Full-Stack Pentesting Laboratory: 100% Hands-On + lebenslanges Übungslab + Videocontent inklusive!

Moderne IT-Systeme sind heute komplexer als je zuvor. Microservices, APIs, Cloud-Architekturen, Frameworks, Third‑Party Dependencies. Genau hier entstehen täglich neue Angriffsflächen. Dieses Training vermittelt Ihnen 100% praxisnah das Wissen und die Fähigkeiten, diese zu erkennen und zu verhindern.

Trainieren Sie exklusiv mit einem weltweit führenden Ethical Hacker: Dawid Czagan -  lernen Sie, wie AngreiferInnen zu denken! Tauchen Sie ein in moderne Angriffstechniken und verstehen Sie, wie APIs, Cloud‑Umgebungen und Websysteme durch XSS, SQLi, RCE und ausgefeilte Bypass‑Methoden kompromittiert werden.



In 100% realitätsnahen Hands‑On‑Labs führen Sie alle Angriffe selbst durch und nehmen nach dem Training sogar Ihr eigenes Pentesting‑Lab mit nach Hause. Ergänzend sichern Sie sich sechs hochwertige Video‑Kurse – ideal, um Ihr Wissen langfristig zu vertiefen und Ihre Systeme wirksam zu schützen. 

Dawid Czagans Kurse gehören weltweit zu den renommiertesten Hands‑On‑Trainings im Bereich Offensive Security. Er zeigt Ihnen nicht nur, wie Angriffe funktionieren, sondern erklärt Hintergründe, Denkweisen und Methoden von HackerInnen.

Nach diesem Training:

• erkennen Sie moderne Angriffsvektoren in Web‑, API‑ und Cloud‑Umgebungen und verstehen, wie echte HackerInnen diese ausnutzen.
• analysieren Sie Schwachstellen wie XSS, SQL Injection, NoSQL Injection, XML‑Attacks und File‑Upload‑Exploits sicher und systematisch.
• umgehen Sie gängige Schutzmechanismen und lernen dadurch, wie Sie Ihre eigenen Systeme deutlich effektiver härten.
• automatisieren Sie Reconnaissance‑ und Exploitation‑Prozesse mithilfe von CLI‑Tools, Fuzzing‑Techniken und smartem Password‑Cracking.
• identifizieren Sie verwundbare Komponenten in modernen Architekturen, z.B. Git‑Repositories, Cloud‑Parameter, APIs sowie JavaScript‑Libraries mit CVEs.
• führen Sie Reverse Shells, RCE‑Angriffe und komplexe Manipulationen in realitätsnahen Szenarien sicher durch.
• nutzen Sie eine vollständig vorbereitete VMware‑Laborumgebung, die Sie nach dem Kurs mitnehmen und lebenslang verwenden können, um Ihr Wissen weiter zu vertiefen.

Bonus für Sie!
Zusätzlich zu Workshop und Labzugriff erhalten Sie folgende hochwertige Videokurse von Dawid Czagan:

• Fuzzing mit Burp Suite Intruder
• Exploiting Race Conditions mit OWASP ZAP
• Award Winning XSS Attacks – Teil 1
• Award Winning XSS Attacks – Teil 2
• How Hackers Find SQL Injections in Minutes (Sqlmap)
• Web Application Security Testing with Google Hacking

Diese on-demand-Videos im Gesamtwert von mehreren hundert Euro sind im Kurspreis enthalten.

Der Kurs findet vollständig auf Englisch statt.
Alle Übungen, Unterlagen und Bonuskurse sind ebenfalls auf Englisch.

DAY 1
1. Hacking cloud applications (90 minutes)

• Amazon S3: directory listing via AWS CLI tool
• Amazon S3: bruteforcing buckets
• Amazon S3: bruteforcing objects in a given bucket
• Amazon EC2: reading the SecretAccessKey (3 techniques)
• Bypassing Cloudflare firewall

2. API hacking tips & tricks (60 minutes)

• API hacking with X-HTTP-Method-Override:
• API hacking with X-Override-URL:
• API hacking with callback
• API hacking with JSON enforcement (in request)
• API hacking with JSON enforcement (in response)

3. OSINT asset discovery tools (60 minutes)

• Subdomain enumeration with dnscan and amass
• Subdomain enumeration with Certificate Transparency log
• Subdomain enumeration with SubDomainizer
• Domain enumeration with nerdydata.com
• Top-level domain enumeration with dnscan

4. Hacking with special characters (45 minutes)

• Visual impersonation with ASCII control characters
• Visual impersonation with Unicode control characters
• XSS via response splitting

5. XML attacks (45 minutes)

• XML External Entity attack (XXE)
• XML XInclude attack
• XSS via XML

6. Server-side template injection (SSTI) (60 minutes)

• RCE via template injection in PHP Smarty
• RCE via template injection in Python Jinja
• RCE via template injection in Java FreeMarker

7. Hacking git repos (45 minutes)
- gitleaks (finding sensitive data based on regular expressions)
- trufflehog (finding sensitive data based on entropy checking)
- dumping git repo with git-dumper
- finding sensitive data in git commit history

DAY 2
1. Google hacking techniques (45 minutes)

• finding directory listings and backup files
• finding SQL syntax errors
• finding URLs with API keys
• finding internal server errors
• finding insecure HTTP web pages

2. Automated SQL injection detection and exploitation (45 minutes)

• sqlmap: full test case coverage, dumping database table entries
• sqlmap: installing a backdoor (from SQL injection to remote code execution)
• sqlmap: bypassing web application firewalls with tamperscripts

3. File read attacks (60 minutes)

• Alternate Data Streams notation
• 8dot3 notation
• Windows NTFS (2 techniques)

4. Data exfiltration tools and techniques (90 minutes)
- DNS exfiltration using dnscat2
- ICMP exfiltration using Data Exfiltration Toolkit
- text-based steganography using cloakify
- image-based steganography exfiltration using LSBSteg
- video-based steganography using CCVS

5. GitHub hacking techniques (45 minutes)

• web config files
• database config files
• private keys
• IDE config files
• Amazon AWS keys

6. Non-standard XSS attacks (30 minutes)

• XSS attack with two slashes
• XSS via URL

7. Smart password cracking with hashcat (45 minutes)

• cracking NTLM password
• cracking password-protected PDF document
• benchmarking

8. Other tools and techniques (45 minutes)

• Retire.js: finding JavaScript libraries with known vulnerabilities
• Extracting passwords with LaZagne
• NTLM hash hijacking with Responder

DAY 3

1. File upload attacks (45 minutes)

• via .htaccess
• via SVG file
• via AddHandler

2. CLI hacking scripts (60 minutes)

• using waybackurls
• using photon
• using nmap + nikto
• nmap vs. masscan

3. Hacking with wrappers (60 minutes)

• RCE with data: wrapper
• RCE with php://input wrapper
• RCE with zip: wrapper

4. NoSQL injection detection and exploitation (45 minutes)

• Elasticsearch
• MongoDB
• CouchDB

5. Bypassing restrictions (60 minutes)

• with X-Forwarded-For:
• with Forwarded:
• with IP address
• with hex encoding in JavaScript

6. Modern full-stack web attacks (45 minutes)

• HTTP parameter pollution
• Web cache deception attack

7. Hacking Electron applications (45 minutes)

• from XSS to RCE
• from insecure framing to RCE

8. Miscellaneous (45 minutes)

• Finding metadata with exiftool
• Reverse shell connection with ShellPop
• XSS polyglot

Dieses Training richtet sich an Fachkräfte aus Offensive und Defensive Security sowie an Professionals, die moderne Anwendungen sicher entwickeln, testen oder betreiben.

Dazu gehören insbesondere:

• Pentester, Ethical Hacker und Red Teams
• Blue Team Mitglieder und SOC‑AnalystInnen
• DevSecOps‑Teams
• Software‑ und Cloud‑EntwicklerInnen
• QA‑ und Testteams mit Sicherheitsfokus
• Security Engineers und Security Consultants

Um den größtmöglichen Nutzen aus diesem Training zu ziehen,

• verfügen Sie über grundlegende Kenntnisse zur Funktionsweise bzw. zu typischen Schwachstellen von Webanwendungen.
• profitieren Sie optional von Erfahrungen im Umgang mit Proxy‑Tools wie Burp Suite Proxy oder Zed Attack Proxy (ZAP), da diese hilfreich sind, um Datenverkehr zu analysieren oder zu verändern.
• haben Sie idealerweise bereits in einen Kurs oder praktisch Erfahrung in den Bereichen Web‑, Netzwerk‑, Cloud‑ oder Systemsicherheit gesammelt.