Pentesting Training

Bringen Sie Ihrem Team bei, wie ein Angreifer zu denken und zu handeln

Dauer
2 oder 3 Tage
Art
Course
Wo
Vor Ort oder Remote
Sprache
Deutsch oder Englisch

Praxisnahe Pentesting-Übungen

Vor der Durchführung des Trainings mit Ihrem Team findet ein Scoping-Gespräch statt. Dieses Gespräch dient dazu, den Kurs auf Ihre spezifischen Anforderungen zuzuschneiden und gemeinsam die geeignetste Vorgehensweise und Schwerpunkte festzulegen.

In meinem praxisnahen Pentesting-Training greifen wir meine Trainings-Webanwendungen an (die in meiner Cloud für jeden Teilnehmer individuell bereitgestellt werden). Die Teilnehmer lernen anhand zahlreicher praktischer Übungen, wie man professionelle Security-Tools einsetzt, und verstehen die generelle Vorgehensweise von Pentestern beim Angriff auf Webanwendungen und Backends.

Die erlernten Angriffspfade umfassen Pivoting und Post-Exploitation für eine tiefere Persistenz im angegriffenen System. Interaktive Engagement-Elemente über Workshop Board sorgen dafür, dass die Teilnehmer während der gesamten Session eingebunden bleiben — egal ob remote oder vor Ort.

Das Training kann wahlweise den Open-Source-Intercepting-Proxy OWASP ZAP oder den stärker auf Pentester ausgerichteten Burp Suite Pro verwenden — je nach Ihrer Wahl.

Mein praxisnahes Pentesting-Training ist hochgradig modular — Sie können auswählen, welche Schwachstellen und Exploit-Arten Ihr Team vertiefen möchte.

Wählen Sie aus den folgenden Themen, um das Training auf Ihre Bedürfnisse zuzuschneiden:

  • Injection Vulnerabilities, einschließlich Post-Exploitation bis hin zu Remote Code Execution (RCE)
  • XML External Entity Attacks (XXE)
  • Path-Traversals (einschließlich ClassPath-Traversals)
  • Cross-Site Scripting (XSS): Reflected, Persistent, DOM-based und verschiedene Kontexte
  • Session Attacks, etc.
  • Authentication Bypass
  • Information Disclosures
  • Server-Side Request Forgery (SSRF), insbesondere in Cloud-basierten Umgebungen
  • Angriffe auf File-Uploads und -Downloads
  • Angriffe auf WebSockets
  • Java Deserialization Vulnerabilities & Attacks: Trigger-, Abuse-, Bypass- und Golden-Gadgets
  • In-band Signaling: Time-based & Denial-of-Service
  • Out-of-band Signaling: Generic DNS-Payloads
  • Advanced XML Attacks (die zu RCEs führen)
  • JSON Attacks (die zu RCEs führen)
  • GenAI & Agentic Systems: Prompt Injection Exploitation, RAG Data Poisoning, MCP Tool Poisoning & Rug Pulls
  • Sicherheitsanalyse von Low-Code/No-Code-Plattformen
  • Überprüfung der Sicherheit von Passkey-Implementierungen
  • Container-Breakout-Versuche
  • und vieles mehr — pwning all the things…

Dieses praxisorientierte offensive Training lehrt, wie man diese Schwachstellen findet (auch die schwer zu findenden) und wie man sie vollständig ausnutzt (einschließlich Post-Exploitation). Wenn Sie eher defensiv orientiert sind und wissen möchten, wie man diese Schwachstellen im Sinne einer Defense-in-Depth-Strategie vermeidet und behebt, ist das Web Security Bootcamp möglicherweise interessanter für Sie.

Was die Teilnehmer erhalten

Alle meine Trainings können auf Deutsch (Muttersprache) oder Englisch (verhandlungssicher) durchgeführt werden.

Teilnehmer erhalten zusätzlich zum Training:

  • Zugriff auf cloudbasierte Trainingsumgebungen (individuell pro Teilnehmer bereitgestellt).
  • Alle Folien und Workshop-Materialien als PDFs.
  • Lebenslangen Zugriff auf GitHub- und DockerHub-Repositories mit meinen Trainingsumgebungen, um alle Übungen mit einem lauffähigen Setup nachzuvollziehen (einschließlich künftig neu hinzugefügter Inhalte).
  • Support per E-Mail für Setup und Übungsdurchführung im Nachgang.
  • Ein gedrucktes und unterschriebenes Teilnahmezertifikat mit den Trainingsinhalten.

Interesse an einem individuellen Angebot für Ihre Organisation? Lassen Sie uns sprechen

Verschiedene Optionen

Wie so oft gibt es keine Einheitslösung für alle. Für die konkrete Gestaltung und Durchführung meiner Trainings und Workshops können Sie daher zwischen verschiedenen Optionen und Varianten wählen.

Vollständig anpassbare Trainingsagenda

Wenn Sie bestimmte Aspekte Ihres Technologie-Stacks oder spezifische interne Prozesse bzw. Tools im Training behandeln möchten, kann die Agenda gezielt auf Ihre Anforderungen zugeschnitten werden.

Vor Ort oder remote? – Sie entscheiden!

Meine Trainings und Workshops koennen vor Ort (direkt bei Ihnen oder an einem meiner Trainingsstandorte) sowie komplett remote durchgeführt werden. Auch hybride Varianten sind möglich: Einige Teilnehmer sind remote zugeschaltet, während ich den Kurs für die Mehrheit vor Ort durchführe. Ich habe bereits zahlreiche Online-Varianten meiner Trainings durchgeführt, auch für größere Gruppen.

In allen Fällen benötigen Teilnehmer lediglich einen Browser. Lokale Installationen sind nicht erforderlich, da das Training mit individuell bereitgestellten Umgebungen in meiner Cloud läuft.

Alternative Option: Professionelle Trainingsaufzeichnung

Wenn Sie eine individuell für Ihr Unternehmen aufgezeichnete Version als Kapitel- und Lektionen-Set für Ihre interne videobasierte E-Learning-Plattform möchten: Lassen Sie uns sprechen

Ich kann eine individualisierte Trainingssession (ohne Teilnehmer) aufzeichnen und Ihnen professionell geschnittene Kapitel liefern, exportiert als SCORM (nützlich für den Import in LMS-Systeme), MPEG und weitere Formate. Das Paket umfasst digitale Trainingsfolien und die lauffähige Trainingsumgebung für lokales Offline-Training. Wenn Sie und alle Teilnehmer ein Live-Training während der Durchführung aufzeichnen möchten, ist auch das möglich und ergibt ein Video-Handout des gesamten Kurses.

So haben bereits mehrere Unternehmen ihr internes videobasiertes Trainingsangebot erfolgreich mit meinen praxisnahen Security-Workshops erweitert, die in die eigene E-Learning-Plattform integriert wurden.

Professionelle Trainingsaufzeichnung

Stimmen

Was Kunden sagen

Ein tolles Seminar. Inhalte und Methodik bitte unverändert lassen!

Trainingsteilnehmer

Fachlich sehr fit, ist sehr gut auf Rückfragen eingegangen.

Workshop-Teilnehmer

Vielen Dank für das Training! Es war sehr interessant und voller Wissen. Das Team hat viel gelernt und spricht positiv darüber.

Trainingsteilnehmer

Von meiner Seite nochmals vielen Dank für die Durchführung des Trainings. Die Rückmeldungen der Teilnehmenden waren in allen Belangen positiv und immer mit dem Vermerk, dass das Training zu unserem Unternehmen passt.

Trainingsorganisator

Vielen Dank für so eine interaktive Session — hat richtig Spaß gemacht und ich habe viel gelernt.

Trainingsteilnehmer

Fachlich sehr gut — sehr gute Präsentation

Trainingsteilnehmer

Vielen Dank für den wertvollen Input. Besonders die Einblicke zur agentic AI Security waren sehr hilfreich.

Trainingsteilnehmer

Auf diesem Wege noch einmal Feedback zu den vergangenen drei Tagen: Die Schulung entsprach absolut meinen Vorstellungen. Die Themen, die behandelt wurden, sowie die Mischung zwischen praktischen und theoretischen Teilen waren absolut passend. Da merkt man deine jahrelange Erfahrung.

Trainingsteilnehmer

Zeit gut investiert! Vielen Dank, das Training und die inhaltliche Tiefe haben mir richtig gut gefallen.

Trainingsteilnehmer

Deine Begeisterung für Security ist ansteckend :)

Trainingsteilnehmer

Vielen Dank für die tolle Schulung, das war genau wie ich es mir für mein Team vorgestellt hatte! Ich gehe davon aus, dass wir das mit anderen Mitarbeitern bald wiederholen.

Product Security Manager

Super spannend & abwechslungsreich! Vielen Dank!

Trainingsteilnehmer

Danke für das Training! Ich finde, es war vielseitig und durch die unterschiedlichen Interaktionsbestandteile auch kurzweilig. Wir haben einiges mitnehmen können! Ich freue mich auf ggf. zukünftige Möglichkeiten zur Zusammenarbeit.

Trainingsteilnehmer

War schon zum zweiten Mal bei dir dabei, Christian. War wieder sehr interessant und hat Spaß gemacht!

Trainingsteilnehmer

Nochmals vielen, vielen Dank für den Termin heute! Ich muss einfach sagen, ich finde es jedes Mal aufs Neue beeindruckend, wie schnell du dich in komplexe Themen hineindenkst, kritisch hinterfragst und wertvolle Impulse gibst. Wirklich faszinierend!

Threat-Modeling-Kunde

Vielen Dank, dass du so tolle Einblicke mit uns geteilt hast!

Trainingsteilnehmer

Ich fand die Schulung insgesamt sehr informativ und hilfreich. Die Erklärungen waren klar und gut strukturiert. Es wurden wichtige Sicherheitskonzepte abgedeckt und es gab ausreichende Beispiele, um Konzepte zu veranschaulichen. Ich konnte vieles mitnehmen. Vielen Dank für die Schulung :)

Trainingsteilnehmer

Vielen Dank, mir hat das Format und der Workshop insgesamt sehr gut gefallen — sehr mitreißend, großartige Arbeit, habe einiges gelernt.

Trainingsteilnehmer

Vielen Dank! Auch für die brillanten Erklärungen und gut präsentierten praktischen Beispiele!

Trainingsteilnehmer

Sehr intensives Seminar, sehr gut und klar dargestellt!

Trainingsteilnehmer

Insiderwissen aus dem Pentesting-Bereich kam richtig gut rüber. Breite Abdeckung, starke Expertise — und du bist gezielt auf unsere Technologien eingegangen. Fachlich, didaktisch und persönlich top. Gute Fragenbehandlung und klarer Aufbau.

Trainingsteilnehmer

Hervorragende Beispiel-Anwendungen — du kannst das sehr gut erklären.

Trainingsteilnehmer

Sehr hohe Fachkompetenz! Didaktisch sehr gut. Interessant mit vielen praktischen Übungen. Ein vermeintlich “trockenes”, aber sehr wichtiges Thema wurde sehr gut transportiert und weitervermittelt.

Trainingsteilnehmer

Sehr interessant, sehr praxisnah, kurzweilig & auf alles eine Antwort ;)

Trainingsteilnehmer

Das Training hat mir richtig gut gefallen, vielen Dank! 🙏 Es war eine interaktive und aufschlussreiche Session. Mir ist der Umgang mit Security-Tools bewusster geworden. Nochmals vielen Dank für die wertvollen Einblicke — ich schätze das sehr!

Trainingsteilnehmer

Danke Christian! Hervorragende Inhalte und Erklärungen, ich habe viel gelernt.

Workshop-Teilnehmer

Die Teilnehmer waren von der Schulung begeistert, kaum eine Umfrage fällt so gut aus! Wir freuen uns, dass die Rückmeldungen so positiv ausgefallen sind und die Teilnehmer sich derart für das Thema begeistern konnten! Wir hoffen sehr, dass wir in Zukunft noch mal (und hoffentlich oft) die Gelegenheit haben werden, zusammenzuarbeiten!

Schulungsanbieter

Sehr praxisnah, instruktiv und didaktisch hervorragend aufbereitet! Hat irre Spaß gemacht!

Workshop-Teilnehmer

Es wurde auf sehr viele Themen hingewiesen, die mir neu waren und für meine Arbeit wichtig sind.

Workshop-Teilnehmer

Vielen Dank Christian, sehr informativ, substanziell und nützlich.

Workshop-Teilnehmer

Die Fortbildung war absolut klasse. Ich habe mittlerweile über 10 Jahre Berufserfahrung und in all den Jahren ist die Fortbildung eine der besten gewesen, die ich absolvieren konnte.

Trainingsteilnehmer

Vielen Dank nochmal für den sehr, sehr guten Workshop heute. Ich wollte nochmal ein großes Lob zu deinen Vorträgen und deinem Workshop aussprechen, wirklich sehr gelungen! Man möchte einfach damit loslegen und es selbst ausprobieren. Einfach klasse!

Workshop-Teilnehmer

Jeder Entwickler sollte die Schulung mal gehabt haben.

Trainingsteilnehmer

Herzlichen Dank! Wirklich detailliert und spannend!

Trainingsteilnehmer

Ich habe letzte Woche am Web-Security-Training teilgenommen. Das war wieder mal super. Du machst das so anschaulich — zusammen mit deinen Erfahrungsberichten richtig fesselnd. Das Training hat echt Spaß gemacht und wieder mal Lust darauf gemacht, mehr über das Thema zu wissen.

Trainingsteilnehmer

Spannende und inspirierende Veranstaltung mit einem Referenten, der sein Wissensgebiet vollumfänglich beherrscht.

Workshop-Teilnehmer

Vielen Dank, es war ein sehr interessantes und unterhaltsames Training!!! 🙌

Trainingsteilnehmer

Wirklich großartiger und brillanter Kurs. Bin froh, mich für dein Training entschieden zu haben. Danke für all die Vorbereitung und dafür, dass du nach der offiziellen Zeit noch viele Fragen beantwortet hast ;).

Trainingsteilnehmer

Als Organisator habe ich durchgängig positives Feedback aus der Teilnehmerschaft bekommen. Besonders die Beispiele aus der Praxis kamen gut an, und Defense in Depth war für mich gut platziert.

Trainingsorganisator

Ich möchte mich nochmals für das spannende Training von letzter Woche bedanken. Die vermittelten Inhalte waren sehr gut aufbereitet und das Training ergab ein gut geschnürtes Paket.

Trainingsteilnehmer

Dein Workshop bei uns hat Wirkung gezeigt: Viele Teilnehmer haben versucht, in ihren Projekten Schwachstellen zu finden, auch mit Erfolg.

Workshop-Organisator

Das war ein umwerfender Workshop — ich würde dich gerne an Kolleginnen und Kollegen aus anderen Unternehmen weiterempfehlen.

Trainingsteilnehmer

Sehr hilfreiches Training. Sehr klare Beschreibung der Angriffe und der Dinge, auf die wir achten müssen. Jetzt haben wir eine Liste mit Aufgaben, die wir in unserer Codebasis prüfen und verbessern müssen.

Trainingsteilnehmer

Vielen Dank noch einmal für das hervorragende Intensivtraining diese Woche.

Trainingsteilnehmer

Vielen Dank Christian! Obwohl ich kein Dev bin, konnte ich fast alles nachvollziehen und habe einiges gelernt. Absolut empfehlenswert!

Trainingsteilnehmer

Mir hat das Training sehr gut gefallen und ich kann es wärmstens empfehlen. Christian ist ein großartiger Trainer und Lehrer.

Trainingsteilnehmer

Erst noch einmal recht herzlichen Dank für die 3 sehr inspirierenden Tage. Deinen Vortrag empfand ich sowohl didaktisch als auch inhaltlich sehr, sehr gut. Die vielen Workshop-Übungen haben zudem viel zum besseren Grundverständnis der Theorie beigetragen.

Workshop-Teilnehmer

Vielen Dank für das tolle Training! Hat sehr viel Spaß gemacht und ich habe es schon gleich weiterempfohlen. Die Mischung aus Theorie, Praxis und anschaulichen Fällen war perfekt. Man geht definitiv mit einem schärferen Security-Blick aus dem Training.

Workshop-Teilnehmer

Mega guter Workshop! DANKESCHÖN

Workshop-Teilnehmer

Vielen herzlichen Dank. Super vorgetragen und sehr, sehr viele wichtige Informationen! Ich habe einiges Neues gelernt…

Workshop-Teilnehmer

Nur ein Wort: SUPER! danke

Trainingsteilnehmer

Ja!! Das sollte für alle Softwareentwickler Pflicht sein!

Trainingsteilnehmer

Würde ich sofort wieder buchen — 5/5 Sterne :D

Trainingsteilnehmer

Großartige Session Christian!!! Tausend Dank!!!

Trainingsteilnehmer

War super! Greifbare Beispiele, verständlich erklärt, hat auf jeden Fall bleibenden Eindruck hinterlassen. Immer weiter so!!

Trainingsteilnehmer

Die Schulung hat greifbarer gemacht, wie Hacker konkret arbeiten und welche Tools sie zur Verfügung haben. Die konkreten Beispiele haben sehr geholfen.

Trainingsteilnehmer

Die Schulung fand ich: umfangreich, SEHR (!) lehrreich, hochinteressant und spannend — und es macht das Thema wirklich greifbar. Vor allem die Remote-Teilnahme war für unser Team besonders wichtig, und du hast dieses Format wirklich gut gemeistert. Das Training hatte einen klaren Spannungsbogen und unternehmerischen Nutzen — wird von mir auf jeden Fall weiterempfohlen. Danke!

Trainingsorganisator

Wirklich, wirklich gut gemachter Pentesting-Vortrag. Sehr informativ und hat Spaß gemacht, mich wieder mit dem Thema zu beschäftigen. Seit ich Entwickler bin, habe ich in meiner Freizeit nicht mehr programmiert — aber zu sehen, wie man Systeme bricht und wie und warum sie funktionieren, war damals ein Grund, Programmierer zu werden. Das Kind in mir war so happy, etwas über XML-Bombs und all die anderen verrückten Dinge zu lernen!

Trainingsteilnehmer

Vieles war neu für mich (obwohl schon jahrelang in der Konzern-Informatik). Bei der Flut an Angriffsmöglichkeiten ist der Leitfaden mit “code/data” und “source-taint-sink” hilfreich, genauso wie die ruhige und gelassene Art des Vortrags und “Entdecken-Lassens”. Ich empfehle die Schulung weiter!

Trainingsteilnehmer

Zunächst einmal: Danke für einen hervorragenden Workshop. Das Feedback zum zweiten Teil des Workshops ist durchweg positiv. Ich habe aus mehreren Teams bereits den Wunsch vernommen, Threat Modeling zukünftig praktisch zu nutzen. Aus meiner Sicht ein voller Erfolg.

Workshop-Organisator

Sehr unterhaltsame, interessante und inspirierende zwei Tage Security-Training. Hat mir viel Spaß gemacht und Neugier geweckt, unseren Code auf Schwachstellen zu analysieren. Es lebe das Swiss-Cheese-Modell! :-)

Trainingsteilnehmer

Danke für das Training. Es war ein Eye-Opener, insbesondere die Vorführungen des Hackens.

Trainingsteilnehmer

Ja, hat richtig Spaß gemacht, insbesondere die anschauliche Vermittlung von Wissen, der Praxisbezug mit Beispielen, das Eingehen auf alle Fragen, das ausführliche Handout und nicht zuletzt die angenehme Atmosphäre. Vielen Dank!

Trainingsteilnehmer

Wir möchten uns an dieser Stelle noch einmal herzlich bei Ihnen bedanken, dass Sie unseren Summit als Referent und mit Ihren tollen Vorträgen bereichert haben. Die ersten Teilnehmerstimmen haben wir uns direkt nach der Veranstaltung eingeholt und diese waren durchweg positiv.

Konferenzorganisator

Ich habe an den vergangenen zwei Tagen am Web-Security-Training teilgenommen — es war großartig. Mir gefällt der praktische Ansatz mit der Marathon-App, um verschiedene Fälle auszuprobieren. Deine Slides und dein Präsentationsstil sind wirklich gut und ich habe viel gelernt. Du weißt definitiv, wovon du sprichst, und kannst dieses Wissen gut vermitteln.

Trainingsteilnehmer

Klasse Schulung — ich musste direkt ein Bug-Ticket für eine App anlegen :D.

Trainingsteilnehmer

Sehr interessantes Training. Didaktisch sehr gut aufgebaut. Besonders das schrittweise Ausreizen des Angriffs mit anschließender Demonstration automatisierter Standard-Angriffstools.

Trainingsteilnehmer

Vielen Dank für die spannende Zeit beim Web Security Bootcamp. Mit hoher Kompetenz und „Escape-the-room“-Flair war es faszinierend, die anfällige Sicherheit der Türen und Tore aus Angreifer-Sicht zu betrachten und die vielen Möglichkeiten kennenzulernen, diese Wege geschlossen und sicher zu halten. Ein Training, das ich jedem Entwickler zu 100% weiterempfehlen kann.

Trainingsteilnehmer

Vielen Dank. Ich war ein absoluter Security-Neuling und habe nun definitiv einen anderen Blick auf meine Quelltexte. Bei vielen Dingen dachte ich bisher vor allem an sauberen Code und guten Stil — aber offensichtlich macht es aus Security-Sicht auch echt Sinn, Daten und Code zu trennen.

Trainingsteilnehmer

Ich fand deine Aufforderungen, Fragen zu stellen, super. Erstmal ungewohnt oft, aber so werden dann halt auch wirklich Fragen gestellt :)

Trainingsteilnehmer

Klasse fand ich auch, dass du einfach alles vorbereitet hattest, sodass man immer praktisch agieren konnte, wenn man wollte. Man hat gemerkt, dass du Routine hast. Gleichzeitig wurde es nie langweilig.

Trainingsteilnehmer

Super Training! Nicht nur fachlich, sondern auch super vorgetragen. Es gab tatsächlich keine Längen. Und mit dem Handout ist man gefühlt gerüstet für kommende Herausforderungen.

Trainingsteilnehmer

Gut war immer zu sehen, wie weit man Lücken ausnutzen kann!

Trainingsteilnehmer

Das Training war großartig. Ich bin noch ziemlich neu in Security und war sprachlos, wie viele alltägliche Systeme angreifbar sind, wenn man weiß, worauf man achten muss. WOW. Auch großartige Arbeit, Christian — stundenlang so locker zu sprechen und jede Frage zu beantworten. Besonders geschätzt habe ich, dass jede Frage ernst genommen wurde. Du hast die Leute motiviert, Fragen zu stellen! Vielen, vielen Dank für das großartige Training, aber auch für die tolle Atmosphäre!

Trainingsteilnehmer

Vielen Dank nochmal für das Seminar. Man konnte sehr gut mitkommen, und dennoch ging es jeweils ziemlich in die Tiefe. Gerade bei Injection und XSS wurde mir wieder klar, wie wichtig diese Grundlagen sind — und wie wertvoll eine so klare Erklärung ist.

Trainingsteilnehmer

Die Schulung war extrem lehrreich und hat super viel Spaß gemacht! 10/10

Trainingsteilnehmer