Bitte wählen Sie die Bereiche, die Sie exportieren möchten:
Schulung Burp Suite Einführung
Systematisches Pentesting für sichere Web-Anwendungen
Schulungsformen
Offene Schulung
- 4 Tage
- 5 gesicherte Termine
- Köln / Online
- 2.530,00 p. P. zzgl. MwSt.
- Dritter Mitarbeitende kostenfrei
- Learning & Networking in einem. Garantierte Durchführung ab 1 Teilnehmenden.
Inhouse-/Firmenschulung
- 4 Tage - anpassbar
- Termin nach Wunsch
- In Ihrem Hause oder bei der GFU
- Preis nach Angebot
- Lernumgebung in der Cloud
- Inhalte werden auf Wunsch an die Anforderungen Ihres Teams angepasst.
Individualschulung
- 4 Tage - anpassbar
- Termin nach Wunsch
- In Ihrem Hause oder bei der GFU
- Preis nach Angebot
- Lernumgebung in der Cloud
- 1 Teilnehmender = Fokus aufs Fachliche und maximaler Raum für individuelle Fragen.
Beschreibung
Schulungsziel
Die Kursteilnehmer erlangen professionelle Expertise im Umgang mit Burp Suite zur Durchführung umfassender Web-Application-Security-Assessments. Sie beherrschen sowohl automatisierte Scanning-Techniken als auch manuelle Exploitation-Methoden, können komplexe Vulnerability-Chains identifizieren und aussagekräftige Security-Reports erstellen. Die erworbenen Fähigkeiten befähigen zur selbstständigen Durchführung von Penetrationstests und Security-Audits.
Details
Inhalt
- Ziele und Erwartungen der Teilnehmenden
- Klärung individueller Lernziele und Erwartungen für ein praxisnahes und relevantes Seminar
- 1. Proxy-Konfiguration und Traffic-Interception
- Browser-Setup und Certificate-Installation meistern: Proxy-Einstellungen für verschiedene Browser konfigurieren, CA-Zertifikate korrekt importieren und SSL/TLS-Interception für HTTPS-Traffic aktivieren
- Scope-Definition und Target-Management: Interessante Hosts gezielt einschließen, Out-of-Scope-Bereiche ausschließen und automatische Session-Handling-Rules für komplexe Authentifizierungen einrichten
- Intercept-Rules und Match-Replace konfigurieren: Request-Manipulation in Echtzeit durchführen, automatische Header-Modifikation etablieren und Response-Modification-Rules für Testing-Szenarien entwickeln
- 2. Site-Mapping und Application-Discovery
- Crawler-Konfiguration optimieren: Spider-Settings für JavaScript-heavy Applications anpassen, Crawl-Depth und -Limits intelligent setzen und Form-Submission-Strategien definieren
- Content-Discovery-Techniken anwenden: Hidden Directories mit Wordlists aufspüren, Backup-Files und vergessene Endpoints identifizieren und API-Endpoints durch Pattern-Recognition finden
- Target-Analyse strukturieren: Sitemap-Tree interpretieren, Technology-Stack identifizieren und Attack-Surface systematisch dokumentieren
- 3. Scanner-Module und Vulnerability-Detection
- Scan-Konfiguration verfeinern: Active- und Passive-Scanning-Strategien kombinieren, Scan-Speed an Zielumgebung anpassen und False-Positive-Reduktion durch intelligente Filterung
- Issue-Typen und Severity-Level verstehen: OWASP-Top-10-Vulnerabilities erkennen, Business-Logic-Flaws aufspüren und Chain-Vulnerabilities für Impact-Maximierung identifizieren
- Custom-Scan-Profiles erstellen: Branchen-spezifische Testfälle definieren, Compliance-orientierte Scan-Templates entwickeln und Zeit-optimierte Quick-Scans konfigurieren
- 4. Repeater für manuelle Exploitation
- Request-Crafting-Techniken perfektionieren: Payload-Positionen strategisch wählen, Encoding-Schemata gezielt einsetzen und Multi-Step-Exploits orchestrieren
- Response-Analyse systematisieren: Timing-Unterschiede zur Blind-Exploitation nutzen, Size-Variations interpretieren und Header-Anomalien für Information-Disclosure ausnutzen
- Session-Token-Manipulation durchführen: JWT-Strukturen verstehen und modifizieren, Cookie-Poisoning-Angriffe testen und Authorization-Bypass-Szenarien validieren
- 5. Intruder für automatisierte Angriffe
- Attack-Type-Selection optimieren: Sniper für Single-Parameter-Testing, Battering-Ram für synchronized Payloads und Cluster-Bomb für kombinatorische Angriffe einsetzen
- Payload-Sets intelligent zusammenstellen: Wordlists effektiv nutzen, Custom-Payload-Generatoren entwickeln und Encoding-Chains für WAF-Bypass konstruieren
- Result-Analysis automatisieren: Grep-Match-Rules für interessante Responses definieren, Response-Clustering für Pattern-Erkennung nutzen und Success-Criteria präzise festlegen
- 6. Decoder und Comparer Tools
- Encoding-Schemata beherrschen: Base64, URL-Encoding und HTML-Entities dekodieren, verschachtelte Encodings Schritt für Schritt auflösen und Custom-Encoding-Schemes reverse-engineeren
- Hash-Funktionen analysieren: MD5, SHA-Varianten identifizieren, Salt-Detection durchführen und Rainbow-Table-Resistenz bewerten
- Response-Differenzen aufspüren: Time-based Blind-SQLi durch minimale Unterschiede erkennen, Authentication-Bypass durch Response-Variations identifizieren und Information-Leakage in Error-Messages finden
- 7. Sequencer für Randomness-Testing
- Token-Generation-Analyse durchführen: Session-IDs auf Entropie prüfen, Predictability-Patterns erkennen und Statistical-Tests interpretieren
- PRNG-Schwächen identifizieren: Seed-Recovery-Attacken verstehen, Time-based Predictability ausnutzen und Pattern-basierte Vorhersagen treffen
- Compliance-Validierung sicherstellen: Regulatory-Requirements für Token-Strength prüfen, Industry-Standards validieren und Remediation-Empfehlungen formulieren
- 8. Extensions und BApps-Ökosystem
- Essential-Extensions installieren: JWT-Editor für Token-Manipulation, Logger++ für Advanced-Logging und Autorize für Access-Control-Testing integrieren
- Custom-Extensions entwickeln: Burp-API verstehen, Python-Extensions schreiben und Java-basierte Erweiterungen für komplexe Logik erstellen
- Workflow-Automation realisieren: Repetitive Tasks durch Extensions automatisieren, Custom-Scan-Checks implementieren und Integration mit externen Tools aufbauen
- 9. Kollaboration und Reporting
- Project-Files effizient verwalten: Team-Sharing-Strategien entwickeln, Backup-Konzepte implementieren und Versionskontrolle für Pentest-Projekte etablieren
- Report-Generation optimieren: Executive-Summaries erstellen, Technical-Details strukturieren und Remediation-Guidance formulieren
- Integration in Bug-Bounty-Platforms: Findings effektiv dokumentieren, Proof-of-Concepts entwickeln und Severity-Ratings begründen
- 10. Advanced Exploitation Techniques
- Chained-Exploits konstruieren: CSRF zu RCE eskalieren, XSS für Account-Takeover nutzen und SSRF für Internal-Network-Access leveragen
- Out-of-Band-Techniken anwenden: DNS-Exfiltration durchführen, Burp-Collaborator effektiv einsetzen und Blind-Vulnerabilities zuverlässig bestätigen
- WAF-Bypass-Strategien entwickeln: Payload-Obfuscation meistern, Rate-Limiting umgehen und Filter-Evasion durch Creative-Encoding erreichen
- Praxisübung
- Vollständiges Security-Assessment einer vulnerable Web-Application: Systematische Enumeration aller Endpoints, Identifikation kritischer Vulnerabilities mittels Scanner und manueller Tests, Exploitation einer mehrstufigen Vulnerability-Chain bis zur vollständigen Systemübernahme, abschließende Erstellung eines professionellen Pentest-Reports mit Proof-of-Concepts und Remediation-Empfehlungen.
- Vollständiges Security-Assessment einer vulnerable Web-Application: Systematische Enumeration aller Endpoints, Identifikation kritischer Vulnerabilities mittels Scanner und manueller Tests, Exploitation einer mehrstufigen Vulnerability-Chain bis zur vollständigen Systemübernahme, abschließende Erstellung eines professionellen Pentest-Reports mit Proof-of-Concepts und Remediation-Empfehlungen.
Zielgruppe & Vorkenntnisse
- Penetration-Tester und Security-Analysten
- Application-Security-Engineers
- Web-Entwickler mit Security-Fokus
- Security-Auditoren und Compliance-Prüfer
- SOC-Analysten und Incident-Responder
- Bug-Bounty-Hunter und Ethical-Hacker
Ihre Schulung
In Präsenz | Online |
|---|---|
| Lernmethode | |
Ausgewogene Mischung aus Theorie und Praxis | Wie auch bei unseren Präsenz-Seminaren: Ausgewogene Mischung aus Theorie und praktischen Übungen. Trainer durchgehend präsent. |
| Unterlagen | |
Seminarunterlagen oder Fachbuch zum Seminar inklusive, das man nach Rücksprache mit dem Trainer individuell auswählen kann. | Seminarunterlagen oder Fachbuch inklusive (via DHL). Das Fachbuch wählt der Trainer passend zum Seminar aus - Ihren individuellen Buch-Wunsch berücksichtigen wir auf Nachfrage gerne. |
| Arbeitsplatz | |
| PC/VMs für jeden Teilnehmenden Hochwertige und performante Hardware Große, höhenverstellbare Bildschirme Zugang zu Ihrem Firmennetz erlaubt |
|
| Lernumgebung | |
Neu aufgesetzte Systeme für jeden Kurs in Abstimmung mit dem Seminarleiter. | |
| Arbeitsmaterialien | |
DIN A4 Block, Notizblock, Kugelschreiber, USB-Stick, Textmarker, Post-its | |
| Teilnahmezertifikat | |
Das Teilnahmezertifikat inkl. Inhaltsverzeichnis wird Ihnen am Ende des Seminars ausgehändigt. | Das Teilnahmezertifikat inkl. Inhaltsverzeichnis wird Ihnen via DHL zugesandt. |
Organisation
In Präsenz | Online | |
|---|---|---|
| Teilnehmendenzahl | ||
min. 1, max. 8 Personen | ||
| Garantierte Durchführung | ||
Ab 1 Teilnehmenden* | ||
| Schulungszeiten | ||
| ||
| Ort der Schulung | ||
 GFU SchulungszentrumAm Grauen Stein 27 51105 Köln-Deutz oder online im Virtual Classroom oder europaweit bei Ihnen als Inhouse-Schulung Um ein optimales Raumklima zu gewährleisten, haben wir das Schulungszentrum mit 17 hochmodernen Trotec TAC V+ Luftreinigern ausgestattet. Diese innovative Filtertechnologie (H14 zertifiziert nach DIN EN1822) sorgt dafür, dass die Raumluft mehrfach pro Stunde umgewälzt wird und Schadstoffe zu 99.995% im HEPA-Filter abgeschieden und infektiöse Aerosole abgetötet werden. Zusätzlich sind alle Räume mit CO2-Ampeln ausgestattet, um jederzeit eine hervorragende Luftqualität sicherzustellen. | ||
| Räumlichkeiten | ||
Helle und modern ausgestattete Räume mit perfekter Infrastruktur | Bequem aus dem Homeoffice von überall | |
| Preisvorteil | ||
Dritter Mitarbeitende nimmt kostenfrei teil. Eventuell anfallende Prüfungskosten für den dritten Teilnehmenden werden zusätzlich berechnet. Hinweis: Um den Erfolg der Schulung zu gewährleisten, sollte auch der dritte Teilnehmende die erwarteten Vorkenntnisse mitbringen. | ||
| KOMPASS — Förderung für Solo-Selbstständige | ||
Solo-Selbstständige können für dieses Seminar eine Förderung via KOMPASS beantragen. | ||
| All-Inclusive | ||
Gebäck, Snacks und Getränke ganztägig, Mittagessen im eigenen Restaurant, täglich 6 Menüs, auch vegetarisch | Eine Auswahl unserer Frühstücks-Snacks und Nervennahrungs-Highlights senden wir Ihnen mit den Seminarunterlagen via DHL zu. | |
| Barrierefreiheit | ||
Das GFU-Schulungszentrum (Am Grauen Stein 27) ist barrierefrei | - | |
Buchen ohne Risiko
| Rechnungsstellung |
Erst nach dem erfolgreichen Seminar. Keine Vorkasse. |
| Stornierung |
Kostenfrei bis zum Vortag des Seminars |
| Vormerken statt buchen |
Sichern Sie sich unverbindlich Ihren Seminarplatz schon vor der Buchung - auch wenn Sie selbst nicht berechtigt sind zu buchen |
Kostenfreie Services
In Präsenz | Online |
|---|---|
|
|
Buchungsmöglichkeiten
Online oder in Präsenz teilnehmen
Sie können sowohl Online als auch in Präsenz am Seminar teilnehmen. Klicken Sie bei Ihrer Buchung oder Anfrage einfach die entsprechende Option an.
Gesicherte offene Termine
| Termin | Ort | Preis | ||
|---|---|---|---|---|
| 2026 | ||||
| 09.03.-12.03.2026 Plätze vorhanden Köln / Online 2.530,00 | Köln / Online | 2.530,00 | Buchen Vormerken | |
| 18.05.-21.05.2026 Plätze vorhanden Köln / Online 2.530,00 | Köln / Online | 2.530,00 | Buchen Vormerken | |
| 20.07.-23.07.2026 Plätze vorhanden Köln / Online 2.530,00 | Köln / Online | 2.530,00 | Buchen Vormerken | |
| 21.09.-24.09.2026 Plätze vorhanden Köln / Online 2.530,00 | Köln / Online | 2.530,00 | Buchen Vormerken | |
| 23.11.-26.11.2026 Plätze vorhanden Köln / Online 2.530,00 | Köln / Online | 2.530,00 | Buchen Vormerken | |
- Lernumgebung in der Cloud
- Inhalte werden auf Wunsch an die Anforderungen Ihres Teams angepasst.
- Lernumgebung in der Cloud
- 1 Teilnehmender = Fokus aufs Fachliche und maximaler Raum für individuelle Fragen.
Unterstützung nach der Schulung durch
individuelle Nachbetreuung
- Alle folgenden Schulungsformen können auch Online als Virtual Classroom durchgeführt werden.
- Eine Offene Schulung findet zu einem festgelegten Zeitpunkt im voll ausgestatteten Schulungszentrum oder Online/Remote statt. Sie treffen auf Teilnehmende anderer Unternehmen und profitieren vom direkten Wissensaustausch.
- Eine Inhouse-/Firmen-Schulung geht auf die individuellen Bedürfnisse Ihres Unternehmens ein. Sie erhalten eine kostenfreie Beratung von Ihrem Seminarleiter und können Inhalte und Dauer auf Ihren Schulungsbedarf anpassen. Inhouse-Schulungen können Europaweit durchgeführt werden.
- Bei einer Individual-Schulung erhalten Sie eine 1-zu-1 Betreuung und bestimmen Inhalt, Zeit und Lerntempo. Der Dozent passt sich Ihren Wünschen und Bedürfnissen an.
Sie können unsere Schulungen auch als Remote Schulung im Virtual Classroom anfragen.
In drei Schritten zum Online Seminar im Virtual Classroom:
- Seminar auswählen und auf "Buchen" klicken
- Wählen Sie bei "Wie möchten Sie teilnehmen?" einfach "Online" aus.
- Formular ausfüllen und über den Button "Jetzt buchen" absenden.
Unser Kundenservice meldet sich bei Ihnen mit der Buchungsbestätigung.
Unsere Online Schulungen finden im Virtual Classroom statt. Ein Virtual Classroom bündelt mehrere Werkzeuge, wie Audio-Konferenz, Text-Chat, Interaktives Whiteboard, oder Application Sharing.
Vorteile von Virtual Classroom:
- Sie erhalten 1 zu 1 die gleiche Lernumgebung, die Sie auch vor Ort bei uns vorfinden
- Die technische Vorbereitung wird von den GFU-Technikern vorgenommen
- Sie erhalten remote Zugriff auf Ihren persönlichen Schulungs-PC im GFU-Seminarraum
- Die Virtual Classroom Lösung lässt sich auch im Browser betreiben
- Die GFU-Technik leistet wie gewohnt Soforthilfe bei Problemen
- Die Schulungsunterlagen bekommen Sie via DHL zugeschickt
- Sie sparen Reisekosten und Zeit
- 09. Mär. - 12. Mär. ✓ Noch einige Plätze frei ▶ Köln + Online/Remote
- 18. Mai - 21. Mai ✓ Noch einige Plätze frei ▶ Köln + Online/Remote
- 20. Jul. - 23. Jul. ✓ Noch einige Plätze frei ▶ Köln + Online/Remote
- 21. Sep. - 24. Sep. ✓ Noch einige Plätze frei ▶ Köln + Online/Remote
- 23. Nov. - 26. Nov. ✓ Noch einige Plätze frei ▶ Köln + Online/Remote
- Auch als Inhouse-Schulung, bundesweit mit Termin nach Wunsch und individuellen Inhalten
- Buchen ohne Risiko! Kostenfreie Stornierung bis zum Vortag des Seminars
Die Seminare der GFU finden in angenehmer Atmosphäre statt und sind perfekt organisiert. Profitieren Sie von dem Rundum-Service der GFU!
Machen Sie sich keinen Kopf um die Anreise! Unser Shuttle fährt Sie. Oder Sie parken einfach auf einem extra für Sie reservierten Parkplatz.
Hotelzimmer gesucht? Wir organisieren Ihnen eins. Ihr Vorteil: Sie sparen Zeit und Geld!
Stornierung bei offenen Seminaren kostenfrei bis einen Tag vor Schulungsbeginn.
Unsere Techniker sind immer zur Stelle, egal ob online oder vor Ort.