Deel I: De Webapplicatie
15 hoofdstukken over het testen van webapplicaties. Van passieve verkenning met Nmap en Burp Suite tot het schrijven van een professioneel rapport met CVSS 4.0.
Begin bij het voorwoord als je de hele serie wilt lezen, of spring direct naar een specifiek onderwerp hieronder.
Deel I: De Webapplicatie
15 hoofdstukken over webapplicatie-pentest. Van verkenning en SQL Injection tot deserialisatie en rapportage — elke kwetsbaarheid met concrete voorbeelden en IB-commando's.
Voorwoord
Introductie en leeswijzer voor het webapplicatie-handboek.
Inleiding
Pentest-methodiek, OWASP Top 10, en de opzet van het lab.
Verkenning
Nmap, directory bruting, subdomain enumeration, Burp Suite.
SQL Injection
UNION, blind, error-based en second-order SQL injection.
Cross-Site Scripting (XSS)
Reflected, stored en DOM-based XSS met payload-voorbeelden.
Command Injection
OS command injection, operators, en blind technieken.
Path Traversal & File Inclusion
Directory traversal, LFI, RFI en log poisoning.
Server-Side Template Injection
SSTI in Jinja2, Twig, Freemarker en Pug.
XML External Entities (XXE)
In-band en out-of-band XXE, DTD-gebaseerde exfiltratie.
Server-Side Request Forgery
SSRF naar interne diensten en cloud metadata endpoints.
Deserialisatie & Type Confusion
Insecure deserialization in Java, .NET en PHP.
Client-Side Kwetsbaarheden
CSRF, CORS, clickjacking, en prototype pollution.
Authenticatie & Sessiemanagement
Brute force, session fixation, JWT-aanvallen en MFA bypass.
Rapportage
Pentest-rapport schrijven met CVSS 4.0 en IB.
Nawoord
Afsluitende gedachten en vervolgstappen.