HackTheBank Logo
nl

Secure coding en OWASP trainingsprogramma

Stap in The Grid: een secure coding en OWASP trainingsprogramma van zes maanden waarin developers cybersecurity leren op de manier van een hacker. Elke maand ontgrendelt een nieuw hoofdstuk, beginnend bij kernkwetsbaarheden in webapplicaties, oplopend naar geavanceerde aanvalsvectoren en eindigend in een grootschalige simulatie.

Deze roadmap brengt je van beginnende indringer naar vaardige verdediger, met een combinatie van realistische exploits, storytelling en hands-on labs. Aan het einde herken je kwetsbare code, begrijp je OWASP-risico's en weet je hoe je ze voorkomt.

Maand 1

Recruitment

Bewijs jezelf door de kruimelsporen te volgen. Leer de basis: SQL injection, DoS en cryptografie. Niet via colleges, maar met korte hands-on demo's en begeleide micro-challenges. Elke challenge is gebaseerd op een echte aanval die daadwerkelijk heeft plaatsgevonden, nagebouwd in een gecontroleerde labomgeving.

Resultaat: Je kunt kernkwetsbaarheden herkennen en uitleggen met werkende demo's.

Maand 2

Rookie

Je eerste missie voor Sine Nomine begint. Je breekt in bij Solstice Bank om te ontdekken hoe de rijken hun geld witwassen. Maar hoe dieper je gaat, hoe duidelijker het wordt: Solstice is slechts het oppervlak. Alle sporen leiden naar Vaulture Capital, een veel groter doelwit.

Dit is niet zomaar één hack; het is het begin van iets groters. Via The Rabbit Hole verzamel je intelligence over Vaulture Capital, breng je hun systemen in kaart en scherp je je vaardigheden aan. Aan het einde van maand 2 heb je de OWASP Top 10 behandeld, je doelwitten geprofileerd en jezelf voorbereid op de ultieme heist.

Resultaat: Je kunt een app in kaart brengen, risico's prioriteren en een team briefen.

Maand 3

Novice

Gebruik alles wat je tot nu toe hebt geleerd om Vaulture Capital aan te pakken. Tijdens onze live sessie op locatie breek je in in de systemen van Vaulture Capital, een schimmige private bank met diepe zakken en vuile geheimen. Als team scan je, exploit je en exfiltreer je in real-time geld.

Maar daar stopt je missie niet. Na Hack the Bank duik je in de Bits n Bites-app, een realistisch mobiel deliveryplatform vol onveilige API's, gebroken authenticatie en misbruikbare XSS-paden. Je ontdekt hoe zwakke cryptografie en blind SQL injection kunnen leiden tot volledige account takeover. Belangrijker nog: je leert kritisch kijken naar onveilige patronen in moderne mobiele/websystemen en hoe je je bevindingen omzet in actie voor defenders.

Resultaat: Je kunt een ethische exploit-workflow ontwerpen en uitvoeren.

Uitgelichte track

Operation Bits n Bites

Operation Bits n Bites

Bits n Bites zet je middenin het Bits n Bites-platform: een strak ontworpen bezorgapp die Sine Nomine verdenkt van witwassen. Je dekmantel is een gewoon klantenaccount. Je missie: het financiele netwerk van binnenuit in kaart brengen. Daarvoor moet je gebroken toegangscontroles doorbreken, injecteerbare endpoints misbruiken, authenticatieflows omzeilen en transactiepatronen traceren die geen enkele legitieme bezorgapp ooit zou mogen produceren.

OWASP Top 10 (2025) dekking

  • A01Broken Access Control
    • Misbruik insecure direct object references om MFA-instellingen van andere gebruikers te benaderen.
    • Misbruik mass assignment-kwetsbaarheden om accounteigenaarschapsvelden te overschrijven die de API nooit had mogen blootstellen.
    • Maak gebruik van server-side request forgery via XML external entity injection om interne diensten te bereiken.
  • A02Security Misconfiguration
    • Herstel zogenaamd verwijderde berichten uit de localStorage van de browser die het platform vergat te wissen, waardoor de naam van de bank achter de witwasoperatie wordt onthuld.
  • A04Cryptographic Failures
    • Achterhaal hardcoded encryptiesleutels die zijn achtergebleven in client-side JavaScript en gebruik ze om beschermde chauffeurmetadata te ontsleutelen.
  • A05Injection
    • Voer boolean-based blind SQL injection uit tegen het zoekendpoint voor restaurants. Resultaten verschijnen of verdwijnen afhankelijk van geinjecteerde voorwaarden, waardoor data lekt die de UI was gebouwd om te verbergen.
    • Omzeil zwakke sanitisatiefilters met case-variation payloads om opgeslagen XSS af te leveren via de chat tussen chauffeur en vendor, en steel authenticatietokens in real time.
    • Bouw XXE-payloads die een XML-exportfunctie omzetten in een gateway naar interne financiele grootboeken.
  • A07Authentication Failures
    • Enumereer geldige accounts door te observeren hoe de loginflow anders reageert op geregistreerde en ongeregistreerde gebruikers.
    • Kaap MFA-flows door tweede-factor-uitdagingen om te leiden naar een account onder jouw controle, gebruik vervolgens de onderschepte codes om het wachtwoord van het doelwit te resetten en volledige controle te nemen.
  • A08Software and Data Integrity Failures
    • Misbruik een generiek update-endpoint dat geposte objecten blind koppelt zonder eigenaarschap te valideren, waardoor volledige MFA-kaping mogelijk is met een enkel zorgvuldig opgesteld verzoek.
Ontdek deze track
Maand 4

Intermediate

Geen enkel systeem is ondoordringbaar, want geen enkel systeem is zonder mensen. In de afgelopen maanden heb je code gehackt. Nu is het tijd om mensen te hacken. Deze maand stap je in de wereld van social engineering, waar exploits niet draaien om bugs, maar om gedrag.

Via phishing, pretexting, whaling en meer manipuleer je jezelf langs technische verdedigingslagen. Je verzamelt intelligence, kiest je doelwit en voert een volledige attack chain uit. Van eerste contact tot exfiltratie.

Resultaat: Je kunt social engineering-aanvallen herkennen, misbruiken en ertegen verdedigen.

Uitgelichte track

The Human Factor

The Human Factor

Elk slot heeft een sleutel. Elke sleutel heeft een persoon. In Human Factor volg je het geldspoor van Bits n Bites naar Banco Maximus, een bank die zichzelf profileert als een security-paranoide fintech, maar zijn vertrouwen legt bij zijn medewerkers. Je aanvalsoppervlak is geen code, het zijn gewoonten, ambities en het fundamentele menselijke verlangen om behulpzaam te zijn. Je voert open-source verkenning uit, bouwt doelwitdossiers op, maakt op maat gemaakte lokmiddelen en voert een volledige social-engineering campagne uit die klassieke pretexting combineert met moderne technieken zoals supply chain-analyse en AI prompt injection.

OWASP Top 10 (2025) dekking

  • A03Software Supply Chain Failures
    • Analyseer een software bill of materials om een kwaadaardig npm-package met ingebedde redirect-infrastructuur te identificeren, vergelijkbaar met aanvallen zoals event-stream (2018) en ua-parser-js (2021).
    • Oogst CI/CD job-tokens uit de pipelineconfiguratie van een gecompromitteerde developer om persistente toegang tot het buildsysteem te krijgen.
  • A05Injection
    • Bouw macro-gebaseerde payloads die URLDownloadToFile en WinExec aanroepen om remote binaries te downloaden en uit te voeren wanneer een doelwit een geladen document opent.
    • Stel prompt injection-payloads op verstopt in 1px witte tekst die AI-aangedreven e-mailassistenten manipuleren om credentials en persoonlijke data door te sturen naar een mailbox onder controle van de aanvaller.
  • A06Insecure Design
    • Extraheer namen en functies van medewerkers uit PDF-metadata die de organisatie vergat te scrubben voor publicatie.
    • Maak geo-tracking links verstopt achter legitieme Calendly-uitnodigingen en kruis IP-geolocatie met bekende kantoorlocaties om de fysieke omgeving van een doelwit in kaart te brengen.
Ontdek deze track
Maand 5

Advanced

Maand 5 begint bij ILIAS, een snelgroeiende AI scale-up met een gevaarlijk misconfigureerde cloud. Wat begint als een stray credential in een uitgebreide productielog, groeit uit tot een volledige organisatiecompromitatie. Je misbruikt VM-metadataservices, manipuleert IAM-rollen, leegt key vaults en escaleert naar subscription Owner. Twee paden, twee eindes, een vraag: hoe ver ga jij?

Dan valt de vloer weg. De cryptografische service Whisper CORE van Apex Meridian biedt geen voor de hand liggend aanvalsoppervlak. Geen injectiepunten. Geen gelekte tokens. Alleen gedrag. Je leert luisteren. Timing-gebaseerde side-channel analyse. Error oracle-aanvallen. Padding oracle-aanvallen, byte voor byte, totdat een volledig blok zijn geheim prijsgeeft. Statistische ontcijfering van bearer tokens. Je reconstrueert een intern API-overzicht uit fragmenten van service-responses en onthult verborgen datarelaties over meerdere data lakes.

Maand 5 is waar instinct checklists vervangt. Je zoekt niet meer naar de voor de hand liggende fout. Je leert het systeem lezen.

Resultaat: Je kunt cloud-misconfiguraties ketenen tot een volledige organisatiecompromitatie en geheimen extraheren uit systemen zonder duidelijk aanvalsoppervlak.

Uitgelichte track

Skyfall - Breach in the Cloud

Skyfall - Breach in the Cloud

ILIAS is een snelgroeiende AI-scale-up die de beslissingen nam die elk engineeringteam onder druk neemt: snel bewegen, vaak shippen, later opruimen. In Skyfall exploit je de gevolgen. Vanaf niets meer dan een publieke registratiepagina ontdek je dat een simpel account je in de interne Arceus-cloudtenant van ILIAS plaatst. Vanaf daar vind je SSH-credentials die uit Arceus Lens debuglogs lekken, pivot je via een deployment-VM door de metadata-service te bevragen, kraak je een secrets vault open met de Arceus CLI, escaleer je naar volledig directory-eigenaarschap via een service principal, en sta je voor een laatste keuze: stil opruimen of de hele omgeving laten instorten onder oplopende kosten.

OWASP Top 10 (2025) dekking

  • A01Broken Access Control
    • Ontdek dat een publieke registratieflow gebruikers toewijst aan de interne Arceus-cloudtenant van ILIAS, waardoor toegang wordt verleend tot infrastructuur die alleen voor medewerkers bedoeld is.
    • Bevraag de metadata-service van de deployment-VM om managed identity-tokens op te halen voor resources die de identiteit nooit had mogen bereiken.
    • Koppel een vault-secret aan de DevAI Automation Engine service principal en escaleer van externe gebruiker naar volledig directory Owner met een enkele roltoewijzing.
  • A02Security Misconfiguration
    • Extraheer SSH-credentials uit Arceus Lens debuglogs die productie-monitoring nooit was geconfigureerd om te onderdrukken.
    • Gebruik de Arceus CLI om VaultReader toe te wijzen aan de managed identity van een VM, en geef jezelf zo toegang tot secrets die service principal-credentials bevatten.
    • Schaal cloudresources naar hun maximale limieten als demonstratie van hoe onbeperkte resourcepolicies cost-based denial of service mogelijk maken.
Ontdek deze track
Maand 6

Graduate

Nog één hack. Nog één kans om te bewijzen dat je The Grid beheerst. Terwijl jij trainde, keek de vijand mee. Sine Nomine staat onder aanval. Een rivaliserende hackergroep heeft je voortgang gevolgd en komt nu voor de organisatie die jou heeft opgeleid. Jouw laatste missie: ga in de aanval. Infiltreer hun hackerforum op het dark web, het zenuwcentrum waar ze hun aanvallen coördineren. Om te slagen moet je denken als een aanvaller en als een verdediger. Analyseer het systeem. Exploit de zwaktes. Patch de fouten. En bovenal: overleef de breach met lessen die je kunt meenemen naar de echte wereld.

Dit is je laatste test. Haal het neer en studeer af van The Grid.

Resultaat: Je kunt echte systemen verdedigen met offensief inzicht en technische vaardigheid.

Klaar om The Grid te betreden?

Stap in een wereld waar theorie praktijk wordt en leren avontuur. The Grid biedt een unieke kans om cybersecurity te beheersen via realistische scenario's gebaseerd op echte security breaches. Of je nu een ervaren developer bent of een securityliefhebber, ons meeslepende programma transformeert je tot een vaardige verdediger die denkt als een hacker.

Leer niet alleen over kwetsbaarheden, maar buit ze uit, begrijp ze en leer hoe je ze voorkomt. Neem contact met ons op, betreed The Grid en word onderdeel van een elitegemeenschap van security-minded professionals die systemen kunnen beschermen tegen de dreigingen van morgen.

Neem contact op