Penetratie testen (of Pentesten) uitvoeren is echte expertise en kan snel veel geld kosten. Om ervoor te zorgen dat makkelijk te vinden bugs en kwetsbaarheden snel gevonden worden, kan je een vulnerability scanner gebruiken. Met de rapportage die uit een dergelijke scanner komt, kunnen ontwikkelaars zelf al makkelijke kwetsbaarheden oplossen. Op deze manier zal een dure pentester zich focussen op de complexere zaken. Een scan hoeft niet iedere dag te draaien, maar wekelijks levert vaak al genoeg gerapporteerde inzichten op die geanalyseerd kunnen worden.
In deze e-Learning bespreken we de top 10 meest voorkomende kwetsbaarheden. Daarnaast gaan we zelf aan de slag met een vulnerability scanner. Er zijn genoeg automatische scanners op de markt die geheel geautomatiseerd een applicatie kunnen scannen. Dat hangt er maar net af waar je voorkeur ligt.
Voor deze eLearning gaan wij gebruik maken van de scanner met de naam OWASP ZAP. Dit is een open-source scanner die gebaseerd is op de OWASP top 10.
Met de introductie training “Introductie Security Testing met OWASP ZAP” zet jij je eerste stappen in de wereld van security testen.
Over de instructeur
Inhoud van de cursus
| Introductie | |||
| Introductie Security testen | 00:04:00 | ||
| Wat is de OWASP Top 10? | 00:05:00 | ||
| Wat is de OWASP ZAP? | 00:04:00 | ||
| Wat is de OWASP ZAP HUD? | 00:05:00 | ||
| Quiz – Introductie | 00:15:00 | ||
| Installatie van de benodigde tooling | |||
| Installatie van Docker for Desktop | 00:10:00 | ||
| Installatie van de te testen applicatie (Juice Shop) | 00:08:00 | ||
| Installatie van OWASP ZAP | 00:06:00 | ||
| Quiz – Installatie van de benodigde tooling | 00:15:00 | ||
| Praktische opdrachten | |||
| Opdracht 1 – Met de HUD door de webwinkel Juice Shop browsen | 00:20:00 | ||
| Opdracht 2 – Het scannen van de Juice Shop | 00:20:00 | ||
| Opdracht 3 – De rapportage maken | 00:20:00 | ||
| Bonus opdracht – Het afgeschermde gedeelte crawlen/aanvallen | 00:20:00 | ||
| Quiz – Praktische opdrachten | 00:15:00 | ||
| Begrippenlijst | |||
| Afkortingen- en begrippenlijst | 00:03:00 | ||
| Afsluiting | |||
| Het Praegus supportkanaal | 00:02:00 | ||
Leuke onvolledige cursus
De cursus bevat hier en daar fouten, type fouten als onjuiste commando’s.
Helaas bevat de website van Praegus ook fouten, zo werken niet alle pop-ups e/o worden de pagina’s niet correct geladen.
Het zou tof zijn als de gebruiker direct input kan leveren tijdens het volgen v/d cursus.
Ons gezamenlijk doel is een zo goed/volledige cursus. Hopelijk wordt er iets mee gedaan 🙂
Beste Leendert,
Dank voor je feedback. We zijn het helemaal eens met het opleveren van een goede e-Learning; geschreven door en voor software test specialisten. Daarom zijn we gelijk aan de slag gegaan met het verwerken van je feedback, zowel in de e-Learning als op de website. De punten die hierin niet specifiek genoeg waren, hebben we via de email verzocht te verduidelijken. Hopelijk help je ons hiermee verder.
In de toekomst zou ik je adviseren om je vragen en/of opmerkingen gelijk in onze Slack-community te delen. Het is zonde om achteraf een negatieve review te plaatsen, wanneer wij voor deze momenten ondersteuningsmiddelen beschikbaar hebben gesteld.
Met vriendelijke groet,
Hiske Nab-Roorda – opleidingscoördinator Praegus Academy.