In deze training leer je de benadering en technieken van een pentest op specifiek (web)applicaties uitvoeren en begrijpen zoals beschreven staat in OWASP Testing Guide. Alle te nemen stappen komen met behulp van uitdagende labs aan bod vanaf de scopebepaling tot en met de uiteindelijke rapportage. Naast de OWASP Top 10 leer je ook testen op minder bekende kwetsbaarheden. 

Het doel van deze offensieve training is tweeledig:

1. Een beter bewustzijn creeëren van de kwetsbaarheden in (web)applicaties door hands-on te ervaren hoe deze door kwaadwillenden aan te vallen/ te misbruiken zijn;
2. Deelnemers aanleren zelfstandig (web)applicaties te penetratietesten dmv specifiek daarvoor bestemde open source tools of beter te begrijpen hoe een externe penetratietester dit doet.

Tijdens deze vier daagse cursus wordt aan de hand van hands-on voorbeelden en labs de methode en uitvoer van een security assessment op een (web) applicatie aangeleerd, gebruikmakend van het OWASP Testing Framework.

Alle labs worden uitgevoerd met open source tools met een laag ‘klik-hier’ gehalte, zoals onder andere beschikbaar via de OWASP Web Testing Environment (WTE),  OWASP Mantra projecten en Kali Linux.

Voor wie is de (Web)Application Security Assessment training geschikt?

Voor deelname aan de WASA training is basiskennis van de bekende kwetsbaarheden van web applicaties noodzakelijk, evenals kennis van het http protocol, SQL en basis script kennis.

Kennis van verschillende applicatie security scanners en tooling voor het vinden van kwetsbaarheden is niet noodzakelijk maar wel een pre. Dit houdt voor oud-CEH deelnemers concreet in dat de onderwerpen met overlap als korte opfrisser worden behandeld of diepgaander zijn toegespitst op (web)applicaties.

Duur training

4 dagen

Certificering

Aan deze training zijn geen examen of certificering verbonden. Deelnemers ontvangen een bewijs van deelname dat bijvoorbeeld geschikt is voor het in stand houden van een CEH of CISSP certificering. 

Legal Agreement:

The mission of the course "Application Security Assessment" is to educate, introduce and demonstrate application security assessment technics for penetration testing purposes only.

Prior to attending this course, you will be asked to sign an agreement stating that you will not use the newly acquired skills for illegal or malicious attacks and you will not use such tools in an attempt to compromise any computer system without approval of the legal owner. 

Globale inhoud

• General introduction
• Intro to WSTG & ASVS
• Intro to Burp
• Basic hygiene, validation, and business logic
• Threat modelling
• Networking fundamentals
• Important protocols 
• WSTG

1. Information gathering
2. Configuration and deployment management testing
3. Identity management testing
4. Authentication testing
5. Authorization testing
6. Session management testing
7. Input validation testing
8. Error handling
9. Cryptography
10. Business logic testing
11. Client-side testing
12. API testing

• Secret management
• Federated identities (SAML, OAuth)
• Free for all with JuiceShop and WrongSecrets
• Optional topics