Aperçu du cours
Doel van de training : Deze training biedt testers, ontwikkelaars en securityspecialisten de vaardigheden om kwetsbaarheden in web- en mobiele applicaties te detecteren en te mitigeren. Deelnemers leren hoe ze penetratietests en beveiligingstests uitvoeren, OWASP-top 10 kwetsbaarheden identificeren en beveiligingsstrategieën implementeren.
Prérequis
- Basiskennis van softwaretesten en webtechnologieën (HTTP, HTML, JavaScript).
- Ervaring met API’s en webservices is een pluspunt.
- Basiskennis van netwerkbeveiliging en authenticatie is aanbevolen.
Objectifs pédagogiques
- De belangrijkste beveiligingsrisico’s voor web- en mobiele applicaties begrijpen.
- Handmatige en geautomatiseerde penetratietests uitvoeren.
- Werken met beveiligingstools zoals Burp Suite, OWASP ZAP en Metasploit.
- API-beveiliging testen en kwetsbaarheden in webservices identificeren.
- Beveiligingsmaatregelen en mitigatiestrategieën implementeren.
Public ciblé
- Softwaretesters en QA-specialisten.
- Securityanalisten en DevSecOps-specialisten.
- Softwareontwikkelaars en architecten.
- IT-beheerders en compliance specialisten.
Programme de formation
-
Introductie tot applicatiebeveiliging en security testen (1,5 uur)
-
Waarom is security testen cruciaal?
-
Overzicht van OWASP Top 10 kwetsbaarheden.
-
Verschillende soorten beveiligingstesten: penetratietests, fuzzing, code-analyse.
-
-
Webapplicaties testen op kwetsbaarheden (2 uur)
-
SQL-injectie, XSS (Cross-Site Scripting) en CSRF-aanvallen.
-
Werken met beveiligingstools: Burp Suite, OWASP ZAP.
-
Handmatige vs. geautomatiseerde kwetsbaarheidsscans.
-
Praktijkoefening : Detecteren van SQL-injectie in een testomgeving.
-
-
Authenticatie, sessiebeheer en toegangscontrole (3 uur)
-
Beveiligingsrisico’s in OAuth2, JWT en API-keys.
-
Man-in-the-Middle (MitM)-aanvallen en bescherming.
-
Implementatie van Multi-Factor Authenticatie (MFA).
-
Casestudy : Analyseren van een beveiligingsincident in een webapplicatie.
-
-
API-beveiligingstesten (2,5 uur)
-
Werken met Postman, REST Assured en OWASP API Security.
-
Fuzzing en brute force-aanvallen op API’s.
-
Rate limiting en throttling testen.
-
Praktijkoefening : Uitvoeren van een API security test en identificeren van kwetsbaarheden.
-
-
Mobiele applicatiebeveiliging (3 uur)
-
Kwetsbaarheden in iOS en Android-apps.
-
Reverse engineering en code-analyse.
-
App-beveiligingstools: MobSF, Frida, Drozer.
-
Praktijkoefening : Analyseren van een mobiele applicatie op beveiligingsrisico’s.
-
-
Cloudbeveiliging en DevSecOps (2 uur)
-
Beveiligingsuitdagingen in AWS, Azure en GCP.
-
Werken met Infrastructure as Code security tools (Terraform, Kubernetes).
-
Security monitoring en logging.
-
Casestudy : Implementeren van beveiligingsmaatregelen in een cloudomgeving.
-
-
Pentesting en ethisch hacken (2,5 uur)
-
Opzet en uitvoering van een penetratietest.
-
Werken met Metasploit, Kali Linux en Nmap.
-
Red teaming en blue teaming strategieën.
-
Praktijkoefening : Uitvoeren van een basis pentest op een testomgeving.
-
-
Beveiligingsmaatregelen en mitigatiestrategieën (2,5 uur)
-
Beveiligingsheaders en Content Security Policy (CSP).
-
Secure coding best practices en code reviews.
-
Versleuteling en data-integriteit.
-
Praktijkoefening : Implementeren van beveiligingsmaatregelen in een testapplicatie.
-
-
Toekomst van security testen en evaluatie (2 uur)
-
AI en machine learning in security testen.
-
Automatische detectie en mitigatie van bedreigingen.
-
Open discussie en evaluatie van de training.
-
Interactieve oefening : Brainstorm over beveiligingsstrategie voor een softwareproject.
-
Instructeur
