>>

Introduction into security testing (3 dagen)

Check de vernieuwde versie van deze training!

Dit is de oude versie van onze geliefde training Introduction into Security testing.

We hebben deze training gereviewed en aangepast zodat hij nog beter aansluit bij de wensen en ervaring van onze deelnemers. Kijk voor alle informatie over de nieuwe versie hier: Security testing voor Developers.

Voor wie is deze training?

Deze training is geschikt voor IT-professionals die kennis & ervaring hebben op ten minste twee van de volgende disciplines: engineering, infrastructuur, testen en testtooling. Zij dienen over HBO- / WO-denkniveau te beschikken.

Resultaat

De trainingen van Computest raken de deelnemers in het hart door de manier waarop ze meegenomen worden in de hackers mindset.

Onno Wierbos, Manager non-functional testing bij NS

Na afloop van de training hebben de deelnemers een begrip van het wat en waarom van security testing en hebben ze ervaring met het testen zelf. Zij zullen in staat zijn om zelfstandig security testen uit te voeren.

Na de training kunnen zij:

  • Vanuit het oogpunt van securitytesting naar een applicatie / proces kijken;
  • Meedenken over securityrisico’s in een project;
  • Adviseren omtrent securitytesting van een project;
  • Adviseren over de benodigde tools en de belangrijkste tools ook daadwerkelijk gebruiken;
  • Resultaten (van testuitvoering en tooling) interpreteren (bijvoorbeeld het filteren van false-positives);
  • Op een breed aantal onderdelen technisch inhoudelijke securitytesten uitvoeren.

Programma: theoretisch kader

Voor het praktisch uitvoeren van security tests dienen de testers eerst een kader te hebben waarin securitytesten geplaatst kunnen worden. Dit theoretisch kader is nodig om uiteindelijk dekkende testcases te kunnen formuleren en uitvoeren.

Zaken die in dit onderdeel behandeld zullen worden:

  • Context en schetsen van het landschap. Waar bestaan typische security-bedreigingen uit voor een organisatie?
  • Security en risico’s: hoe wordt over security geredeneerd in een organisatiecontext? Welke risico’s moeten worden geadresseerd?
  • Wat zijn middelen om deze risico’s te adresseren, en welke rol heeft testing daarin?
  • Welke vormen van security testing zijn er, en wanneer is welke vorm zinvol?

Programma: praktische kennis

Na het schetsen van het theoretisch kader zal de praktijk behandeld worden. De verdeling hierbij zal ongeveer liggen op 25% theorie en 75% praktijk. Tijdens de praktische onderdelen zullen de testers zelf ervaren welke verschillende kwetsbaarheden we kenmerken in een webapplicatie en infrastructuur en hoe een tester hier zelf op kan testen (handmatig en met tools). De oefeningen zullen voornamelijk bestaan uit challenges, waar de testers zelfstandig mee aan de slag kunnen.

De training zal o.a. de volgende elementen behandelen:

  • Hoe ziet een securitytest op een infrastructuur, mobiele app, webapplicatie of API-endpoint er praktisch uit?
  • Het bepalen van het aanvalsoppervlak van een infrastructuur (zoals poort- en protocolscanning).
  • Het zoeken naar configuratieproblemen in een infrastructuur.
  • Het zoeken naar eventuele verborgen diensten in een infrastructuur (zoals firewall evasion en service discovery).
  • Testen of gevoelige gegevens voldoende worden beschermd wanneer deze worden verstuurd tussen de client en de server (zoals SSL/TLS-configuratiekwetsbaarheden).
  • Het testen van de authenticatie laag (zoals authentication bypass en brute-forcing).
  • Testen of autorisatiecontroles consequent en correct worden uitgevoerd (zoals identifier-based authorization en enumeration).
  • Testen op enkele sessie gerelateerde kwetsbaarheden (zoals cross-site request forgery, sessie hijacking, CORS).
  • Testen op enkele defense-in-depth en configuratiekwetsbaarheden (cookie flags, brute-force bescherming en sessiemanagement)
  • Het testen op enkele injectiekwetsbaarheden (zoals SQL-injectie en cross-site scripting)

Training door onze hackers

Het belangrijkste waarin onze trainingen zich onderscheiden is dat zij worden gegeven door onze eigen ethische hackers met programmeerkennis. Onze trainers zijn dus op de eerste plaats gepassioneerde hackers die op dagelijkse basis ingezet worden bij complexe security trajecten. En wie kan er nu beter een developer trainen dan een hacker?

Door het enthousiasme waarmee zij hun kennis overbrengen en het levendig maken met voorbeelden en praktijksituaties zijn zij gewaardeerde trainers en gastsprekers. Onze trainers beschikken over HBO/Universitair werk- en denkniveau en worden geselecteerd op hun goede communicatieve vaardigheden en social skills.

Onze visie op leren

Wij geloven sterk in ‘learning by doing’. Een theoretisch kader is belangrijk om securitytesting te plaatsen binnen het securitydomein. Om de wereld van het hacken echt tastbaar te maken en de security-awareness te vergroten is het belangrijk om deelnemers zelf aan het werk te zetten. Bij Computest bestaat de training voor ongeveer 75% uit praktijktraining.

Met behulp van interactieve sessies en diverse challenges leren deelnemers te hacken, securityplannen op te zetten en/of testen uit te voeren. Onze trainer begeleidt hen intensief bij opdrachten en beantwoordt vragen zodat zij in de praktijk zelfstandig aan de slag te kunnen.

Het borgen van kwaliteit

Daan Keuper is verantwoordelijk voor de overall kwaliteit van de trainingen. Hij is hacker van topniveau; hij is driemaal derde geworden in wereldwijde hack competities en heeft het nieuws gehaald met het vinden van kwetsbaarheden in de iPhone en in een personenauto. Ook heeft hij ruim 10 jaar ervaring met het geven van (security)trainingen van technische en niet-technische deelnemers.

Daan ontwikkelt de (maatwerk) trainingen, verzorgt het lesmateriaal en houdt deze continu actueel. Hij geeft zelf trainingen en is tevens verantwoordelijk voor het selecteren, opleiden en begeleiden van andere trainers. Daan zit regelmatig bij een training om de kwaliteit en de professionaliteit van deze trainers vast te stellen en waar nodig bij te sturen. Ook vragen wij onze deelnemers na iedere training om feedback middels een anonieme tool. Deze feedback wordt door Daan en de trainers besproken om de trainingen nog verder te verbeteren.

Maatwerk

Trainingen op maat zijn altijd mogelijk. Voor kleine of grote groepen. Onze in-company trainingen verzorgen we altijd op basis van een intake vooraf. Onze trainers verwerken de werkomgeving, tools en stack van het te trainen team in de training. Ons doel is dat de deelnemer bij terugkomst gelijk de opgedane kennis kan toepassen in de praktijk.

Dankzij de brede kennis die wij in huis hebben kunnen wij trainingen verzorgen voor allerlei doelgroepen en tot op een zeer hoog (technisch) niveau. Ook kan er toegespitst worden op een bepaald onderwerp, bijvoorbeeld mobiele apps. Het is dus altijd mogelijk om een passende (maatwerk) training te organiseren.

Neem contact met ons op om de mogelijkheden te bespreken.

Registreren of meer informatie?

Schakel JavaScript in om dit formulier te gebruiken

Deze website werkt het beste met JavaScript ingeschakeld