OWASP-10
OWASP-10 Masterclass
Deze masterclass is perfect voor software developers en/of security consultants. Velen kennen de OWASP-10, maar weinig begrijpen deze echt inhoudelijk. In deze masterclass begrijp jij na 1 dag de OWASP en pas je de best practices toe voor web applicaties. Hiermee voorkom je de veelgemaakte fouten en zorg jij voor een veilig IT-Landschap.
Black Friday Deals: OWASP 10 van € 699,- voor € 499,-
Tot en met 03-12-24 Black Friday Deals!
Veel ruimte voor vragen en extra verdieping in bewust klein gehouden klassen.
Wij testen al onze trainers op kennis, ervaring en sterke didactische vaardigheden.
Meer waarde door direct inzetbare kennis, concrete actiepunten en waardevolle inzichten.
Tijdens deze training zul je niet alleen in de luisterende stoel zitten, maar je bent actief betrokken bij de training.
Inhoud van OWASP 10 training
Met OWASP-10 begrijp je de risico's van webapplicatie, software development en voorkom je veel security incidenten. Deze training is daarmee een must-have voor elke security consultant en software developer. OptiSec biedt de OWASP 10 aan in een bewust kleine klas van maximaal acht personen of als in-company training.
We gaan in op wat de OWASP is, hoe deze opgebouwd is en welke waarde we eruit halen. Verder kijken we hoe we ons kunnen verdiepen in alle informatie die OWASP ons te bieden heeft en de logica achter de OWASP.
We behandelen wat Broken Access Control is, welke kwetsbaarheden er van toepassing zijn en welke aanvallen op deze kwetsbaarheden mogelijk zijn. Ook bekijken we hoe we deze kwetsbaarheden kunnen voorkomen.
Aanvallen die aan bod komen:
- Path & Directory Traversal
- IDOR Attacks
- CSRF
- URL & Insecure Redirects
We duiken in de toepassing van deze categorie, wat het exact inhoudt en waar de kwetsbaarheden liggen. We behandelen de security concepten zoals data-at-rest, data-in-transit en de toepassing op data. Hoe komen we tot welke data we echt moeten beschermen en waar zitten de kwetsbaarheden hierop. We bekijken aanvallen hoe er misbruik gemaakt kan worden van kwetsbaarheden en ook hoe we deze moeten voorkomen.
Aanvallen die aan bod komen zijn bijvoorbeeld:
- Sniffing
- Collision Attacks
- Rainbow Table Attacks
- Kraken van Hashes
We behandelen de inhoud en gevolgen van deze categorie. We kijken naar hoe de kwestbaarheden kunnen ontstaan, naar aanvallen hoe deze uitgebuit worden en ook weer hoe deze voorkomen kunnen worden.
Aanvallen die we in deze module behandelen zijn:
- SQL Injections
- Second Order Attacks
- XSS
- Command Injection
We leren in deze module hoe we vanaf de design fase een veilig product kunnen bouwen. We gaan kijken waar de kwetsbaarheden kunnen ontstaan en hoe we deze kunnen detecteren voordat er gecodeerd wordt. We behandelen beschermende maatregelen en organisatorische principes om dit te voorkomen.
We bespreken threat modeling en gaan actief aan de slag om in deze fase fouten te voorkomen.
Verder behandelen we ook de volgende aanvallen en technieken:
- File upload attacks
- Business Logic Attacks
- Threat Modeling
Een belangrijke categorie, waar enorm veel te winnen zonder de expertise direct zelf te hebben.
We behandelen de categorie en de mogelijke kwetsbaarheden die hier plaatsvinden. We bespreken hoe we expertise kunnen verkrijgen, zonder expert te zijn op elk gebied. We behandelen secure coding practices en security baselines.
Verder gaan we in op vulnerability en patch management en het toepassen van SDLC.
- Login attacks
- LFI met Filters
Deze categorie kijkt naar componenten die kwetsbaar zijn en/of verouderd met alle risico's die daarbij komen. We gaan dieper in op hoe we de processen moeten inrichten om dit te voorkomen. We bespreken de afhankelijkheden van software (libraries) en hoe we deze moeten managen.
Change Management, Configuration Management komen daarbij natuurlijk ook aan bod.
Als aanval in deze module bekijken we hoe eenvoudig het is om in te breken op een website met verouderde software.
- Vulnerability Exploitation
- Public Exploits
- Google Dorking
We bespreken de mechanismes van identificatie en authenticatie. Daarbij kijken we naar kwetsbaarheden op dit gebied en hoe we deze kunnen detecteren. We bespreken ook hier weer welke maatregelen die we moeten treffen om dit veilig te maken.
We kijken naar diverse aanvallen zoals:
- Credential Stuffing
- Session Hijacking
- Brute Force Attacks
We bespreken de toepassing van integriteit en hoe we de integriteit kunnen waarborgen. We duiken in cryptografie, waarbij we kijken naar symmetrische, asymmetrische cryptografie. Daarbij bespreken we de functie van hashing en digital signatures en hoe deze bijdragen aan het veilig maken en valideren van de integriteit van data. Daarnaast bekijken we ook hoe de CA in dit geheel een belangrijke rol speelt.
De cursist zal inhoudelijk de werking van cryptografie begrijpen.
We zullen de diepte in gaan op de volgende items:
- Symmetric Encryption
- Asymmetric Encryption
- Hashing en Digital Signatures
We besproken de risico's van logging en de kwetsbaarheden wanneer de logging niet goed wordt opgezet. Ook wanneer logging niet gevalideerd wordt kan dit leiden tot diverse aanvallen waar misbruik van gemaakt kan worden. Er wordt gekeken naar de best practices en hoe we logging op een correcte manier kunnen inrichten en beveiligen.
In deze module behandelen we de volgende aanval:
- Log Poisoning
Normaal zouden servers geen enkel request geforceerd vanuit een client mogen uitvoeren, behalve wat bedoeld is. In deze module bespreken we hoe een aanvaller misbruik kan maken van functies om diverse aanvallen uit te voeren. Uiteraard wordt ook besproken hoe we dit voorkomen en bespreken we de volgende aanvallen:
- Van SQL Injections naar NBT-Poisoning
In deze module nemen we de cursist mee op jacht naar kwetsbaarheden in een website en zullen we in samenwerking met de cursisten het model uitwerken van de website en bespreken we welke security oplossingen we moeten implementeren om dit veilig te maken.
We creëren in deze setting een eigen blue en red team om vanuit beide perspectieven naar security te kijken.
OptiSec benefits
-
Iedereen kent de OWASP, weinig begrijpen het echt
-
Expertinzicht in kwetsbaarheden en hoe deze te verhelpen
-
Threat modeling begrijpen en toepassen
- Develop jouw applicatie met de juiste security kennis
-
Voorkom veelgemaakte fouten
-
Bewust kleine klas voor het beste leerrendement
-
Interactieve, sprekende voorbeelden en demo's
-
Garantie op inhoudelijk en didactisch sterke trainer
-
Certificaat van deelname
Anderen over OptiSec
Best New ATC 2023
Uit 2380 EC-Council partners is OptiSec bekroond met de award voor Best New ATC 2023. Gebaseerd op officiële ervaringen, reviews en behaalde resultaten.
Beoordeeld met een 9.8
Cursisten geven OptiSec de hoogste beoordeling van Nederland! Wij worden door hen, belangeloos, gewaarderd met een ongekende 9.8 voor onze trainingen.
- 10/10Richard Fontilus"Wat ik vooral waardeerde aan Optisec was hun persoonlijke benadering. De klassen waren klein, waardoor er voldoende ruimte was voor interactie en discussie. De instructeur nam de tijd om individuele vragen te beantwoorden en extra uitleg te geven wanneer dat nodig was. Dit zorgde ervoor dat ik me gehoord voelde en dat er aandacht was voor mijn specifieke leerbehoeften. Het creëerde ook een positieve en ondersteunende gemeenschap van medestudenten, waar we van elkaar konden leren en elkaar konden aanmoedigen."
- 10/10Timothy Klein
"Ik ben zeer tevreden over de training bij OptiSec. Alles werd goed uitgelegd, en Ferry wist de stof op een boeiende manier over te brengen. Ik kan het zeker aanraden!"
- 10/10Didier Bourgeois"Een persoonlijke aanpak tijdens een leerzame cursus. Ik heb erg genoten van de locatie en voorzieningen, maar vooral over de gestructureerde uitleg bij de stof die gepresenteerd werd. Vooral de vertaling van theorie naar praktijk zorgde voor motivatie om aandachtig te blijven en persoonlijke interesse en nieuwsgierigheid te prikkelen. "
- 10/10Jos Wegman
"Gisteren ben ik geslaagd voor mijn examen Certified Ethical Hacker. Na een intensieve cursus die met veel enthousiasme is gegeven door Ferry Sol van Optisec. Veel, heel veel stof, op een heldere manier uitgelegd en doorspekt met veel praktijkvoorbeelden. Inclusief in de praktijk brengen van wat we geleerd hebben. Een soort van hacken onder toezicht. Dank je wel Ferry voor de manier waarop je deze cursus hebt gegeven. Nu op naar het vervolg, de CEH Master."
- 10/10Enzo van de Wetering"Ik zat in een klein groepje met gelijkgestemden waardoor er ruim voldoende tijd was om de onderwerpen door te nemen. Wat mij betreft verdient OptiSec een 10 en zou ik in de toekomst graag nog andere Cyber Security trainingen bij dit bedrijf volgen."
- 10/10Patrick Haak"Ferry heeft de kennis, kunde en ervaring om elk onderdeel van CISSP duidelijk en op een relaxte manier uit te leggen. De trainingsruimte van OptiSec en de verzorging door OptiSec gedurende de week zijn uitstekend. 3-7 juli 2023 aan deze training deelgenomen. 28 augustus 2023 geslaagd voor CISSP (eerste poging)."
Reserveer jouw plek!
t/m 03-12-2024!
Locatie | Datum | Prijs ex btw | Reserveer je plek |
---|---|---|---|
Woerden | 14 maart | Van € 699,- voor € 499,- | Reserveer je plek |
Woerden | 12 juni | Van € 699,- voor € 499,- | Reserveer je plek |
Of krijg een scherpe offerte voor een incompanytraining
Extra vragen rondom OWASP
Een paar vragen rondom OWASP komen regelmatig terug.
Hieronder staan vraag en antwoord voor je uitgeschreven.
OWASP staat voor "Open Worldwide Application Security Project". OWASP is een non-profit organisatie die zich inzet voor het verbeteren van software beveiliging.
De OWASP wordt gebruikt om te kijken naar kwetsbaarheden in (web)applicaties en leert ons hoe we deze moeten detecteren en beschermen. Tevens wordt de OWASP-10 gebruikt als uitgangspunt voor ethisch hackers om te valideren of de applicaties veilig zijn. Het is de gouden standaard als het gaat om software development gericht op web applicaties.
De OWASP-10 geeft de 10 meest voorkomende kwetsbaarheden aan die van toepassing zijn op web applicaties. OWASP heeft deze ook gericht op andere categorieën, echter richten wij ons tijdens deze training op web applicaties.
De OWASP-10 wijzigt elke 4 jaar om zo actueel te blijven en te zorgen dat de standaard van toepassing blijft. Ook al zie je dat de aanvallen in grote lijnen echt wel hetzelfde blijven, zullen de technieken vernieuwen. Het is dus van belang om hierbij echt bij te blijven.
Heb je nog vragen over onze OWASP 10?
Reserveer jouw plek voor onze OWASP 10 of vraag vrijblijvend om eerlijk advies. We geven je dan vrijblijvend persoonlijk en deskundig advies, zodat je weet of deze training de juiste keuze voor jou is.