Aanmeldingsformulier Introduction into security testing

Kies in het formulier de datum waarop je wil deelnemen. Wil je je niet aanmelden, maar op de hoogte worden gehouden van aankomende trainingen? Kies dan voor "houd mij op de hoogte".

Datum:
De trainingen van Computest raken de deelnemers in het hart door de manier waarop ze meegenomen worden in de hackers mindset. Tegelijk zijn ze heel hands-on, waardoor de deelnemers direct zelf aan de slag kunnen. Onno Wierbos, Manager non-functional testing bij NS
Lees verder wat de NS over Introduction into Security Testing zegt!

Introduction into security testing

Vóór IT'ers, dóór ervaren hackers

  • 3 dagen
  • € 2.250
  • 4 - 10 deelnemers

Tijdens deze 3-daagse hands-on securitytraining krijgen de deelnemers een kijkje in het hoofd van een aanvaller. Wat voor gegevens wil de hacker buitmaken en waarom? Hoe creatief is hij of zij in het vinden van mogelijkheden om dit doel te bereiken? Tijdens de training worden de verschillende principes voor het veilig ontwikkelen van systemen behandeld en wordt er een beeld gegeven van de verschillende types securitytesten en de uitvoer hiervan. De deelnemers leren met behulp van tooling kwetsbaarheden te vinden en te voorkomen.

Inschrijven Meer informatie

Praktische informatie

Duur

De training duurt 6 dagdelen (3 opeenvolgende dagen).

Data en locatie

Open inschrijving

  • 21 februari - 23 februarivan 09:00 - 17:00
  • 13 juni - 15 junivan 09:00 - 17:00
  • 24 oktober - 26 oktobervan 09:00 - 17:00

In companyVoor de in company-trainingen worden de data vanzelfsprekend afgestemd na contact.

Kosten

Open inschrijving€ 2.250 per persoon

In company€ 15.300 (maximaal 10 personen)

Inschrijven Download brochure

Voor wie is deze training?

Deze training is geschikt voor IT-professionals die:

  • kennis & ervaring hebben op ten minste twee van de volgende disciplines: engineering, infrastructuur, testen en testtooling;
  • over HBO- / WO-denkniveau beschikken.

Resultaat

Na afloop van de training hebben de deelnemers een begrip van het wat en waarom van security testing en hebben ze ervaring met het testen zelf. Zij zullen in staat zijn om zelfstandig security testen uit te voeren.

Na de training kunnen zij:

  • Vanuit het oogpunt van securitytesting naar een applicatie / proces kijken;
  • Meedenken over securityrisico’s in een project;
  • Adviseren omtrent securitytesting van een project;
  • Weten welke tests iets zeggen over de securitykwaliteit van een applicatie;
  • Adviseren over de benodigde tools en de belangrijkste tools ook daadwerkelijk gebruiken;
  • Resultaten (van testuitvoering en tooling) interpreteren (bijvoorbeeld het filteren van false-positives);
  • Op een breed aantal onderdelen technisch inhoudelijke securitytesten uitvoeren.

Programma

Theoretisch kader

Voor het praktisch uitvoeren van security tests dienen de testers eerst een kader te hebben waarin securitytesten geplaatst kunnen worden. Dit theoretisch kader is nodig om uiteindelijk dekkende testcases te kunnen formuleren en uitvoeren.

Zaken die in dit onderdeel behandeld zullen worden:

  • Context en schetsen van het landschap. Waar bestaan typische security-bedreigingen uit voor een organisatie? Wie zijn de actoren achter deze bedreigingen?
  • Security en risico’s: hoe wordt over security geredeneerd in een organisatiecontext? Welke risico’s moeten worden geadresseerd?
  • Wat zijn middelen om deze risico’s te adresseren, en welke rol heeft testing daarin?
  • Welke vormen van security testing zijn er, en wanneer is welke vorm zinvol?
  • Plaats van security testing in het proces bij software development.

Praktische kennis

Na het schetsen van het theoretisch kader zal de praktijk behandeld worden. De verdeling hierbij zal ongeveer liggen op 25% theorie en 75% praktijk. Tijdens de praktische onderdelen zullen de testers zelf ervaren welke verschillende kwetsbaarheden we kenmerken in een webapplicatie en infrastructuur en hoe een tester hier zelf op kan testen (handmatig en met tools). De oefeningen zullen voornamelijk bestaan uit challenges, waar de testers zelfstandig mee aan de slag kunnen. Het doel van deze praktische insteek is tweeledig, het dient de testers enkele basistesten te leren omtrent security testing. Daarnaast leren de testers zelfstandig beredeneren over verschillende kwetsbaarheden, waarbij zij deze kennis toe kunnen passen op eventuele nieuwe (niet behandelde) kwetsbaarheden. Alle onderdelen worden behandeld tot een niveau dat relevant is voor de deelnemers.

De training zal o.a. de volgende elementen behandelen:

  • Hoe ziet een securitytest op een infrastructuur, mobiele app, webapplicatie of API-endpoint er praktisch uit?
  • Het bepalen van het aanvalsoppervlak van een infrastructuur (zoals poort- en protocolscanning).
  • Het zoeken naar configuratieproblemen in een infrastructuur.
  • Het zoeken naar eventuele verborgen diensten in een infrastructuur (zoals firewall evasion en service discovery).
  • Testen of gevoelige gegevens voldoende worden beschermd wanneer deze worden verstuurd tussen de client en de server (zoals SSL/TLS-configuratiekwetsbaarheden).
  • Het testen van de authenticatie laag (zoals authentication bypass en brute-forcing).
  • Testen of autorisatiecontroles consequent en correct worden uitgevoerd (zoals identifier-based authorization en enumeration).
  • Testen op enkele sessie gerelateerde kwetsbaarheden (zoals cross-site request forgery, sessie hijacking, CORS).
  • Testen op enkele defense-in-depth en configuratiekwetsbaarheden (cookie flags, brute-force bescherming en sessiemanagement)
  • Het testen op enkele injectiekwetsbaarheden (zoals SQL-injectie en cross-site scripting)

Onze visie op leren

Wij geloven sterk in ‘learning by doing’. Een theoretisch kader is belangrijk om securitytesting te plaatsen binnen het securitydomein. Om de wereld van het hacken echt tastbaar te maken en de security-awareness te vergroten is het belangrijk om deelnemers zelf aan het werk te zetten. Bij Computest bestaat de training voor ongeveer 75% uit praktijktraining.

Met behulp van interactieve sessies en diverse challenges leren deelnemers te hacken, securityplannen op te zetten en/of testen uit te voeren. Onze trainer begeleidt hen intensief bij opdrachten en beantwoordt vragen zodat zij in de praktijk zelfstandig aan de slag te kunnen.

We trainen drie dagen aaneengesloten zodat deelnemers helemaal loskomen van de dagelijkse werkzaamheden en zich volledig kunnen focussen op de wereld van het hacken. Wij verzorgen een prettige en ontspannen leeromgeving. De trainingen vinden plaats bij Computest op kantoor. Wij hebben hiervoor een mooie ruimte beschikbaar met dakterras en tevens serveren wij een heerlijke lunch. We ontzorgen volledig door alle benodigde materialen, waaronder laptops en de benodigde testtooling beschikbaar te stellen (Nessus, Burp proxy en opensource testtooling).

De in company-training kan desgewenst ook bij de klant plaatsvinden.

Over onze trainers

Onze trainers zijn op de eerste plaatst gepassioneerde hackers die op dagelijkse basis ingezet worden bij complexe security trajecten. Zij zijn tevens onderdeel van onze afdeling R&D die de borging van kennis verzorgen. Denk hierbij aan het vullen van de kennisbank, presentaties geven, onderzoek doen, artikelen en blogs schrijven.

Door het enthousiasme waarmee zij hun kennis overbrengen en het levendig maken met voorbeelden en praktijksituaties zijn zij gewaardeerde trainers en gastsprekers. Onze trainers beschikken over HBO/Universitair werk- en denkniveau en worden geselecteerd op hun goede communicatieve vaardigheden en social skillls.

Het borgen van kwaliteit

Daan Keuper is verantwoordelijk voor de overall kwaliteit van de trainingen. Hij is hacker van topniveau; hij is driemaal derde geworden in wereldwijde hack competities en heeft het nieuws gehaald met het vinden van kwetsbaarheden in de iPhone en in een personenauto. Ook heeft hij ruim 10 jaar ervaring met het geven van (security)trainingen van technische en niet-technische deelnemers.

Daan ontwikkelt de (maatwerk) trainingen, verzorgt het lesmateriaal en houdt deze continu actueel. Hij geeft zelf trainingen en is tevens verantwoordelijk voor het selecteren, opleiden en begeleiden van andere trainers. Daan zit regelmatig bij een training om de kwaliteit en de professionaliteit van deze trainers vast te stellen en waar nodig bij te sturen. Ook vragen wij onze deelnemers na iedere training om feedback middels een anonieme tool. Deze feedback wordt door Daan en de trainers besproken om de trainingen nog verder te verbeteren.