варианта: только stdlib и с внешней библиотекой.
03
Валидация
Запустите тесты. Security должны провалиться после фикса, functional — пройти. 3-state парсер всё проверит.
Кому подойдёт
Кому может пригодиться
эта платформа
Каждая лаба — это маленькое веб-приложение с встроенной ошибкой. Можно её сначала найти и проэксплуатировать, а затем написать правку. Ниже — чем это полезно конкретно вам.
01
Программисты
Если вы пишете код
В каждой лабе вы сначала смотрите, как работает уязвимость, а потом пишете правку прямо в редакторе на платформе. Тесты сразу показывают: получилось закрыть ошибку или нет, не сломали ли при этом обычную работу приложения.
  • Несколько языков: Go, Python, Node.js и PHP — выбираете тот, на котором пишете на работе.
  • Два варианта правки: один — только средствами стандартной библиотеки, второй — через внешний пакет. Полезно, когда хочется понять разницу в подходах.
  • Приложение близко к реальному: магазин с каталогом, корзиной, оформлением заказа, личным кабинетом, админкой и API. Уязвимость встроена в обычный сценарий, а не выдумана искусственно ради задачи.
 
02
Безопасники — Blue Team
SOC, аудит, security-инженер
Чтобы замечать атаки в логах или при ревью кода, полезно посмотреть на них глазами атакующего. Платформа позволяет это сделать, не обязательно запуская сами атаки — к каждой лабе приложен подробный разбор.
  • Теория и проверочный тест идут перед лабой — материал можно использовать как основу для обучения команды.
  • Группировка по OWASP Top 10: на странице маршрута видно, какие категории уже разобраны.
  • Полный разбор атаки и правки к каждой лабе: можно просто прочитать, без запуска уязвимости в браузере.
 
03
Белые хакеры — Red Team / AppSec
Пентест, bug bounty, AppSec
Каждая лаба — это отдельная копия небольшого веб-приложения, которое запускается у вас на время прохождения. Внутри настоящая авторизация, страницы, база данных — нужно искать уязвимость в обычном сценарии работы, а не в искусственной задаче.
  • Разные классы уязвимостей: SQL-инъекции, XSS, проблемы с авторизацией и сессиями, SSRF, загрузка файлов, недочёты в JWT и другое. Список постепенно дополняется.
  • Чтобы зачесть лабу, нужно реально получить флаг из приложения — без подсказок и заранее заданных подсказок в коде.
  • Лабы выглядят как обычные сайты, а не как CTF-задачи — это ближе к тому, что встречается в реальной работе.
 
04
DevSecOps-инженеры
CI/CD и безопасность в pipeline
Каждая лаба показывает связку: уязвимый код → тесты, которые её ловят → правка, после которой тесты меняют состояние. Это та же модель, которую вы внедряете в свой pipeline.
  • Готовые примеры для онбординга разработчиков или для тренинга — можно взять конкретную лабу и пройти всей командой.
  • Учебные пути сгруппированы по OWASP Top 10 — удобно собрать программу обучения и видеть, что уже пройдено.
  • Платформа сама использует security- и functional-тесты, которые проходят на уязвимом коде и падают после правки — полезный пример для своего CI.
  • В конце каждой темы — отдельный DevSecOps-блок: что добавить в CI, какие линтеры и SAST-правила ловят этот класс уязвимости, как покрыть его автотестами.
Реалистичность
Атакуете настоящие приложения,
не учебные игрушки
Каждая лаба — живой интернет-магазин SecureShop: каталог, корзина, оформление заказа, личный кабинет, админка и REST API. Уязвимость спрятана в обычном бизнес-сценарии — её нужно найти, как в реальном bug bounty, а не в искусственной CTF-задаче. И так на четырёх стеках: Go, Python, Node.js, PHP.
SecureShop
Search products… (press /)
▦ Catalog → Sign In + Register 
Catalog
Search… Search
Hacker Hoodie
Premium cotton hoodie with subtle binary print on the sleeve. Perfect for late-night coding.
$50
Mechanical Keyboard
Cherry MX Blue switches, full RGB backlighting, hot-swappable keycaps. 65% layout.
$120
USB Rubber Ducky
Keystroke injection tool disguised as a USB flash drive. Pre-loaded with demo payloads.
$45
Атаки на этой странице демо · SecureShop
SQLi
GET /search?q= Поиск товаров — конкатенация ввода в SQL-запрос
IDOR
GET /cart/items/1234 Перебор cart_id — доступ к чужим корзинам
Logic
POST /cart/coupon · −90% Bypass лимита скидок через race-condition
 Покрываем
SQL Injection Reflected XSS Stored XSS DOM XSS SSRF RCE Command Injection Path Traversal SSTI CSRF IDOR JWT Vulns Race Condition Insecure Deserialization Type Juggling Mass Assignment Prototype Pollution ReDoS File Upload Business Logic Broken Access Control WebSocket
Интерфейс
Полноценный IDE прямо в браузере
Подсветка синтаксиса, дерево файлов, терминал, режимы Функционал/Уязвимость, кнопки Diff и Рестарт — всё что нужно чтобы ломать и чинить, не выходя из вкладки.
  Hack & Fix / API Rate Limit: Brute-force логина без ограничений… 
ОСТАЛОСЬ  01:59:00
  
    
 
    
ФАЙЛЫ
📁 .audit
📁 cmd
📁 templates
📁 static
📁 internal
📄 ratelimit.go
📄 go.sum 🔒
📄 go.mod 🔒
ratelimit.go ×
ratelimit.go · Строка 15, Кол 36 · GO  ✓ OK
ТЕРМИНАЛ ЛОГИ  Очистить
[18:47:34] Проверка зависимостей…
[18:47:34] Запуск компонентов…
[18:47:34] Запрос списка файлов…
[18:47:34] Файловая система: 86 объектов.
[18:47:34] Инициализация редактора…
[18:47:34] Автосохранение включено (каждые 30 сек).
[18:47:34] Редактор активирован. ▢ Ctrl+S сохранить | Ctrl+P файлы | Ctrl+D diff
[18:47:34] Автооткрытие: ratelimit.go
До → После
Сравните до и после
Слева — уязвимый код, который видит студент. Справа — фикс который он напишет. Реальный пример из лабы go-sqli-basic.
 ПОСЛЕ · параметризовано  ДО · уязвимо (SQLi)
 
↔ Тяните ползунок вправо чтобы применить фикс — линия движется вместе с ним
Соревнование
Стань самым крутым хакером платформы
Каждая решённая лаба = XP. Каждый написанный фикс = ещё XP. Ежедневные челленджи дают +50% бонус. Поднимайся в лидерборде, забирай ранги, обгоняй других.
Твой опыт Skilled Hacker
2 480 XP
До «Elite» — 1 520 XP 🔥 12-day streak
Лидерборд · эта неделя LIVE
  1. #1 @zer0day_kate 14 320
  2. #2 @bytewizard 12 105
  3. #3 @nullbyte_sam 9 870
  4. #142 ты · @hacker_007 2 480
До топ-100 осталось 850 XP
Лаба дня +50% XP
SQLi Blind Time-Based
go · medium ~25 мин
Достань флаг через timing-based blind injection. Решишь за день — +50% XP к награде.
 До конца дня · 14:32:08
Ачивки 9 наград · собирай все
🩸Первая кровьBRONZE
Полный спектрSILVER
🌐Full StackSILVER
📚Path WalkerSILVER
🔥Streak WeekSILVER
👑Category MasterGOLD
🌋Streak MasterGOLD
💥Мастер атакиDIAMOND
🏰Мастер защитыDIAMOND
БЕСПЛАТНО Путь · Go · SQL Injection
Попробуй обучение бесплатно прямо сейчас
Пройдите весь путь «SQL Injection в Go» бесплатно: теория, 6 лаб с эксплуатацией и фиксами. Остальные языки, пути и 70+ уязвимостей доступны на Pro от 990 ₽/мес.
6 лаб бесплатно теория + квизы Pro: все языки + 70+ лаб
Зарегистрироваться и начать  Посмотреть путь без регистрации
Go·Python·Node.js·PHP·SQLi·XSS·SSRF·RCE·CSRF·IDOR·Path Traversal·SSTI·JWT·Race Condition·Deserialization
🚧 Сайт в разработке. Полный функционал пока недоступен. Все вопросы — support@hackandfix.ru