Pentesting Training

Bringen Sie Ihrem Team bei, wie ein Angreifer zu denken und zu handeln

Dauer
2 oder 3 Tage
Art
Course
Wo
Vor Ort oder Remote
Sprache
Deutsch oder Englisch

Praxisnahe Pentesting-Übungen

Vor der Durchführung des Trainings mit Ihrem Team findet ein Scoping-Gespräch statt. Dieses Gespräch dient dazu, den Kurs auf Ihre spezifischen Anforderungen zuzuschneiden und gemeinsam die geeignetste Vorgehensweise und Schwerpunkte festzulegen.

In meinem praxisnahen Pentesting-Training greifen wir meine Trainings-Webanwendungen an (die in meiner Cloud für jeden Teilnehmer individuell bereitgestellt werden). Die Teilnehmer lernen anhand zahlreicher praktischer Übungen, wie man professionelle Security-Tools einsetzt, und verstehen die generelle Vorgehensweise von Pentestern beim Angriff auf Webanwendungen und Backends.

Die erlernten Angriffspfade umfassen Pivoting und Post-Exploitation für eine tiefere Persistenz im angegriffenen System. Interaktive Engagement-Elemente über Workshop Board sorgen dafür, dass die Teilnehmer während der gesamten Session eingebunden bleiben — egal ob remote oder vor Ort.

Das Training kann wahlweise den Open-Source-Intercepting-Proxy OWASP ZAP oder den stärker auf Pentester ausgerichteten Burp Suite Pro verwenden — je nach Ihrer Wahl.

Mein praxisnahes Pentesting-Training ist hochgradig modular — Sie können auswählen, welche Schwachstellen und Exploit-Arten Ihr Team vertiefen möchte.

Wählen Sie aus den folgenden Themen, um das Training auf Ihre Bedürfnisse zuzuschneiden:

  • Injection Vulnerabilities, einschließlich Post-Exploitation bis hin zu Remote Code Execution (RCE)
  • XML External Entity Attacks (XXE)
  • Path-Traversals (einschließlich ClassPath-Traversals)
  • Cross-Site Scripting (XSS): Reflected, Persistent, DOM-based und verschiedene Kontexte
  • Session Attacks, etc.
  • Authentication Bypass
  • Information Disclosures
  • Server-Side Request Forgery (SSRF), insbesondere in Cloud-basierten Umgebungen
  • Angriffe auf File-Uploads und -Downloads
  • Angriffe auf WebSockets
  • Java Deserialization Vulnerabilities & Attacks: Trigger-, Abuse-, Bypass- und Golden-Gadgets
  • In-band Signaling: Time-based & Denial-of-Service
  • Out-of-band Signaling: Generic DNS-Payloads
  • Advanced XML Attacks (die zu RCEs führen)
  • JSON Attacks (die zu RCEs führen)
  • GenAI & Agentic Systems: Prompt Injection Exploitation, RAG Data Poisoning, MCP Tool Poisoning & Rug Pulls
  • Sicherheitsanalyse von Low-Code/No-Code-Plattformen
  • Überprüfung der Sicherheit von Passkey-Implementierungen
  • Container-Breakout-Versuche
  • und vieles mehr — pwning all the things…

Dieses praxisorientierte offensive Training lehrt, wie man diese Schwachstellen findet (auch die schwer zu findenden) und wie man sie vollständig ausnutzt (einschließlich Post-Exploitation). Wenn Sie eher defensiv orientiert sind und wissen möchten, wie man diese Schwachstellen im Sinne einer Defense-in-Depth-Strategie vermeidet und behebt, ist das Web Security Bootcamp möglicherweise interessanter für Sie.

Was die Teilnehmer erhalten

Alle meine Trainings können auf Deutsch (Muttersprache) oder Englisch (verhandlungssicher) durchgeführt werden.

Teilnehmer erhalten zusätzlich zum Training:

  • Zugriff auf cloudbasierte Trainingsumgebungen (individuell pro Teilnehmer bereitgestellt).
  • Alle Folien und Workshop-Materialien als PDFs.
  • Lebenslangen Zugriff auf GitHub- und DockerHub-Repositories mit meinen Trainingsumgebungen, um alle Übungen mit einem lauffähigen Setup nachzuvollziehen (einschließlich künftig neu hinzugefügter Inhalte).
  • Support per E-Mail für Setup und Übungsdurchführung im Nachgang.
  • Ein gedrucktes und unterschriebenes Teilnahmezertifikat mit den Trainingsinhalten.

Interesse an einem individuellen Angebot für Ihre Organisation? Lassen Sie uns sprechen

Verschiedene Optionen

Wie so oft gibt es keine Einheitslösung für alle. Für die konkrete Gestaltung und Durchführung meiner Trainings und Workshops können Sie daher zwischen verschiedenen Optionen und Varianten wählen.

Vollständig anpassbare Trainingsagenda

Wenn Sie bestimmte Aspekte Ihres Technologie-Stacks oder spezifische interne Prozesse bzw. Tools im Training behandeln möchten, kann die Agenda gezielt auf Ihre Anforderungen zugeschnitten werden.

Vor Ort oder remote? – Sie entscheiden!

Meine Trainings und Workshops koennen vor Ort (direkt bei Ihnen oder an einem meiner Trainingsstandorte) sowie komplett remote durchgeführt werden. Auch hybride Varianten sind möglich: Einige Teilnehmer sind remote zugeschaltet, während ich den Kurs für die Mehrheit vor Ort durchführe. Ich habe bereits zahlreiche Online-Varianten meiner Trainings durchgeführt, auch für größere Gruppen.

In allen Fällen benötigen Teilnehmer lediglich einen Browser. Lokale Installationen sind nicht erforderlich, da das Training mit individuell bereitgestellten Umgebungen in meiner Cloud läuft.

Alternative Option: Professionelle Trainingsaufzeichnung

Wenn Sie eine individuell für Ihr Unternehmen aufgezeichnete Version als Kapitel- und Lektionen-Set für Ihre interne videobasierte E-Learning-Plattform möchten: Lassen Sie uns sprechen

Ich kann eine individualisierte Trainingssession (ohne Teilnehmer) aufzeichnen und Ihnen professionell geschnittene Kapitel liefern, exportiert als SCORM (nützlich für den Import in LMS-Systeme), MPEG und weitere Formate. Das Paket umfasst digitale Trainingsfolien und die lauffähige Trainingsumgebung für lokales Offline-Training. Wenn Sie und alle Teilnehmer ein Live-Training während der Durchführung aufzeichnen möchten, ist auch das möglich und ergibt ein Video-Handout des gesamten Kurses.

So haben bereits mehrere Unternehmen ihr internes videobasiertes Trainingsangebot erfolgreich mit meinen praxisnahen Security-Workshops erweitert, die in die eigene E-Learning-Plattform integriert wurden.

Professionelle Trainingsaufzeichnung

Stimmen

Was Kunden sagen

Ein tolles Seminar. Inhalte und Methodik bitte unverändert lassen!

Trainingsteilnehmer

Fachlich sehr fit, ist sehr gut auf Rückfragen eingegangen.

Workshop-Teilnehmer

Thank you very much for your training! It was very interesting and bit too short though for such a pile of knowledge :-) People of the team have learnt a lot and talk positively about it.

Trainingsteilnehmer

Von meiner Seite nochmals vielen Dank für die Durchführung des Trainings. Die Rückmeldungen der Teilnehmenden war in allen Belangen positiv und auch immer mit dem Vermerk, dass das Training zu unserem Unternehmen passt.

Trainingsorganisator

Thank you so much for such a interactive session really enjoyed and learned alot.

Trainingsteilnehmer

Fachlich sehr gut — sehr gute Präsentation

Trainingsteilnehmer

Thank you so much for the valuable input. Especially the insights about agentic AI security were very helpful.

Trainingsteilnehmer

Auf diesem Wege noch einmal Feedback zu den vergangenen drei Tagen: Die Schulung entsprach absolut meinen Vorstellungen. Die Themen die behandelt wurden sowie die Mischung zwischen praktischen und theoretischen Teilen waren absolut passend. Da merkt man deine jahrelange Erfahrung.

Trainingsteilnehmer

Time well spent! Thanks a lot, I thoroughly enjoyed the training and depth of content.

Trainingsteilnehmer

Your passion for security is contagious :)

Trainingsteilnehmer

Vielen Dank für die tolle Schulung, das war genau wie ich es mir für mein Team vorgestellt hatte! Ich gehe davon aus, dass wir das mit anderen Mitarbeitern bald wiederholen.

Product Security Manager

Super spannend & abwechslungsreich! Vielen Dank!

Trainingsteilnehmer

Nochmals vielen, vielen Dank für den Termin heute! Ich muss einfach sagen, ich finde es jedes Mal aufs Neue beeindruckend, wie schnell du dich in komplexe Themen hineindenkst, kritisch hinterfragst und wertvolle Impulse gibst. Wirklich faszinierend!

Threat-Modeling-Kunde