Full-Stack Pentesting Laboratory: 100% Hands-On + lebenslanges Übungslab + Videocontent inklusive!

Tauchen Sie in moderne Angriffstechniken ein: Von APIs und Cloud-Anwendungen über XSS, SQLi, RCE bis hin zu komplexen Bypass-Methoden.
Trainieren Sie exklusiv mit einem der weltweit führenden Ethical Hacker: Dawid Czagan ist bekannt für Sicherheitsfunde bei Google, Yahoo, Mozilla und Twitter. Seine Kurse gehören weltweit zu den renommiertesten Hands‑On‑Trainings im Bereich Offensive Security. Er zeigt Ihnen nicht nur, wie Angriffe funktionieren, sondern erklärt Hintergründe, Denkweisen und Methoden professioneller AngreiferInnen.

Moderne IT-Systeme sind heute komplexer als je zuvor. Microservices, APIs, Cloud-Architekturen, Frameworks, Third‑Party Dependencies. Genau hier entstehen täglich neue Angriffsflächen. Dieses Training vermittelt Ihnen 100% praxisnah das Wissen und die Fähigkeiten, diese zu erkennen und zu verhindern.

Einzigartig: Ihr persönliches Pentesting-Lab – sofort zum Mitnehmen, lebenslanger Zugriff inklusive!
Sie erhalten während des Trainings ein vollständig vorbereitetes VMware‑Lab, in dem Sie alle gezeigten Angriffe, Schwachstellen und Techniken realitätsnah ausprobieren können. Nach Kursende dürfen Sie die komplette Laborumgebung (NDA) einfach mit nach Hause nehmen und so oft, so tief und so lange weiterhacken, wie Sie möchten. Damit können Sie Ihr Wissen nicht nur im Kurs, sondern jederzeit in Ihrem eigenen Tempo vertiefen.

Nach diesem 100% Real World Attack Workshop:

• erkennen Sie moderne Angriffsvektoren in Web‑, API‑ und Cloud‑Umgebungen und verstehen, wie echte Hacker diese ausnutzen.
• analysieren Sie Schwachstellen wie XSS, SQL Injection, NoSQL Injection, XML‑Attacks und File‑Upload‑Exploits sicher und systematisch.
• umgehen Sie gängige Schutzmechanismen und lernen dadurch, wie Sie Ihre eigenen Systeme deutlich effektiver härten.
• automatisieren Sie Reconnaissance‑ und Exploitation‑Prozesse mithilfe von CLI‑Tools, Fuzzing‑Techniken und smartem Password‑Cracking.
• identifizieren Sie verwundbare Komponenten in modernen Architekturen, darunter Git‑Repositories, Cloud‑Parameter, APIs sowie JavaScript‑Libraries mit bekannten CVEs.
• führen Sie Reverse Shells, RCE‑Angriffe und komplexe Manipulationen in realitätsnahen Szenarien sicher durch.
• nutzen Sie eine vollständig vorbereitete VMware‑Laborumgebung, die Sie nach dem Kurs mitnehmen und lebenslang verwenden können, um Ihr Wissen weiter zu vertiefen.

Bonus für Sie!
Zusätzlich zu Workshop und Labzugriff erhalten Sie folgende hochwertige Videokurse von Dawid Czagan:

• Fuzzing mit Burp Suite Intruder
• Exploiting Race Conditions mit OWASP ZAP
• Award Winning XSS Attacks – Teil 1
• Award Winning XSS Attacks – Teil 2
• How Hackers Find SQL Injections in Minutes (Sqlmap)
• Web Application Security Testing with Google Hacking

Diese on-demand-Videos im Gesamtwert von mehreren hundert Euro sind im Kurspreis enthalten.

Der Kurs findet vollständig auf Englisch statt.
Alle Übungen, Unterlagen und Bonuskurse sind ebenfalls auf Englisch.

DAY 1
1. Hacking cloud applications (90 minutes)

• Amazon S3: directory listing via AWS CLI tool
• Amazon S3: bruteforcing buckets
• Amazon S3: bruteforcing objects in a given bucket
• Amazon EC2: reading the SecretAccessKey (3 techniques)
• Bypassing Cloudflare firewall

2. API hacking tips & tricks (60 minutes)

• API hacking with X-HTTP-Method-Override:
• API hacking with X-Override-URL:
• API hacking with callback
• API hacking with JSON enforcement (in request)
• API hacking with JSON enforcement (in response)

3. OSINT asset discovery tools (60 minutes)

• Subdomain enumeration with dnscan and amass
• Subdomain enumeration with Certificate Transparency log
• Subdomain enumeration with SubDomainizer
• Domain enumeration with nerdydata.com
• Top-level domain enumeration with dnscan

4. Hacking with special characters (45 minutes)

• Visual impersonation with ASCII control characters
• Visual impersonation with Unicode control characters
• XSS via response splitting

5. XML attacks (45 minutes)

• XML External Entity attack (XXE)
• XML XInclude attack
• XSS via XML

6. Server-side template injection (SSTI) (60 minutes)

• RCE via template injection in PHP Smarty
• RCE via template injection in Python Jinja
• RCE via template injection in Java FreeMarker

7. Hacking git repos (45 minutes)
- gitleaks (finding sensitive data based on regular expressions)
- trufflehog (finding sensitive data based on entropy checking)
- dumping git repo with git-dumper
- finding sensitive data in git commit history

DAY 2
1. Google hacking techniques (45 minutes)

• finding directory listings and backup files
• finding SQL syntax errors
• finding URLs with API keys
• finding internal server errors
• finding insecure HTTP web pages

2. Automated SQL injection detection and exploitation (45 minutes)

• sqlmap: full test case coverage, dumping database table entries
• sqlmap: installing a backdoor (from SQL injection to remote code execution)
• sqlmap: bypassing web application firewalls with tamperscripts

3. File read attacks (60 minutes)

• Alternate Data Streams notation
• 8dot3 notation
• Windows NTFS (2 techniques)

4. Data exfiltration tools and techniques (90 minutes)
- DNS exfiltration using dnscat2
- ICMP exfiltration using Data Exfiltration Toolkit
- text-based steganography using cloakify
- image-based steganography exfiltration using LSBSteg
- video-based steganography using CCVS

5. GitHub hacking techniques (45 minutes)

• web config files
• database config files
• private keys
• IDE config files
• Amazon AWS keys

6. Non-standard XSS attacks (30 minutes)

• XSS attack with two slashes
• XSS via URL

7. Smart password cracking with hashcat (45 minutes)

• cracking NTLM password
• cracking password-protected PDF document
• benchmarking

8. Other tools and techniques (45 minutes)

• Retire.js: finding JavaScript libraries with known vulnerabilities
• Extracting passwords with LaZagne
• NTLM hash hijacking with Responder

DAY 3

1. File upload attacks (45 minutes)

• via .htaccess
• via SVG file
• via AddHandler

2. CLI hacking scripts (60 minutes)

• using waybackurls
• using photon
• using nmap + nikto
• nmap vs. masscan

3. Hacking with wrappers (60 minutes)

• RCE with data: wrapper
• RCE with php://input wrapper
• RCE with zip: wrapper

4. NoSQL injection detection and exploitation (45 minutes)

• Elasticsearch
• MongoDB
• CouchDB

5. Bypassing restrictions (60 minutes)

• with X-Forwarded-For:
• with Forwarded:
• with IP address
• with hex encoding in JavaScript

6. Modern full-stack web attacks (45 minutes)

• HTTP parameter pollution
• Web cache deception attack

7. Hacking Electron applications (45 minutes)

• from XSS to RCE
• from insecure framing to RCE

8. Miscellaneous (45 minutes)

• Finding metadata with exiftool
• Reverse shell connection with ShellPop
• XSS polyglot

Dieses Training richtet sich an Fachkräfte aus Offensive und Defensive Security sowie an Professionals, die moderne Anwendungen sicher entwickeln, testen oder betreiben.

Dazu gehören insbesondere:

• Pentester, Ethical Hacker und Red Teams
• Blue Team Mitglieder und SOC‑AnalystInnen
• DevSecOps‑Teams
• Software‑ und Cloud‑EntwicklerInnen
• QA‑ und Testteams mit Sicherheitsfokus
• Security Engineers und Security Consultants

Um den größtmöglichen Nutzen aus diesem Training zu ziehen,

• verfügen Sie über grundlegende Kenntnisse zur Funktionsweise bzw. zu typischen Schwachstellen von Webanwendungen.
• profitieren Sie optional von Erfahrungen im Umgang mit Proxy‑Tools wie Burp Suite Proxy oder Zed Attack Proxy (ZAP), da diese hilfreich sind, um Datenverkehr zu analysieren oder zu verändern.
• haben Sie idealerweise bereits in einen Kurs oder praktisch Erfahrung in den Bereichen Web‑, Netzwerk‑, Cloud‑ oder Systemsicherheit gesammelt.