Application Security que o mercado consegue ver.
A CASP é a primeira certificação brasileira de Application Security que avalia as 3 competências que o mercado realmente exige: modelagem de ameaças, exploração real com flag e relatório técnico profissional para devs.
Qualquer um diz que sabe. Quem passa aqui prova.
Antes da certificação, vem a formação.
A CASP é destinada a alunos que concluíram a formação de Desenvolvimento Seguro do Hacking Club.
- ✓Curso Desenvolvimento Seguro concluído
- ✓Todos os desafios resolvidos
- ✓Assinatura pro ou elite ativa. Você também pode comprar à parte o voucher.
Tem muita gente que acha o bug. Poucos sabem o que fazer depois.
"A maioria dos profissionais de segurança nunca foi ensinada a comunicar o risco de forma técnica e acionável para quem vai corrigir. O relatório vai para a gaveta. A vulnerabilidade continua lá."
Isso é o que separa um analista de um profissional sênior e é exatamente o que a CASP avalia.
Três perfis que a CASP foi criada para atender
Devs backend/fullstack
Querem aprender a olhar o próprio código com olhar de atacante antes que o atacante o faça.
"Segurança nunca foi meu problema. Até ser."
Pentesters
Já sabem explorar. A CASP exige modelagem, code review e relatório o que separa um júnior de um sênior em AppSec.
"Acho o bug. Não sei provar que ele importa."
AppSec Analysts
Precisam de uma credencial técnica real não de uma prova decorativa de múltipla escolha.
"Preciso de algo que o mercado reconheça de verdade."
Na maioria das certificações você responde questões. Na CASP você executa.
Outras certificações
- ✕Questões de múltipla escolha
- ✕Exploração isolada, sem contexto
- ✕Sem critério de comunicação
- ✕Sem análise de código fonte
- ✕Resultado binário, sem feedback
CASP Crowsec
- ✓Simulação real 7 dias de trabalho
- ✓Modelagem + exploração + relatório integrados
- ✓Relatório vale 45% linha de código, impacto, fix
- ✓Code review obrigatório com STRIDE + DREAD/CVSS
- ✓Nota de 0 a 10 com critérios transparentes
Tudo que você precisa para chegar preparado na prova
Os instrutores são da Hakai Security, referência brasileira em Offensive Security. Cada módulo foi construído a partir de casos reais.
SSDLC Dev seguro
OWASP ASVS · SAMM · Framework
Modelagem de Ameaças
STRIDE · DREAD · CVSS · Ativos · Controles
Scans
SAST · DAST · SCA · Secrets · Semgrep · Gitleaks
DevSecOps
Pipeline · Defect Dojo · Branches · Governança
API Security
OWASP Top 10 API 2023 · GraphQL · REST
Security Code Review
Input do usuário · CVE real (CVE 2023 28838)
Visão Executiva
Relatório · Gestão de risco · Acompanhamento
Labs práticos
Desafios OWASP · Ambientes reais
Como funcionam os 7 dias de prova
Uma avaliação contínua que cobre as três dimensões essenciais de Application Security.
Threat Modeling
2 diasDiagrama · Ativos · Ameaças · Controles STRIDE · DREAD ou CVSS · Relatório de decisões
Code Review + Exploração
2 diasIdentificação de vulnerabilidades no código · Exploração prática · Obtenção da flag
Relatório Técnico
3 diasLinha exata do código · Evidências · Impacto técnico e de negócio · Recomendações · Reprodução
O relatório vale 45% porque é onde mora o diferencial
Saber explorar é o básico. O que o mercado contrata e o que a CASP avalia é a capacidade de comunicar o risco de forma clara e acionável.
Linha exata do código vulnerável
Arquivo, função e linha afetada
Evidências da exploração
Requisições, payloads, prints
Impacto técnico e de negócio
O que um atacante consegue fazer
Recomendações para o dev
Passo a passo de correção claro
Desenvolvido por quem atua no mercado
A CASP foi criada pela Crowsec com profissionais reais de Application Security os mesmos que ministram as aulas.
Thiago Bispo
SSDLC · Code Review · Visão Executiva
Lucas Dantas
Modelagem de Ameaças
Allan Kardec
Scans · Secrets
Alexandre
API Security
Joao Rodrigo
DevSecOps Prático
Certificado digital com ID único e verificável
Perguntas frequentes
Não. Toda a avaliação é prática 7 dias contínuos de simulação real de trabalho.
7 dias corridos, sem pausas. O cronômetro começa na ativação.
Uma tentativa inclusa. Se não passar, você pode tentar novamente após seis meses sem custo adicional, desde que a assinatura esteja ativa.
Formação Desenvolvimento Seguro (7 módulos), Formação Report Hacking, laboratórios práticos, certificação CASP e certificado digital com ID verificável.
Sim a base técnica importa. O candidato ideal já concluiu a Formação de Desenvolvimento Seguro do HC. Se você ainda não tem assinatura Pro ou Elite, não tem problema: a certificação pode ser adquirida de forma independente e já inclui tudo que você precisa para chegar preparado.
Threat Modeling 35% · Exploração 20% · Code Review + Relatório 45%. Nota mínima: 7,0.
Sim. Digital, com verificação pública em verify.hackingclub.com.
O primeiro retake não é cobrado. Segunda falha tem taxa para nova tentativa.
A prova deve ser realizada dentro do período de assinatura vigente.
Sim. Você tem 7 dias de garantia após a compra.
Encontrar a vulnerabilidade é só o começo.
Se você quer ser o profissional que encontra, entende e comunica a CASP é para você. Inscrições abertas. Curso completo incluso.
