Voor wie is deze training?
Developers die binnen hun development team zelf security tests willen gaan uitvoeren op eigen software, met als doel om kwetsbaarheden te constateren en die voor een release al te verhelpen. Deelnemers dienen tenminste één programmeertaal te beheersen, basiskennis te hebben van systeeminrichting én een interesse voor security en hacking te hebben. Je gaat met behulp van je ontwikkelskills en je ervaring rondom infrastructuur en (web)applicaties verschillende kwetsbaarheden uitbuiten onder begeleiding van de trainer. Het is daarom prettig als je je op je gemak voelt in jouw programmeertaal en in het toepassen ervan in technische opdrachten.
Waarom deze training Security testing voor Developers?
Security speelt een steeds grotere rol in organisaties, en als developer heb je een belangrijke rol in het borgen van kwaliteit en veiligheid in jouw ontwikkelproces en codebase. Als developer ken je misschien al sommige principes rondom secure development, of heb je al een security awareness sessie gevolgd voor developers. En nu wil je meer weten over hoe hackers te werk gaan en ook zelf aan de slag gaan met security testing bij jouw organisatie.
Resultaat
De trainingen van Computest raken de deelnemers in het hart door de manier waarop ze meegenomen worden in de hackers mindset.
Onno Wierbos, Manager non-functional testing bij NS
Na afloop van de training heb je een goed begrip van het wat en waarom van security testing en heb je ervaring opgedaan met het testen zelf. Je zal in staat zijn om zelfstandig security testen uit te voeren.
Na de training kan jij:
- Vanuit het oogpunt van security testing naar een applicatie / proces kijken;
- Meedenken over securityrisico’s in een project;
- Adviseren omtrent security testing van een project;
- Adviseren over de benodigde tools en de belangrijkste tools ook daadwerkelijk gebruiken;
- Resultaten (van testuitvoering en tooling) interpreteren (bijvoorbeeld het filteren van false-positives)
- Op een breed aantal onderdelen technisch inhoudelijke security testen uitvoeren.
Programma: theoretisch kader
Voor het praktisch uitvoeren van security tests heb je eerst een kader nodig waarin security testen geplaatst kunnen worden. In het theoretisch kader behandelen we:
- Context en schetsen van het landschap. Waar bestaan typische security-bedreigingen uit voor een organisatie?
- Security en risico’s: hoe wordt over security geredeneerd in een organisatiecontext? Welke risico’s moeten worden geadresseerd?
- Wat zijn middelen om deze risico’s te adresseren, en welke rol heeft testing daarin?
- Welke vormen van security testing zijn er, en wanneer is welke vorm zinvol?
Programma: praktische kennis
Na het schetsen van het theoretisch kader zal de praktijk behandeld worden. De verdeling hierbij zal ongeveer liggen op 25% theorie en 75% praktijk. Tijdens de praktische onderdelen kun je zelf ervaren welke verschillende kwetsbaarheden we kenmerken in een webapplicatie en infrastructuur en hoe je als developer hier zelf op kan testen (handmatig en met tools). De oefeningen zullen voornamelijk bestaan uit challenges, waar de deelnemers zelfstandig mee aan de slag kunnen.
In het praktische gedeelte behandelen we o.a.:
- Hoe ziet een securitytest op een infrastructuur, mobiele app, webapplicatie of API-endpoint eruit?
- Het bepalen van het aanvalsoppervlak van een infrastructuur (zoals poort- en protocolscanning).
- Het zoeken naar configuratieproblemen in een infrastructuur.
- Het zoeken naar eventuele verborgen diensten in een infrastructuur (zoals firewall evasion en service discovery).
- Testen of gevoelige gegevens voldoende worden beschermd wanneer deze worden verstuurd tussen de client en de server (zoals SSL/TLS-configuratiekwetsbaarheden).
- Het testen van de authenticatie laag (zoals authentication bypass en brute-forcing).
- Testen of autorisatiecontroles consequent en correct worden uitgevoerd (zoals identifier-based authorization en enumeration).
- Testen op enkele sessie gerelateerde kwetsbaarheden (zoals cross-site request forgery, sessie hijacking, CORS).
- Testen op enkele defense-in-depth en configuratiekwetsbaarheden (cookie flags, brute-force bescherming en sessiemanagement)
- Het testen op enkele injectiekwetsbaarheden (zoals SQL-injectie en cross-site scripting).
Training door onze hackers
Het belangrijkste waarin onze trainingen zich onderscheiden is dat zij worden gegeven door onze eigen ethische hackers met programmeerkennis. Onze trainers zijn dus op de eerste plaats gepassioneerde hackers die op dagelijkse basis ingezet worden bij complexe security trajecten. En wie kan er nu beter een developer trainen dan een hacker?
Door het enthousiasme waarmee zij hun kennis overbrengen en het levendig maken met voorbeelden en praktijksituaties zijn zij gewaardeerde trainers en gastsprekers. Onze trainers beschikken over HBO/Universitair werk- en denkniveau en worden geselecteerd op hun goede communicatieve vaardigheden en social skills.
Onze visie op leren
Wij geloven sterk in ‘learning by doing’. Een theoretisch kader is belangrijk om securitytesting te plaatsen binnen het securitydomein. Om de wereld van het hacken echt tastbaar te maken en de security-awareness te vergroten is het belangrijk om deelnemers zelf aan het werk te zetten. Bij Computest bestaat de training voor ongeveer 75% uit praktijktraining.
Met behulp van interactieve sessies en diverse challenges leren deelnemers te hacken, securityplannen op te zetten en/of testen uit te voeren. Onze trainer begeleidt hen intensief bij opdrachten en beantwoordt vragen zodat zij in de praktijk zelfstandig aan de slag kunnen.
Het borgen van kwaliteit
Daan Keuper is verantwoordelijk voor de overall kwaliteit van de trainingen. Hij is hacker van topniveau; hij is driemaal derde geworden in wereldwijde hack competities en heeft het nieuws gehaald met het vinden van kwetsbaarheden in de iPhone en in een personenauto. Ook heeft hij ruim 10 jaar ervaring met het geven van (security)trainingen aan technische en niet-technische deelnemers.
Daan ontwikkelt de (maatwerk) trainingen, verzorgt het lesmateriaal en houdt deze continu actueel. Hij geeft zelf trainingen en is tevens verantwoordelijk voor het selecteren, opleiden en begeleiden van andere trainers. Daan zit regelmatig bij een training om de kwaliteit en de professionaliteit van deze trainers vast te stellen en waar nodig bij te sturen. Ook vragen wij onze deelnemers na iedere training om feedback middels een anonieme tool. Deze feedback wordt door Daan en de trainers besproken om de trainingen nog verder te verbeteren.
Prijs, data en locatie training Security testing voor Developers
De training duurt 3 dagen en kost 1.995 euro per persoon.
Wij verzorgen een prettige en ontspannen leeromgeving. De trainingen vinden geregeld plaats bij Computest op kantoor. Wij hebben hiervoor een mooie ruimte beschikbaar met dakterras en tevens serveren wij een heerlijke lunch.
De training kan desgewenst ook in-company worden gegeven en bij de klant plaatsvinden. De prijs is voor de hele groep dan 15.300 euro (maximaal 10 deelnemers).
Maatwerk
Trainingen op maat zijn altijd mogelijk. Voor kleine of grote groepen. Onze in-company trainingen verzorgen we altijd op basis van een intake vooraf. Onze trainers verwerken de werkomgeving, tools en stack van het te trainen team in de training. Ons doel is dat de deelnemer bij terugkomst gelijk de opgedane kennis kan toepassen in de praktijk.
Dankzij de brede kennis die wij in huis hebben kunnen wij trainingen verzorgen voor allerlei doelgroepen en tot op een zeer hoog (technisch) niveau. Ook kan er toegespitst worden op een bepaald onderwerp, bijvoorbeeld mobiele apps. Het is dus altijd mogelijk om een passende (maatwerk) training te organiseren.
Neem contact met ons op om de mogelijkheden te bespreken.