15 hoofdstukken over webapplicatie-pentest. Van verkenning en SQL Injection tot deserialisatie en rapportage — elke kwetsbaarheid met concrete voorbeelden en IB-commando's.
Introductie en leeswijzer voor het webapplicatie-handboek.
Pentest-methodiek, OWASP Top 10, en de opzet van het lab.
Nmap, directory bruting, subdomain enumeration, Burp Suite.
UNION, blind, error-based en second-order SQL injection.
Reflected, stored en DOM-based XSS met payload-voorbeelden.
OS command injection, operators, en blind technieken.
Directory traversal, LFI, RFI en log poisoning.
SSTI in Jinja2, Twig, Freemarker en Pug.
In-band en out-of-band XXE, DTD-gebaseerde exfiltratie.
SSRF naar interne diensten en cloud metadata endpoints.
Insecure deserialization in Java, .NET en PHP.
CSRF, CORS, clickjacking, en prototype pollution.
Brute force, session fixation, JWT-aanvallen en MFA bypass.
Pentest-rapport schrijven met CVSS 4.0 en IB.
Afsluitende gedachten en vervolgstappen.
CertifiedHacker