?pid=4897186&fmt=gif
Skip to main content

OWASP-10

OWASP-10 Masterclass

Deze masterclass is perfect voor software developers en/of security consultants. Velen kennen de OWASP-10, maar weinig begrijpen deze echt inhoudelijk. In deze masterclass begrijp jij na 1 dag de OWASP en pas je de best practices toe voor web applicaties. Hiermee voorkom je de veelgemaakte fouten en zorg jij voor een veilig IT-Landschap.

Black Friday Deals: OWASP 10 van € 699,- voor € 499,-

Tot en met 03-12-24 Black Friday Deals!

Officiële CISSP training van een erkend ISC2 partner
Onze aanpak
icon-collaboration
Persoonlijke aandacht

Veel ruimte voor vragen en extra verdieping in bewust klein gehouden klassen.

icon-client-stories
Goede trainer garantie

Wij testen al onze trainers op kennis, ervaring en sterke didactische vaardigheden.

icon-security
Betere professional

Meer waarde door direct inzetbare kennis, concrete actiepunten en waardevolle inzichten.

icon-meetups-events
Interactieve training

Tijdens deze training zul je niet alleen in de luisterende stoel zitten, maar je bent actief betrokken bij de training.

Inhoud van OWASP 10 training

Met OWASP-10 begrijp je de risico's van webapplicatie, software development en voorkom je veel security incidenten. Deze training is daarmee een must-have voor elke security consultant en software developer. OptiSec biedt de OWASP 10 aan in een bewust kleine klas van maximaal acht personen of als in-company training.

Introductie OWASP

We gaan in op wat de OWASP is, hoe deze opgebouwd is en welke waarde we eruit halen. Verder kijken we hoe we ons kunnen verdiepen in alle informatie die OWASP ons te bieden heeft en de logica achter de OWASP.

01: Broken Access Control

We behandelen wat Broken Access Control is, welke kwetsbaarheden er van toepassing zijn en welke aanvallen op deze kwetsbaarheden mogelijk zijn. Ook bekijken we hoe we deze kwetsbaarheden kunnen voorkomen.

Aanvallen die aan bod komen:

  • Path & Directory Traversal
  • IDOR Attacks
  • CSRF
  • URL & Insecure Redirects
02: Cryptographic Failures

We duiken in de toepassing van deze categorie, wat het exact inhoudt en waar de kwetsbaarheden liggen. We behandelen de security concepten zoals data-at-rest, data-in-transit en de toepassing op data. Hoe komen we tot welke data we echt moeten beschermen en waar zitten de kwetsbaarheden hierop. We bekijken aanvallen hoe er misbruik gemaakt kan worden van kwetsbaarheden en ook hoe we deze moeten voorkomen.

Aanvallen die aan bod komen zijn bijvoorbeeld:

  • Sniffing
  • Collision Attacks
  • Rainbow Table Attacks
  • Kraken van Hashes
03: Injection

We behandelen de inhoud en gevolgen van deze categorie. We kijken naar hoe de kwestbaarheden kunnen ontstaan, naar aanvallen hoe deze uitgebuit worden en ook weer hoe deze voorkomen kunnen worden.

Aanvallen die we in deze module behandelen zijn:

  • SQL Injections
  • Second Order Attacks
  • XSS
  • Command Injection
04: Insecure Design

We leren in deze module hoe we vanaf de design fase een veilig product kunnen bouwen. We gaan kijken waar de kwetsbaarheden kunnen ontstaan en hoe we deze kunnen detecteren voordat er gecodeerd wordt. We behandelen beschermende maatregelen en organisatorische principes om dit te voorkomen.

We bespreken threat modeling en gaan actief aan de slag om in deze fase fouten te voorkomen.

Verder behandelen we ook de volgende aanvallen en technieken:

  • File upload attacks
  • Business Logic Attacks
  • Threat Modeling
05: Security Misconfigurations

Een belangrijke categorie, waar enorm veel te winnen zonder de expertise direct zelf te hebben.

We behandelen de categorie en de mogelijke kwetsbaarheden die hier plaatsvinden. We bespreken hoe we expertise kunnen verkrijgen, zonder expert te zijn op elk gebied. We behandelen secure coding practices en security baselines.

Verder gaan we in op vulnerability en patch management en het toepassen van SDLC.

  • Login attacks
  • LFI met Filters
06: Vulnerable and Outdated Components

Deze categorie kijkt naar componenten die kwetsbaar zijn en/of verouderd met alle risico's die daarbij komen. We gaan dieper in op hoe we de processen moeten inrichten om dit te voorkomen. We bespreken de afhankelijkheden van software (libraries) en hoe we deze moeten managen.

Change Management, Configuration Management komen daarbij natuurlijk ook aan bod.

Als aanval in deze module bekijken we hoe eenvoudig het is om in te breken op een website met verouderde software.

  • Vulnerability Exploitation
  • Public Exploits
  • Google Dorking
07: Identification and Authentication Failures

We bespreken de mechanismes van identificatie en authenticatie. Daarbij kijken we naar kwetsbaarheden op dit gebied en hoe we deze kunnen detecteren. We bespreken ook hier weer welke maatregelen die we moeten treffen om dit veilig te maken.

We kijken naar diverse aanvallen zoals:

  • Credential Stuffing
  • Session Hijacking
  • Brute Force Attacks
08: Software and Data Integrity Failures

We bespreken de toepassing van integriteit en hoe we de integriteit kunnen waarborgen. We duiken in cryptografie, waarbij we kijken naar symmetrische, asymmetrische cryptografie. Daarbij bespreken we de functie van hashing en digital signatures en hoe deze bijdragen aan het veilig maken en valideren van de integriteit van data. Daarnaast bekijken we ook hoe de CA in dit geheel een belangrijke rol speelt.

De cursist zal inhoudelijk de werking van cryptografie begrijpen.

We zullen de diepte in gaan op de volgende items:

  • Symmetric Encryption
  • Asymmetric Encryption
  • Hashing en Digital Signatures
09: Security Logging and Monitoring Failures

We besproken de risico's van logging en de kwetsbaarheden wanneer de logging niet goed wordt opgezet. Ook wanneer logging niet gevalideerd wordt kan dit leiden tot diverse aanvallen waar misbruik van gemaakt kan worden. Er wordt gekeken naar de best practices en hoe we logging op een correcte manier kunnen inrichten en beveiligen.

In deze module behandelen we de volgende aanval:

  • Log Poisoning
10:Server-Side Request Forgery (SSRF)

Normaal zouden servers geen enkel request geforceerd vanuit een client mogen uitvoeren, behalve wat bedoeld is. In deze module bespreken we hoe een aanvaller misbruik kan maken van functies om diverse aanvallen uit te voeren. Uiteraard wordt ook besproken hoe we dit voorkomen en bespreken we de volgende aanvallen:

  • Van SQL Injections naar NBT-Poisoning
Breaking the Web

In deze module nemen we de cursist mee op jacht naar kwetsbaarheden in een website en zullen we in samenwerking met de cursisten het model uitwerken van de website en bespreken we welke security oplossingen we moeten implementeren om dit veilig te maken.

We creëren in deze setting een eigen blue en red team om vanuit beide perspectieven naar security te kijken.

OptiSec benefits

  • Iedereen kent de OWASP, weinig begrijpen het echt

  • Expertinzicht in kwetsbaarheden en hoe deze te verhelpen

  • Threat modeling begrijpen en toepassen

  • Develop jouw applicatie met de juiste security kennis
  • Voorkom veelgemaakte fouten

  • Bewust kleine klas voor het beste leerrendement

  • Interactieve, sprekende voorbeelden en demo's

  • Garantie op inhoudelijk en didactisch sterke trainer

  • Certificaat van deelname

 
OWASP 10 Black Friday Deals

Anderen over OptiSec

Best New ATC 2023

Uit 2380 EC-Council partners is OptiSec bekroond met de award voor Best New ATC 2023. Gebaseerd op officiële ervaringen, reviews en behaalde resultaten.

Beoordeeld met een 9.8

Cursisten geven OptiSec de hoogste beoordeling van Nederland! Wij worden door hen, belangeloos, gewaarderd met een ongekende 9.8 voor onze trainingen.

  • 10/10
    Richard Fontilus
    "Wat ik vooral waardeerde aan Optisec was hun persoonlijke benadering. De klassen waren klein, waardoor er voldoende ruimte was voor interactie en discussie. De instructeur nam de tijd om individuele vragen te beantwoorden en extra uitleg te geven wanneer dat nodig was. Dit zorgde ervoor dat ik me gehoord voelde en dat er aandacht was voor mijn specifieke leerbehoeften. Het creëerde ook een positieve en ondersteunende gemeenschap van medestudenten, waar we van elkaar konden leren en elkaar konden aanmoedigen."
  • 10/10
    Timothy Klein

    "Ik ben zeer tevreden over de training bij OptiSec. Alles werd goed uitgelegd, en Ferry wist de stof op een boeiende manier over te brengen. Ik kan het zeker aanraden!"

  • 10/10
    Didier Bourgeois
    "Een persoonlijke aanpak tijdens een leerzame cursus. Ik heb erg genoten van de locatie en voorzieningen, maar vooral over de gestructureerde uitleg bij de stof die gepresenteerd werd. Vooral de vertaling van theorie naar praktijk zorgde voor motivatie om aandachtig te blijven en persoonlijke interesse en nieuwsgierigheid te prikkelen. "
  • 10/10
    Jos Wegman

    "Gisteren ben ik geslaagd voor mijn examen Certified Ethical Hacker. Na een intensieve cursus die met veel enthousiasme is gegeven door Ferry Sol van Optisec. Veel, heel veel stof, op een heldere manier uitgelegd en doorspekt met veel praktijkvoorbeelden. Inclusief in de praktijk brengen van wat we geleerd hebben. Een soort van hacken onder toezicht. Dank je wel Ferry voor de manier waarop je deze cursus hebt gegeven. Nu op naar het vervolg, de CEH Master."

  • 10/10
    Enzo van de Wetering
    "Ik zat in een klein groepje met gelijkgestemden waardoor er ruim voldoende tijd was om de onderwerpen door te nemen. Wat mij betreft verdient OptiSec een 10 en zou ik in de toekomst graag nog andere Cyber Security trainingen bij dit bedrijf volgen."
  • 10/10
    Patrick Haak
    "Ferry heeft de kennis, kunde en ervaring om elk onderdeel van CISSP duidelijk en op een relaxte manier uit te leggen. De trainingsruimte van OptiSec en de verzorging door OptiSec gedurende de week zijn uitstekend. 3-7 juli 2023 aan deze training deelgenomen. 28 augustus 2023 geslaagd voor CISSP (eerste poging)."

Reserveer jouw plek!

Black Friday Deals 
t/m 03-12-2024!
LocatieDatumPrijs ex btwReserveer je plek
Woerden
14 maart

Van € 699,- voor € 499,-

Reserveer je plek
Woerden
12 juni

Van € 699,- voor € 499,-

Reserveer je plek

Of krijg een scherpe offerte voor een incompanytraining

Extra vragen rondom OWASP

Een paar vragen rondom OWASP komen regelmatig terug.
Hieronder staan vraag en antwoord voor je uitgeschreven.

Waar staat OWASP voor?

OWASP staat voor "Open Worldwide Application Security Project". OWASP is een non-profit organisatie die zich inzet voor het verbeteren van software beveiliging. 

Waar wordt OWASP voor gebruikt?

De OWASP wordt gebruikt om te kijken naar kwetsbaarheden in (web)applicaties en leert ons hoe we deze moeten detecteren en beschermen. Tevens wordt de OWASP-10 gebruikt als uitgangspunt voor ethisch hackers om te valideren of de applicaties veilig zijn. Het is de gouden standaard als het gaat om software development gericht op web applicaties.

Wat is de OWASP top 10?

De OWASP-10 geeft de 10 meest voorkomende kwetsbaarheden aan die van toepassing zijn op web applicaties. OWASP heeft deze ook gericht op andere categorieën, echter richten wij ons tijdens deze training op web applicaties.

Blijft de OWASP top 10 hetzelfde?

De OWASP-10 wijzigt elke 4 jaar om zo actueel te blijven en te zorgen dat de standaard van toepassing blijft. Ook al zie je dat de aanvallen in grote lijnen echt wel hetzelfde blijven, zullen de technieken vernieuwen. Het is dus van belang om hierbij echt bij te blijven.

Heb je nog vragen over onze OWASP 10?

Reserveer jouw plek voor onze OWASP 10 of vraag vrijblijvend om eerlijk advies. We geven je dan vrijblijvend persoonlijk en deskundig advies, zodat je weet of deze training de juiste keuze voor jou is.

Officiële CISSP training van een erkend ISC2 partner