Er zijn twee soorten mensen op deze wereld: mensen die weten dat hun wachtwoord "Welkom123" is, en mensen die weten dat het wachtwoord van die eerste groep "Welkom123" is. De mijn boeken zijn geschreven voor die tweede groep — en eerlijk gezegd, als je tot de eerste groep behoort, zou je ze misschien nog harder nodig hebben.
Drie delen, één missie: alles kapotmaken (op een nette manier)
Laten we even stilstaan bij het fenomeen pentesting. Je wordt letterlijk betaald om in te breken in systemen. Dat is alsof een slotenmaker zegt: "Ik ga nu proberen uw voordeur open te krijgen, en als het lukt stuurt u mij een factuur." Het is een van de weinige beroepen waar je beloond wordt voor het aantonen dat iemand anders zijn werk niet goed heeft gedaan. Prachtig vak.
Jan-Karel Visser heeft de vriendelijkheid gehad om deze duistere kunst in drie overzichtelijke delen te gieten. Niet omdat hij de wereld wil leren hacken — hoewel dat een amusant bijeffect is — maar omdat iemand eindelijk eens in gewoon Nederlands moest opschrijven hoe dit in de praktijk werkt.
Deel I: De Webapplicatie
Het eerste deel gaat over webapplicaties, en als je ooit een contactformulier hebt gebouwd en dacht "dit is vast veilig genoeg", dan heb ik slecht nieuws voor je.
In vijftien hoofdstukken neem ik je mee van netwerkverkenning tot de uiteindelijke verslaglegging. Onderweg passeer je SQL-injectie (de grootvader van alle webfouten — hij bestaat al sinds de jaren negentig en weigert met pensioen te gaan), cross-site scripting, command injection, path traversal, deserialisatiefouten en authenticatieproblemen.
Wat dit boek onderscheidt van de gemiddelde "hacking for dummies"-gids is de praktische aanpak. Dit is geen theoretisch geneuzel. Het is: hier is het probleem, hier is hoe je het vindt, hier is hoe je het uitbuit, en hier is hoe je het netjes opschrijft zodat je opdrachtgever het begrijpt. Want laten we eerlijk zijn — de helft van pentesting is uitleggen aan een directeur waarom die ene kwetsbaarheid echt wel een probleem is, ook al "heeft niemand er ooit misbruik van gemaakt".
Deel II: Het Netwerk
Dan het tweede deel: netwerken en Active Directory. Nu betreden we het territorium waar IT-beheerders 's nachts wakker van liggen. Active Directory is dat prachtige systeem dat Microsoft heeft bedacht om alles met alles te verbinden — en daarmee ook alles kwetsbaar te maken voor alles.
Zestien hoofdstukken over initiële toegang, privilege-escalatie, Kerberos-aanvallen (ja, vernoemd naar de driekoppige hellehond — en even onvriendelijk als je het verkeerd configureert), ADCS en persistentietechnieken. Dat laatste is een eufemisme voor: hoe zorg je ervoor dat je toegang houdt, zelfs als iemand je probeert buiten te zetten. Het is een beetje alsof je een huissleutel laat bijmaken terwijl je eigenlijk een inbreker bent. Maar dan legaal.
Het fascinerende aan netwerkpentesting is dat één verkeerd geconfigureerde service account met te veel rechten het verschil kan maken tussen "alles is veilig" en "we hebben een probleem van strategische omvang". En leg uit uit hoe die keten werkt — van die ene open poort tot volledige domeinoverheersing.
Deel III: De Cloud
En dan de cloud. Ah, de cloud. Dat magische woord dat eigenlijk gewoon betekent: "de computer van iemand anders." Maar dan wel de computer van iemand anders waar al je bedrijfsgeheimen op staan.
In dertien hoofdstukken behandelen we AWS, Azure en GCP — de drie grote cloudproviders die samen verantwoordelijk zijn voor het overgrote deel van alle "het lag aan een misconfiguratie"-incidenten wereldwijd. Containerbeveiliging, CI/CD-pipeline-aanvallen en serverless-exploitatie komen allemaal aan bod.
Wat de cloud zo bijzonder maakt voor pentesters is dat de aanvalsoppervlakte gigantisch is en voortdurend verandert. Elke week lanceert AWS weer een nieuwe service met een naam die klinkt alsof iemand willekeurig Scrabble-letters heeft getrokken, en elke nieuwe service is weer een nieuwe kans op misconfiguratie. Het boek brengt hier structuur in aan, en dat is op zich al een prestatie.
De waarde: meer dan de som der pagina's
Hier is het punt waar ik even serieus word — want ja, dat kan ook.
De echte waarde van deze boekenreeks zit niet alleen in de technische kennis. Die kun je ook vergaren door jarenlang CTF-challenges te doen, obscure blogposts te lezen en conferentiepresentaties te bekijken tot je ogen ervan tranen. De waarde zit in de structuur.
Ik presenteer penetratietesten als een methodisch proces: van verkenning via exploitatie tot rapportage met CVSS 4.0-standaarden. Dat is precies hoe het in de professionele praktijk werkt. Geen cowboy-hacking, geen "ik heb een exploit gevonden op GitHub en nu ga ik kijken wat er gebeurt." Maar een gestructureerde aanpak die je kunt verantwoorden naar je opdrachtgever.
En dat is zeldzaam. Er zijn genoeg bronnen die je leren hoe je een buffer overflow uitvoert. Er zijn aanzienlijk minder bronnen — en al helemaal in het Nederlands — die je leren hoe je een complete pentetratietest uitvoert van begin tot eind, op een manier die professioneel, herhaalbaar en verdedigbaar is.
Voor wie zijn deze boeken?
Als je een aspirant-pentester bent: dit is je leeslijst. Als je een IT-beheerder bent: dit is je angstlijst. Als je een CISO bent: dit is je boodschappenlijst (voor het volgende budget-overleg). En als je een directeur bent die denkt dat cybersecurity "iets voor de IT-afdeling" is: lees deel I, slaap er een nachtje over, en bel dan je IT-manager.
De boeken zijn te vinden op certifiedhacker.nl — een URL die ongetwijfeld gefilterd wordt door menig bedrijfsfirewall, wat op zichzelf al een mooi compliment is.