Maandelijkse vulnerability scanning: Eerste maand kosteloos! Meer informatie →
Hero

WIJ ZIJN

HACKIFY

Wat is de Web hacktraining

Icon van een web hacktraining

De Web Hacktraining is een intensieve workshop van een dag. Developers, security engineers en IT-professionals leren hoe een aanvaller in de praktijk een webapplicatie hackt. De leidraad is de OWASP Top 10, aangevuld met kwetsbaarheden die wij tijdens pentests vaak tegenkomen. In plaats van alleen te lezen over Cross-Site Scripting (XSS), SQL-injecties, XXE-aanvallen of remote code execution via een file upload, voert u deze aanvallen zelf uit met Burp Suite Professional en sqlmap tegen kwetsbare webapplicaties in onze labomgeving.

Webapplicaties zijn een geliefd doelwit bij hackaanvallen, en de kwetsbaarheden uit de OWASP Top 10 zijn daarbij veelgebruikte aanvalsvectoren. Door zelf te hacken begrijpt u niet alleen hoe zo’n kwetsbaarheid werkt, maar ook hoe u die in uw eigen code voorkomt.

De training geven we volledig op uw locatie, met twee web security specialisten van Hackify. Wij nemen de ingerichte laptops mee en een eigen labomgeving met meerdere kwetsbare webapplicaties, zodat iedere deelnemer kan meedoen met de aanvallen. Van XSS en CSRF aan de clientkant tot SQL-injecties, XXE en remote code execution via file uploads: alles gebeurt in een veilige, afgeschermde omgeving.

Waarom en wanneer is een web hacktraining belangrijk?

Een developer bouwt elke dag webapplicaties, maar leert zelden hoe een aanvaller die daadwerkelijk overneemt. Weten dat SQL-injecties bestaan is iets anders dan zelf een database uitlezen. Weten wat XSS is, is iets anders dan zelf een sessie overnemen.

Een praktische web security training is verstandig in de volgende situaties:

  • uw developmentteam wil veiligere code schrijven door te begrijpen hoe een aanval werkt
  • u heeft een security audit gehad en wilt de gevonden kwetsbaarheden begrijpen en voortaan voorkomen
  • u moet voldoen aan de awareness-eisen van PCI DSS, ISO 27001 of de AVG
  • u start een nieuw project en wilt vanaf dag één met beveiliging in het achterhoofd werken
  • uw securityteam wil de stap maken van theorie naar het zelf hacken van webapplicaties

Wie zelf een webapplicatie hackt, snapt waar het valideren van invoer belangrijk is, waarom prepared statements een SQL-injectie tegenhouden en hoe een Content Security Policy de impact van XSS beperkt.

Wat valt er allemaal onder een web hacktraining?

Een web hacktraining volgt een realistische aanvalsstroom tegen moderne webapplicaties. We gebruiken de OWASP Top 10 als leidraad en richten ons op de kwetsbaarheden die wij in de praktijk het meest zien. U voert alle aanvallen zelf uit met Burp Suite en sqlmap, tegen kwetsbare webapplicaties in onze labomgeving.

Introductie OWASP Top 10 en Burp Suite

We beginnen met een korte introductie van de OWASP Top 10: de belangrijkste categorieën van webapplicatiekwetsbaarheden en de impact daarvan op een organisatie. Daarna richten we ons op Burp Suite: het instellen van de proxy, het onderscheppen van HTTP-verkeer, het ontdekken van parameters en het opzetten van een efficiënte testaanpak.

Aanvallen aan de clientkant: XSS en CSRF

Dit onderdeel gaat over aanvallen aan de clientkant. U leert verschillende vormen van Cross-Site Scripting uitvoeren, van reflected en stored tot DOM-based, en ziet hoe XSS leidt tot het overnemen van een sessie en het stelen van gegevens. Daarnaast behandelen we Cross-Site Request Forgery (CSRF) en laten we zien hoe een aanvaller acties uitvoert namens een ingelogde gebruiker. Alles gebeurt hands-on met Burp Suite en de developer tools van de browser.

Injectieaanvallen: SQL-injecties en XXE

Vervolgens duiken we in injectieaanvallen aan de serverkant. We behandelen SQL-injecties, van een eenvoudige authentication bypass tot het uitlezen van data met een UNION-query, en laten zien hoe u met sqlmap snel kwetsbare parameters vindt en misbruikt. Daarnaast kijken we naar XXE-aanvallen (XML External Entity) en hoe een verkeerd geconfigureerde XML-parser leidt tot het buitmaken van gegevens of een SSRF-achtig scenario.

Broken access control en privilege escalation via IDOR

Daarna bekijken we hoe gebrekkige toegangscontrole leidt tot privilege escalation. We richten ons op IDOR (Insecure Direct Object References) en laten zien hoe u vanuit een gewoon gebruikersaccount toegang krijgt tot admin-functionaliteit of de gegevens van een andere gebruiker. U leert hoe u met Burp Suite stelselmatig autorisatieproblemen opspoort en misbruikt.

Volledige overname via een file upload

Tot slot behandelen we kwetsbaarheden in uploadfunctionaliteit waarmee remote code execution mogelijk is. We laten zien hoe een ogenschijnlijk onschuldige uploadfunctie wordt misbruikt om een webshell te plaatsen of code uit te voeren op de achterliggende server. Het eindresultaat is een volledige overname van de webapplicatie en de server eronder, met toegang tot de databases en gevoelige gegevens.

Waarom kiezen voor Hackify?

  • Bewezen expertise - Ethische hackers met minimaal 5 jaar ervaring, 3 certificaten en relevante expertise per testonderdeel (niet branche minimum van 1 jaar en 1 certificaat)
    • Track record - Responsible disclosures bij Philips, Zoom, Oracle, Politie en vele anderen
    • Hackcompetitie winnaars - Prijzen bij Hack010, PVIB CTF, Hackerhotel en HackTheHague
  • OWASP expertise - Diepgaande kennis van OWASP Top 10 en Burp Suite Professional
  • Direct contact - Geen accountmanagers, spreek direct met trainers die uw training geven
  • Flexibiliteit - Web hacktrainingen vaak binnen 2-3 weken te plannen

Plan uw web hacktraining

Wilt u uw development- en securityteams hands-on laten ervaren hoe je een webapplicatie hackt en beveiligt? Neem dan vrijblijvend contact met ons op. We vertellen u graag meer over onze aanpak, en horen graag meer over uw applicaties, uw technologie en uw leerdoelen.

Elke web hacktraining is anders, dus stellen we voor elke opdracht een voorstel op maat op. De training kan binnen 3 weken plaatsvinden en geven we volledig op uw locatie, met laptops en een complete kwetsbare labomgeving van ons. De training duurt een dag van 7 uur en volgt het hele aanvalspad: van de introductie op de OWASP Top 10 en aanvallen aan de clientkant tot injectie, broken access control en een volledige overname van de webapplicatie en de server.

Klaar voor een web hacktraining?

Wij geven uw developers een hands-on dag in OWASP Top 10-exploitatie zodat ze de bugs herkennen voordat ze er een schrijven. Vraag een voorstel op maat aan.

Neem contact op

Of mail ons direct via [email protected]

Veelgestelde vragen over de Web Hacktraining

Hoe lang duurt de Web Hacktraining?

De Web Hacktraining duurt een dag, met 7 uur hands-on werk.

  • In de ochtend, van 09:00 tot 12:45, behandelen we de OWASP Top 10, Burp Suite, XSS en CSRF.
  • In de middag, van 13:30 tot 17:00, gaat het over SQL-injecties, XXE, broken access control met IDOR en remote code execution via file uploads.
  • Daartussen zitten twee pauzes van 15 minuten en een lunch van 45 minuten.

De hele dag staat het praktisch hacken van realistische webapplicaties centraal.

Wat kost de Web Hacktraining?

De prijs van een web hacktraining is afhankelijk van de scope, het aantal deelnemers en andere aspecten zoals maatwerk en specifieke vereisten. Na een intakegesprek stellen wij een passend voorstel voor u op dat aansluit bij uw situatie.

Moet ik ervaring hebben met web development?

Enige kennis van web development is handig, maar niet vereist. Basiskennis van HTML en JavaScript helpt bij het begrijpen van XSS, en bekendheid met SQL is meegenomen bij SQL-injecties. Het HTTP-protocol, met requests, responses en headers, behandelen we tijdens de training. We beginnen bij de basis en bouwen de kennis op. Nieuwsgierigheid is belangrijker dan voorkennis.