Schulung

Advanced Application Security Penetration Testing

Penetrationstesten im Web für erfahrene Pentester

Auch als interaktive Online-Schulung verfügbar.

Diese Schulung gibt Antworten auf folgende Fragen:

Wie nutze ich die fortgeschrittenen Funktionen der burpsuite?

Was steckt in Standardtools wie sqlmap, netcat und nmap noch alles drin?

Wie teste ich bei vorhandenen Firewalls und WAFs?

Wie baue ich meine bestehende Werkzeugkiste aus?

Beschreibung

Die Teilnehmer werden durch dieses Seminar befähigt, auch komplexere Schwachstellen (Second Order, Out-of-Band etc.) aufzufinden und ihre Werkzeuge in der täglichen Arbeit deutlich effektiver einzusetzen. Tools zum Testen von Webapplikationen werden ausführlich besprochen. Hierbei wird Burp als zentrales Testwerkzeug umfassend vorgestellt. Jeder Teilnehmer erhält für die Dauer des Trainings eine eigene Burp Suite Professional Lizenz.

Das Training beinhaltet eine Vielzahl von fortgeschrittenen praktischen Übungen, für welche unsere komfortable Schulungsumgebung zum Einsatz kommt. Die Schwachstellen werden von den Teilnehmern durch das Lösen von Aufgaben nachvollzogen und anschließend in der Gruppe diskutiert.

Die Schulungsumgebung erlaubt es den Teilnehmern, ihren eigenen Laptop mit ihrer individuellen Arbeitsumgebung, ohne eine künstliche Anpassung an die Schulungsumgebung, zu verwenden. Der Einsatz einer geeigneten Penetrationstestumgebung, wie Kali Linux oder Blackarch, wird hierbei empfohlen, ist aber keine Voraussetzung.

Sämtliche Inhalte können in Absprache mit Ihnen spezifisch für Sie angepasst werden!

Kursinhalt

Grundlagen

  • HTTP, DNS

  • Sessions, Cookies, Dom Storage

  • Ajax/CORS

  • CSP

  • Kryptographie, SSL/TLS

  • HSTS

Tools

  • Burp (Benutzung, Session management, Makros, Extensions selbst schreiben)

  • ncat, nmap

  • sslscan, testssl.sh, o-saft

  • sqlmap

Angriffe

  • XSS Exploitation, Dom-based XSS, Blind XSS

  • Injection (SQL, Blind SQLi, LDAP, XML, Code, …)

  • Insecure Object Deserialization

  • NoSQL Injection

  • CSRF in modernen Webapplikationen

  • JSONP Hijacking, CORS Misconfiguration, Websocket Hijacking

  • XML External Entity Includes, XSLT

  • SSRF

  • Logische/Semantische Angriffe, Phishing

Abwehr

  • Netzwerkseparierung

  • Firewalls, WAFs

  • IDS/IPS

  • Anti-Automatisierung

Facts

Zielgruppe

  • Penetrationstester

Dauer

3 bis 5 Tage

Voraussetzungen

keine

Unser Schulungsangebot richtet sich an Unternehmen und Organisationen. Schon ab drei Teilnehmern kann eine Schulung wirtschaftlich sein. Diese findet bei Ihnen im Haus statt oder wird von uns in Ihrer Wunschumgebung organisiert.

Trainer

Unsere Trainer sind aktiv tätige erfahrene Security Consultants

Nehmen Sie Kontakt per E-Mail auf, rufen Sie uns an oder nutzen Sie unser Kontaktformular.

Zurück

Grundlagenschulung "Durchführung von Penetrationstests"
Weiter

Unsere Trainer