?pid=4897186&fmt=gif
Skip to main content

OSCP preparation training

OptiSec Pentest Professional (OSPP)

Verkort je OSCP-prep met maanden! De OptiSec Pentest Professional (OSPP) is dé Learn Smarter preparation training voor het behalen van OSCP! Doe sneller skills op en leg makkelijker verbanden, waardoor je begrijpt wanneer je welke techniek moet toepassen. 

Reserveer je plek
Vrijblijvend contact

Tot en met 03-12-24 Black Friday Deals!

OptiSec beoordeeld met een 9.8
Onze aanpak
icon-collaboration
Persoonlijke aandacht

Meer ruimte voor vragen, praktijkvoorbeelden en extra verdieping in bewust klein gehouden klassen.

icon-client-stories
Goede trainer garantie

Wij testen al onze trainers op kennis, ervaring en sterke didactische vaardigheden.

icon-security
Betere professional

Meer waarde door direct inzetbare kennis, concrete actiepunten en waardevolle inzichten.

icon-meetups-events
Snel certificeren

De beste voorbereiding op het examen door o.a. onze bewezen lesmethodiek en examentraining.

Inhoud van de training

Ervaren OSCP'ers geven aan dat de standaard OSCP-training verdere diepgang in de onderliggende verbanden mist. En dat is juist wat het leerproces zoveel makkelijker en sneller maakt.

Met OSPP leer je óók de hardcore OSCP-skills, maar wij zorgen ervoor dat je snel begrijpt waarom en wanneer je deze moet gebruiken. Je bent niet maanden aan het struggelen, maar krijgt een fasttrack aangeboden naar het OSCP-certificaat!

Vraag een brochure aan

Check de video van onze OSCE3 trainer voor meer info!

Wat behandelen we?

Information gathering
Het doel van "information gathering" is om een breed beeld van het "doelwit" te verkrijgen. In cybersecurity wordt de "Information gathering" fase ook wel gebruikt om kwetsbaarheden te identificeren of aanvallen te plannen.
Enumeration
Enumeration is het proces waarin informatie over een computersysteem, netwerk of applicatie verzameld wordt. Dit omvat het identificeren van beschikbare bronnen, zoals gebruikersnamen, groepen, netwerkshares, poorten en services. Enumeration kan worden gebruikt door kwaadwillende actoren om zwakke punten te ontdekken en gerichte aanvallen uit te voeren, en het is daarom een fase binnen de cybersecurity waarbij aandacht wordt besteed aan het de mate van informatieblootstelling.
Vulnerability Analysis
Vulnerability Analysis is een proces welke vaak voortkomt uit de enumeration fase. In de Vulnerability Analysis fase gaan we kwetsbaarheden systematisch identificeren, evalueren en classificeren. Dit omvat het onderzoeken van beveiligingslekken die kunnen worden misbruikt door kwaadwillende actoren om ongeautoriseerde toegang te verkrijgen, gegevens te compromitteren of systemen te verstoren.
Web Application Attacks
Zoals de naam al doet vermoeden hebben we het hier over kwaadaardige activiteiten welke gericht zijn op het exploiteren van kwetsbaarheden in webapplicaties. Dit omvat aanvallen zoals SQL-injecties, cross-site scripting (XSS), cross-site request forgery (CSRF), en andere technieken die proberen ongeautoriseerde toegang te verkrijgen, gegevens te manipuleren, of de normale werking van webapplicaties te verstoren. Het beveiligen tegen webapplicatie-aanvallen vereist vaak het implementeren van beveiligingsmaatregelen op zowel de applicatieniveau als het netwerkniveau.
Client-side attacks
Client-side attacks zijn aanvallen die gericht zijn op de software of applicaties aan de gebruikerskant van een systeem. Deze aanvallen richten zich vaak op kwetsbaarheden in webbrowsers, e-mailclients, documentviewers of andere client-based toepassingen. Voorbeelden van client-side aanvallen zijn onder meer phishing-e-mails met kwaadaardige bijlagen, drive-by downloads via gecompromitteerde websites, en het exploiteren van beveiligingslekken in de clientsoftware om ongeautoriseerde toegang te verkrijgen of malware te installeren op het systeem van de gebruiker.
Exploitation
Dit is het proces waar veel van voorgaande processen samenkomen, de zogenaamde "exploitation fase". In deze fase maken kwaadwillende actoren gebruik van geïdentificeerde beveiligingskwetsbaarheden in software, systemen of netwerken om ongeautoriseerde toegang te verkrijgen, gegevens te manipuleren of schade aan te richten. Dit omvat het actief benutten van zwakke punten, zoals softwarefouten of configuratiefouten, om controle te verkrijgen over het doelsysteem. Dit is de fase waarin de werkelijke aanval, zoals bijvoorbeeld het installeren van malware of het verkrijgen van gevoelige informatie uitgevoerd wordt.
AntiVirus Evasion
Omdat EDR's en andere technieken om virussen en malware te voorkomen steeds prominenter aanwezig zijn is "antivirus evasion" een onderdeel welke vaak door aanvallers wordt uitgevoerd. Antivirus evasion zijn technieken die worden gebruikt om de detectie van antivirussoftware te omzeilen. Kwaadwillende actoren passen diverse methoden toe, zoals het wijzigen van de code, het gebruiken van polymorfe malware, of het versleutelen van schadelijke payloads, om te voorkomen dat antivirusprogramma's de kwaadaardige activiteit herkennen. Het doel is om onopgemerkt te blijven en succesvolle uitvoering van schadelijke code op het doelsysteem mogelijk te maken.
Active Directory enumeration and attack

We leren in deze training alle aanvallen die je kan uitvoeren op Active Directory. Denk daarbij aan aanvallen zoals Pass-the-Hash, AS-REP Roasting, Kerberoasting en hoe we van geen rechten tot compleet domain admin kunnen worden. Ook behandelen we uiteraard tools zoals Bloodhound, Sharphound en begrijpen we de opbouw van Active Directory. Impact zal hierbij ook van toepassing zijn om de nodige functies direct toepasbaar te maken.

Domain attacks
Domain attacks zijn aanvallen die zich richten op het compromitteren of misbruiken van domeinen binnen een netwerkinfrastructuur. Active Directory vormt hier vaak een belangrijk onderdeel maar "domain attacks" omvatten meer dan alleen het Active Directory component. Denk aan bijvoorbeeld protocol abuse, domain hijacking, waarbij aanvallers controle over een domein overnemen, of domain spoofing, waarbij valse domeinen worden gemaakt om gebruikers te misleiden. Het doel van domain attacks kan variëren zoals bijvoorbeeld het uitvoeren van phishing-aanvallen, het stelen van inloggegevens, of het verstoren van normale communicatie binnen een netwerk.
Hacking Web Servers
Door het hacken van webservers proberen ongeautoriseerde gebruikers toegang te verkrijgen tot en controle te verkrijgen over web servers. Deze aanvallen kunnen verschillende technieken omvatten, zoals het benutten van softwarekwetsbaarheden, SQL-injecties, cross-site scripting (XSS), of het uitvoeren van brute force-aanvallen op servercredentials. Het entrypoint is in veel gevallen een kwetsbare web-app maar kan ook een foute of zwakke configuratie zijn. Het doel van het hacken van web servers kan variëren, waaronder het verkrijgen van gevoelige gegevens, het installeren van malware en het veroorzaken van verstoringen in de dienstverlening.
SQL Injections
'SQL Injections' hebben betrekking op SQL databaseomgevingen. Bij een SQL Injectie zal een kwaadwillende gebruiker ongeautoriseerde SQL-query's proberen te laten uitvoeren door de SQL server om zodoende server informatie, database data of toegang tot de database server te verkrijgen. Succesvolle SQL Injecties maken het in veel gevallen ook mogelijk om data in de databases te modificeren. Een kwaadwillende gebruiker gebruikt hier vaak de publieke entrypoints voor zoals de invoervelden van een webapplicatie of de headers welke tussen de gebruiker en server uitgewisseld worden.
LFI, RFI and Command Injections
Aanvallen zoals LFI (Local File Inclusion), RFI (Remote File Inclusion), and Command Injections zijn aanvalstechnieken welke vaak via een website of webapplicatie uitgevoerd worden met als doelstelling om ongeautoriseerde data te lezen, schrijven of uit te voeren.. LFI houdt in dat een aanvaller probeert lokale bestanden op een server te lezen of uit te voeren. RFI betreft het insluiten van externe bestanden op een server, wat kan leiden tot ongeautoriseerde toegang of uitvoering van kwaadaardige code welke niet lokaal maar remote gehost wordt. Command Injections betreffen het invoegen van schadelijke commando's zodat het doelsysteem deze systeemcommando's uitvoert.
Windows & Linux Privilege Escalation
Privilege Escalation is een verzameling van technieken waarbij een aanvaller probeert hogere toegangsrechten te verkrijgen dan oorspronkelijk toegewezen zijn. Zo zal een aanvaller met de beschikking over een "normale gebruiker" met beperkte rechten altijd proberen om uiteindelijk "root" of "Administrator" te worden op een Linux of Windows systeem om zodoende de volledige controle te hebben over het systeem. Privilege Escalation kan worden bereikt door het benutten van kwetsbaarheden in het besturingssysteem, misconfiguraties of zwakheden in software.
Pivotting and Relaying
Wanneer een aanvaller geïnfiltreerd is in een netwerk dan zal deze in veel gevallen proberen om via het gecompromitteerde netwerk verdere toegang te verkrijgen tot andere netwerken en systemen. Pivoting omvat het gebruik van gecompromitteerde systemen als "springplank" om dieper in het netwerk door te dringen, terwijl relaying betekent dat een aanvaller zich voordoet als tussenpersoon om verkeer tussen systemen te onderscheppen en te manipuleren. Deze technieken worden vaak gebruikt in geavanceerde aanvallen, zoals laterale beweging in een netwerk, waarbij aanvallers proberen hun aanwezigheid te verbergen en uitgebreide toegang tot gevoelige systemen te verkrijgen.
Powershell
"Powershell" is een krachtige scriptingtaal en een command-line shell die wordt gebruikt binnen cybersecurity voor geautomatiseerde taken, configuratiemanagement en beveiligingsanalyses op Windows-systemen (en soms ook op niet-Windows systemen zoals Linux). Zowel verdedigers als aanvallers maken gebruik van Powershell. Verdedigende toepassingen omvatten het monitoren van systeemintegriteit, het uitvoeren van audits en het beheren van het beveiligingsbeleid. Aanvallers gebruiken Powershell vaak voor het uitvoeren van kwaadaardige code, privilege escalation en laterale beweging in gecompromitteerde omgevingen. Het is daarom belangrijk dat cybersecurityprofessionals Powershell kunnen lezen en schrijven.
Professional reporting skills
Een belangrijk onderdeel van een pentest of security audit is de uiteindelijke rapportage. Dit is het document welke de klant uiteindelijk te zien krijgt en waar diverse business-beslissingen over genomen zullen worden. Het is daarom van groot belang om de vaardigheid machtig te zijn waarmee je effectief en begrijpelijk kunt rapporteren over cybersecurity-gerelateerde kwesties. Onder deze "reporting skills" valt het vermogen om complexe technische informatie in duidelijke, beknopte rapporten te vertalen, zowel voor technische als niet-technische belanghebbenden. Cybersecurityprofessionals met sterke rapportagevaardigheden kunnen bevindingen, incidenten of beveiligingsrisico's effectief communiceren, wat essentieel is voor het nemen van weloverwogen beslissingen, het implementeren van beveiligingsmaatregelen en het bevorderen van een effectieve beveiligingscultuur binnen een organisatie."

Wat biedt OptiSec?

  • Hoogste beoordeling; een 9.8

  • Bewust kleine klassen (max. 8)

  • Inhoudelijk & didactische sterke trainer

  • Ruimte voor vragen en verdieping

  • Een optimaal leerrendement

  • Informele en waardevolle interactie

  • Gave en leerzame CTF-dag afsluiting

  • Luxe verzorging

  • Community van hackers

  • Snel klaar voor het officiële examen

  • Toch niet geslaagd? Dan gratis persoonlijke begeleiding

Reserveer je plek
Vrijblijvend contact
OptiSec CEH bekroond door EC-Council

Anderen over OptiSec

Best New ATC 2023

Uit 2380 EC-Council partners is OptiSec bekroond met de award voor Best New ATC 2023. Gebaseerd op officiële ervaringen, reviews en behaalde resultaten.

Beoordeeld met een 9.8

Cursisten geven OptiSec de hoogste beoordeling van Nederland! Wij worden door hen, belangeloos, gewaarderd met een ongekende 9.8 voor onze trainingen.

Reviews

OptiSec wordt door cursisten beoordeeld met een 9.8.
De hoogste beoordeling van Nederland!

  • 10/10
    Richard Fontilus
    "Wat ik vooral waardeerde aan Optisec was hun persoonlijke benadering. De klassen waren klein, waardoor er voldoende ruimte was voor interactie en discussie. De instructeur nam de tijd om individuele vragen te beantwoorden en extra uitleg te geven wanneer dat nodig was. Dit zorgde ervoor dat ik me gehoord voelde en dat er aandacht was voor mijn specifieke leerbehoeften. Het creëerde ook een positieve en ondersteunende gemeenschap van medestudenten, waar we van elkaar konden leren en elkaar konden aanmoedigen."
  • 10/10
    Timothy Klein

    "Ik ben zeer tevreden over de training bij OptiSec. Alles werd goed uitgelegd, en Ferry wist de stof op een boeiende manier over te brengen. Ik kan het zeker aanraden!"

  • 10/10
    Didier Bourgeois
    "Een persoonlijke aanpak tijdens een leerzame cursus. Ik heb erg genoten van de locatie en voorzieningen, maar vooral over de gestructureerde uitleg bij de stof die gepresenteerd werd. Vooral de vertaling van theorie naar praktijk zorgde voor motivatie om aandachtig te blijven en persoonlijke interesse en nieuwsgierigheid te prikkelen. "
  • 10/10
    Jos Wegman

    "Gisteren ben ik geslaagd voor mijn examen Certified Ethical Hacker. Na een intensieve cursus die met veel enthousiasme is gegeven door Ferry Sol van Optisec. Veel, heel veel stof, op een heldere manier uitgelegd en doorspekt met veel praktijkvoorbeelden. Inclusief in de praktijk brengen van wat we geleerd hebben. Een soort van hacken onder toezicht. Dank je wel Ferry voor de manier waarop je deze cursus hebt gegeven. Nu op naar het vervolg, de CEH Master."

  • 10/10
    Enzo van de Wetering
    "Ik zat in een klein groepje met gelijkgestemden waardoor er ruim voldoende tijd was om de onderwerpen door te nemen. Wat mij betreft verdient OptiSec een 10 en zou ik in de toekomst graag nog andere Cyber Security trainingen bij dit bedrijf volgen."
  • 10/10
    Patrick Haak
    "Ferry heeft de kennis, kunde en ervaring om elk onderdeel van CISSP duidelijk en op een relaxte manier uit te leggen. De trainingsruimte van OptiSec en de verzorging door OptiSec gedurende de week zijn uitstekend. 3-7 juli 2023 aan deze training deelgenomen. 28 augustus 2023 geslaagd voor CISSP (eerste poging)."

Klik gerust op de "Springest bar"

Reserveer jouw plek!

Black Friday Deals 
t/m 03-12-2024!
LocatieDatumPrijs ex btwPlan je training
Woerden
10 - 14 maart

van € 2799,- voor € 2399,-

Inschrijven
Woerden
23 - 27 juni

van € 2799,- voor € 2399,-

Inschrijven

Of krijg een scherpe offerte voor een incompanytraining

Offerte OSPP incompany

Extra vragen rondom OSPP

Een paar vragen rondom OSPP komen regelmatig terug.
Hieronder staan vraag en antwoord voor je uitgeschreven.

Waarom OSPP in plaats van OSCP?

OSPP of OSCP bereiden je beide voor op het OSCP-examen van Offensive Security. Wat wij met OSPP hebben gedaan is op basis van ervaringen van ervaren OSCP'ers gekeken naar wat er miste in de standaard OSCP-trainingen.

Het verschil uit zich door onze kijk naar achterliggende verbanden, zoals het wanneer, waarom en uiteraard ook het hoe je inbreekt tijdens welk scenario. Je leert dezelfde technieken, maar we staan extra stil bij de gedachte erachter. Daarmee leer je slimmer dan wanneer je alleen de techniek eigen maakt. En dit scheelt enorm op je voorbereidingstijd voor het OSCP-examen.

Is OSCP het waard?

OSCP staat bekend als de gouden standaard op het gebied van ethisch hacken en pentesting. Het OSCP-certificaat geeft aan dat jij serieuze skills hebt op het gebied van pentesting / ethical hacking.

Hoe lang duurt het om OSCP voor te bereiden?

OSCP is geen makkelijk examen. Het voelt als een marathon van 24 uur, waarin je alleen maar praktische tests aflegt.

Gemiddeld zijn mensen 6-12 maanden bezig met hun voorbereiding. Afhankelijk van je voorkennis en inzet helpt onze OSPP die voorbereiding enorm in te korten.

Kunnen beginners OSCP volgen?

Wij adviseren beginners niet om aan onze OSPP-training deel te nemen. De training is daar niet op ingesteld en dat is niet alleen zonde van jouw investering, want veel informatie zal je niet kunnen plaatsen, maar het is ook belemmerend voor de rest van de groep. Een goed basisbegrip van hacking, protocollen en andere relevante punten is zeker gewenst.

Twijfel je of je genoeg kennis hebt om aan te sluiten? Neem dan contact op met ons. We bespreken dan persoonlijk wat we voor je kunnen doen.

Heb je nog vragen over OSPP?

Reserveer jouw plek voor onze OSPP of vraag vrijblijvend om eerlijk advies. We geven je persoonlijk en deskundig advies, zodat je weet of deze training de juiste keuze voor jou is.

Reserveer je plek
Vrijblijvend advies
of download hier je brochure
Officiële CISSP training van een erkend ISC2 partner
Inhoud   
Benefits
Reviews
    Datum
    Advies