Advanced Web Hacking Training icon

Advanced Web Hacking Training

Unser 4-tägiger Kurs für fortgeschrittenes Web-Hacking

Kontakt

Dieser dynamische Web-Hacking-Kurs gibt den Teilnehmern einen Einblick in fortgeschrittenes Web-Hacking. Das Team hat ein hochmodernes Hacklab aufgebaut und Sicherheitslücken auf der Grundlage realer Penetrationstests und echter Bug Bounties aus der freien Wirtschaft nachgebildet.

Der Kurs ist jetzt als Live-Online-Schulung verfügbar und kann für Sie individuell oder für Ihr Unternehmen durchgeführt werden. Kontaktieren Sie uns unten mit Ihren Anforderungen.

The AWH course has been excellent with 100% positive feedback. We've appreciated ourselves how much work must have gone into the labs, they are very strong and reflect the real world, so we've been thrilled. The trainers are great, very knowledgable and engaging.

Delegate, Black Hat USA

Really liked the training. Advanced stuff covered a lot of not so easy to find scenarios. Hats off on the efforts in building the practice labs

Delegate, Black Hat USA

Ist dieser Kurs das Richtige für Sie?

Wenn Sie sich bereits folgende Fragen gestellt haben:

  • Gibt es Möglichkeiten, Daten mithilfe von Out-of-Band-Techniken für bestimmte Schwachstellen effektiv zu exfiltrieren?
  • Gibt es Möglichkeiten für verschlüsselter Parameter zu testen, um Schwachstellen zu finden?
  • Gibt es Möglichkeiten zur Umgehung von SSO-Funktionalitäten?
  • Gibt es Möglichkeiten, SQL-Injection-Schwachstellen zu finden, die von automatisierten Tools nicht erkannt werden?
  • Gibt es Möglichkeiten, schwache Verschlüsselungsimplementierungen zu knacken?
  • Gibt es einen effektiven Weg, um die Funktionen zum Zurücksetzen von Passwörtern zu umgehen?
  • Was kann ich mit SSRF-Schwachstellen anstellen?
  • Wie können Deserialisierungsschwachstellen ausgenutzt werden?

Wenn Sie sich bereits diese und andere Fragen gestellt haben, dann sind Sie bei unserem Kurs „Advanced Web Hacking“ an der richtigen Stelle!

Die Kursteilnehmer erhalten:

  • Einen Zugriff auf unser Online-Hack-Lab, welches absichtlich mit mehreren Schwachstellen gespickt ist,
  • Demonstrationen und praktische Übungen zu den Schwachstellen, um Probleme besser zu verstehen und zu bewältigen,
  • Zahlreiche Skripte und Tools für fortgeschrittene Angriffe,
  • Eine PDF-Kopie aller Kursmaterialien, die während des Kurses verwendet werden, einschließlich des Foliensatzes des Kursleiters, den Spickzettel zu den Tools und den Anleitungen zum finalisieren des Kurses,
  • Zugang zum Advanced Web Hacking Lab von Claranet Cyber Security für 30 Tage nach Kursende.

Für Security- und IT-Entscheidungsträger

Welche Auswirkungen hat die Schulung Ihres Teams durch Claranet Cyber Security wirklich?

Sichern Sie Ihre Umgebung ab, verringern Sie das Risiko einer Kompromittierung und machen Sie Ihr Unternehmen zu einem weniger attraktiven Ziel für Angreifer, indem Sie ein Team aufbauen, das webbasierte Schwachstellen identifizieren, testen und Entwickler bei der Absicherung anleiten. Die Teilnehmer werden nach dem Kurs in der Lage sein:

  • Sicherheitstests durchzuführen, um komplexe Web-Schwachstellen, die von Scannern und anderen automatisierten Tools übersehen werden, zu identifizieren und sicher auszunutzen - dies kann Ihnen helfen, Schwachstellen zu erkennen und entsprechende Patches zu empfehlen,
  • Entwerfen von Tests damit Sie vor den Bedrohungen, denen Ihr Unternehmen ausgesetzt ist, geschützt seid,
  • Anpassen von Angriffstools, um maßgeschneiderte (und nicht „out of the box“) Auslastung zu generieren, um weiter fortgeschrittene Tests durchzuführen,
  • Empfehlung von Maßnahmen zur Umgehung von Systemen, die zum Auftreten von Schwachstellen führen könnten,
  • Verstehen der geschäftlichen Auswirkungen von Web-Schwachstellen und Darlegung dieser Auswirkungen gegenüber wichtigen Stakeholdern,
  • Übernehmen von mehr Verantwortung im Team,
  • Ein Fürsprecher für die Sicherheit im gesamten Unternehmen zu werden.
  • Übersicht
  • Details
  • Voraussetzungen & Teilnehmerprofil
  • Download Broschüre

Der Kurs Advanced Web Hacking befasst sich mit einer Fülle von Hacking-Techniken zur Kompromittierung von Webanwendungen, APIs und zugehörigen Endpunkten. Dieser Kurs konzentriert sich auf spezifische Bereiche der Anwendungssicherheit und auf fortgeschrittene Techniken zur Identifizierung und Ausnutzung von Schwachstellen (insbesondere serverseitige Schwachstellen). Dieser praktische Kurs deckt neue und skurrile Hacks ab, die reale Produkte betreffen und in echten Bug-Bounty-Programmen Erwähnung gefunden haben. In diesem Kurs werden Schwachstellen ausgewählt, die typischerweise von modernen Scannern unentdeckt bleiben oder deren Ausnutzungstechniken nicht so bekannt sind.

Lernziele:

  • Moderne JWT-, SAML- und Oauth-Schwachstellen
  • Geschäftslogik- und Krypto-Fehler
  • RCE über Java-Serialisierung, Object, OGNL und Template Injection
  • Exploitation über DNS-Kanäle
  • Fortgeschrittene SSRF, HPP, XXE und SQLi Themen
  • Angriffsverkettung und Beispiele aus der Praxis

Dieser Kurs ist ein actiongeladener Web-Hacking-Kurs, der moderne Schwachstellen von Webanwendungen wie SSRF, Template Injection, 2nd Order SQLi, Deserialisierung, Krypto-Fehler und mehr ausnutzt. Angriffe auf Authentifizierungssysteme wie JWT, SAML, OAuth. Erlernen ausgefallener Out-of-Band-Techniken und Angriffsverkettungen.

Authentication Bypass

Token Hijacking attacks Logical Bypass / Boundary Conditions

SAML / OAUTH 2.0 / AUTH-0 / JWT attacks

JWT Token Brute-Force attacks SAML Authentication and Authorization Bypass XXE through SAML Advanced XXE Exploitation over OOB channels

Password reset attacks

Cookie Swap Host Header Validation Bypass Case study of popular password reset fails.

Breaking Crypto

Known Plaintext Attack (Faulty Password Reset) Path Traversal using Padding Oracle Hash length extension attacks

SQL Injection

2nd order injection Out-of-Band exploitation SQLi through crypto OS code exec via powershell Advanced topics in SQli.

Remote Code Execution (RCE)

Java Serialisation Attack Node.js RCE PHP object injection Ruby/ERB template injection Exploiting code injection over OOB channel

Business logic flaws / Authorization flaws

Mass Assignment Invite/Promo Code Bypass Replay Attack API Authorisation Bypass

Server Side Request Forgery (SSRF)

SSL / TLS Bugs Deserialisation Bugs

Unrestricted upload

Malicious File Extensions Circumventing File validation checks

Miscellaneous topics

HTTP Parameter Pollution (HPP) XXE in file parsing A Collection of weird and wonderful XSS and CSRF attacks.

Attack chaining

Combining Client-side and or Server-side attacks to steal internal secrets

Wer sollte teilnehmen

Web-Entwickler, SOC-Analysten, die sich fragen, welche Arten von Angriffen Pen-Tester verwenden, um Schwachstellen in den Anwendungen zu finden. Einsteiger/Mittelstufen-Pen-Tester, die wissen wollen, was als Nächstes kommt. Was sind die fortgeschrittenen Angriffe, mit denen sie Schwachstellen ausnutzen können? Netzwerkingenieure, Sicherheitsarchitekten, Enthusiasten, die mit den neuesten Trends bei Webanwendungs-Hacks auf dem Laufenden bleiben wollen; jede technische Person, die ein Grundwissen darüber hat, wie Webanwendungen funktionieren.

Teilnahmevoraussetzungen

Voraussetzung für diesen Kurs ist, dass Sie Ihren eigenen Laptop mit mindestens 4 GB RAM und 20 GB freiem Festplattenspeicher mitbringen und über Admin-/Root-Zugang verfügen sowie die Möglichkeit haben, Kali Linux Image von Virtual Box auszuführen. Vertrautheit mit der Burp Suite ist für diesen Kurs von Vorteil.

Download

Broschüre Download