Перейти к содержанию

Обзор

Flawbusters — платформа для практического обучения безопасной разработке. В отличие от курсов с текстом и слайдами, здесь всё обучение строится вокруг реальных уязвимостей, которые пользователь сначала эксплуатирует, а затем исправляет.

Для кого

  • Разработчики, которым нужно закрыть пробелы по OWASP и научиться писать безопасный код.
  • Security Champions внутри продуктовых команд.
  • Студенты и джуниоры, готовящиеся к карьере в AppSec.
  • Компании, встраивающие Flawbusters как модуль в корпоративный LMS.

Как это работает

  1. Выбор задачи. Каталог содержит задачи по категориям (Web, API, Cloud, Mobile, Crypto, AI Security) и уровням сложности.
  2. Стартовая точка. Пользователь получает уязвимый код и демо-приложение, на котором можно воспроизвести эксплойт.
  3. Эксплуатация. Надо доказать, что уязвимость присутствует — например, украсть cookie через XSS или извлечь данные через SQL-инъекцию.
  4. Исправление. Пользователь редактирует код и отправляет решение.
  5. Проверка. Код запускается в изолированном Docker-контейнере: проверяется, что уязвимость закрыта и функциональность не сломана.
  6. Оценка. Баллы идут в Security Matrix — пользователь видит прогресс по каждой категории.

Архитектура платформы

  • Backend: Go, MongoDB, Redis, RabbitMQ.
  • Checker-воркеры: per-language (Python, Node, Go, Java), запускают пользовательский код в Docker с seccomp-профилем.
  • Frontend: Next.js 14, shadcn/ui, Tailwind.
  • AI-анализ: опционально через OpenRouter (Claude, GPT), с кешированием.
  • Интеграция: External Partner API для LMS (OAuth 2.0 + PKCE, HMAC-signed server-to-server).

Категории безопасности

  • 🌐 Web Application Security — XSS, SQLi, CSRF, IDOR, Path Traversal, SSRF, SSTI.
  • ⚡ API & Microservices — API Injection, Auth Bypass, Rate Limit Bypass.
  • ☁ Cloud & Container — RCE, Container Escape.
  • 📱 Mobile Security — Insecure Storage, Code Injection, Reverse Engineering.
  • 🛡 Cryptography & Data Protection — Weak Crypto, Key Management, Data Exposure.
  • 🧠 AI Security — Prompt Injection, Model Poisoning, Adversarial Attacks.

Подробнее — в разделе Руководство пользователя → Security Matrix.

Что дальше