×
1 Vælg EITC/EITCA-certifikater
2 Lær og tag online eksamener
3 Få dine IT-kompetencer certificeret

Bekræft dine it-færdigheder og -kompetencer under den europæiske it-certificeringsramme fra hvor som helst i verden, helt online.

EITCA Academy

Standard for attestering af digitale færdigheder af European IT Certification Institute med det formål at understøtte udviklingen af ​​det digitale samfund

Log ind på din konto af enten dit brugernavn eller e-mail-adresse

OPRET EN KONTO Glemt din adgangskode?

FORGÅ DIN DETALJER?

AAH, vent, jeg HUSK NU!

OPRET EN KONTO

HAR DU ALLEREDE EN BRUGER?
EUROPÆISKE INFORMATIONSTEKNOLOGIER CERTIFICERINGSAKADEMI - AT TESTE DINE FAGLIGE DIGITALE FÆRDIGHEDER
  • TILMELD DIG
  • LOGIN
  • INFO

EITCA Academy

EITCA Academy

Det Europæiske Institut for Certifikation af Informationsteknologi - EITCI ASBL

Certificeringsmyndighed

EITCI Instituttet

Bruxelles, Den Europæiske Union

Regulerende europæisk it-certificering (EITC) -standard til støtte for it-professionalisme og det digitale samfund

  • CERTIFIKATER
    • EITCA-AKADEMIER
      • EITCA ACADEMIES-KATALOG<
      • EITCA/CG COMPUTER GRAFIK
      • EITCA/ER INFORMATIONSSIKKERHED
      • EITCA/BI FORRETNINGSINFORMATION
      • EITCA/KC Nøglekompetencer
      • EITCA/EG E-REGERING
      • EITCA/WD WEB UDVIKLING
      • EITCA/AI KUNSTIG INTELLIGENCE
    • EITC-CERTIFIKATER
      • EITC CERTIFIKATER KATALOG<
      • COMPUTERGRAFIKCERTIFIKATER
      • WEB-DESIGNCERTIFIKATER
      • 3D-DESIGNCERTIFIKATER
      • KONTOR DETS CERTIFIKATER
      • BITCOIN BLOCKCHAIN ​​CERTIFIKAT
      • WORDPRESS CERTIFIKAT
      • CLOUD PLATFORM CERTIFIKATNY
    • EITC-CERTIFIKATER
      • INTERNETCERTIFIKATER
      • KRYPTOGRAFICERTIFIKATER
      • FORRETNINGSDET CERTIFIKATER
      • TELEVERKSCERTIFIKATER
      • PROGRAMMERINGSCERTIFIKATER
      • DIGITAL PORTRETSCERTIFIKAT
      • WEBUDVIKLINGSCERTIFIKATER
      • DYPE LÆRINGSCERTIFIKATERNY
    • CERTIFIKATER FOR
      • EU OFFENTLIG ADMINISTRATION
      • LÆRERE OG UDDANNELSE
      • DET SIKKERHEDSFORLIGERE
      • GRAFIK DESIGNERE & KUNSTNERE
      • BUSINESSMEN OG MANAGERS
      • BLOCKCHAIN-UDVIKLERE
      • WEB-UDVIKLERE
      • CLOUD AI EKSPERTERNY
  • SPECIAL
  • TILSKUD
  • SÅDAN VIRKER DET
  •   IT ID
  • OM
  • KONTAKT
  • MIN BESTILLING
    Din nuværende ordre er tom.
EITCIINSTITUTE
CERTIFIED

EITC/IS/WAPT webapplikations penetrationstest

by admin / Mandag, 18 oktober 2021 / Udgivet i Ikke kategoriseret
Nuværende status
Ikke tilmeldt
Pris
€110
Kom i gang
Tilmeld dig denne certificering

EITC/IS/WAPT Web Applications Penetration Testing er det europæiske IT-certificeringsprogram om teoretiske og praktiske aspekter af webapplikationspenetrationstest (white hacking), herunder forskellige teknikker til webstedsspidering, scanning og angrebsteknikker, herunder specialiserede penetrationstestværktøjer og suiter .

Læreplanen for EITC/IS/WAPT Web Applications Penetration Testing dækker introduktion til Burp Suite, web spidering og DVWA, brute force testing med Burp Suite, web application firewall (WAF) detektion med WAFW00F, target scope og spidering, opdagelse af skjulte filer med ZAP, WordPress sårbarhedsscanning og opregning af brugernavne, load balancer-scanning, cross-site scripting, XSS – reflekteret, lagret og DOM, proxyangreb, konfiguration af proxyen i ZAP, filer og mappeangreb, fil- og biblioteksopdagelse med DirBuster, praksis for webangreb , OWASP Juice Shop, CSRF – Cross Site Request Forgery, cookie-indsamling og reverse engineering, HTTP-attributter – cookie-tyveri, SQL-injektion, DotDotPwn – directory traversal fuzzing, iframe-injection og HTML-injection, Heartbleed exploit – opdagelse og udnyttelse, PHP-kodeinjektion, bWAPP – HTML-injektion, reflekteret POST, OS-kommandeinjektion med Commix, server-side inkluderer SSI-injektion, pentesting i Docker, OverTheWire Natas, LFI og kommandoinjektion, Google-hacking til penetrering, Google Dorks til penetrationstest, Apache2 ModSecurity samt Nginx ModSecurity inden for følgende struktur, der omfatter omfattende videodidaktisk indhold som reference for denne EITC-certificering.

Webapplikationssikkerhed (ofte omtalt som Web AppSec) er konceptet med at designe websteder til at fungere normalt, selv når de bliver angrebet. Begrebet er at integrere et sæt sikkerhedsforanstaltninger i en webapplikation for at beskytte dens aktiver mod fjendtlige agenter. Webapplikationer, som al software, er tilbøjelige til fejl. Nogle af disse fejl er faktiske sårbarheder, der kan udnyttes, hvilket udgør en risiko for virksomheder. Sådanne fejl beskyttes mod via webapplikationssikkerhed. Det indebærer anvendelse af sikre udviklingstilgange og indførelse af sikkerhedskontroller gennem hele softwareudviklingens livscyklus (SDLC), der sikrer, at designfejl og implementeringsproblemer løses. Online penetrationstest, som udføres af eksperter, der har til formål at afdække og udnytte webapplikationssårbarheder ved hjælp af en såkaldt white hacking-tilgang, er en væsentlig praksis for at muliggøre passende forsvar.

En webpenetrationstest, også kendt som en webpentest, simulerer et cyberangreb på en webapplikation for at finde udbyttelige fejl. Penetrationstest bruges ofte til at supplere en webapplikationsfirewall i forbindelse med webapplikationssikkerhed (WAF). Pentesting indebærer generelt forsøg på at trænge ind i et hvilket som helst antal applikationssystemer (f.eks. API'er, frontend/backend-servere) for at finde sårbarheder, såsom usanitiseret input, der er sårbart over for kodeinjektionsangreb.

Resultaterne af online penetrationstesten kan bruges til at konfigurere WAF-sikkerhedspolitikker og adressere opdagede sårbarheder.

Penetrationstest har fem trin.

Pen-testproceduren er opdelt i fem trin.

  1. Planlægning og spejderarbejde
    At definere omfanget og målene for en test, herunder de systemer, der skal behandles, og de testmetoder, der skal anvendes, er den første fase.
    For at få en bedre forståelse af, hvordan et mål fungerer og dets potentielle svagheder, skal du indsamle efterretninger (f.eks. netværks- og domænenavne, mailserver).
  2. Scanning
    Næste trin er at finde ud af, hvordan målapplikationen vil reagere på forskellige typer indtrængningsforsøg. Dette opnås normalt ved at anvende følgende metoder:
    Statisk analyse – Undersøgelse af en applikations kode for at forudsige, hvordan den vil opføre sig, når den køres. I et enkelt gennemløb kan disse værktøjer scanne hele koden.
    Dynamisk analyse er processen med at inspicere en applikations kode, mens den kører. Denne metode til scanning er mere praktisk, fordi den giver et realtidsbillede af en applikations ydeevne.
  3. At få adgang
    For at finde et måls svagheder bruger dette trin webapplikationsangreb såsom cross-site scripting, SQL-injektion og bagdøre. For at forstå den skade, som disse sårbarheder kan påføre, forsøger testere at udnytte dem ved at eskalere privilegier, stjæle data, opsnappe trafik og så videre.
  4. Holder adgangen
    Formålet med denne fase er at vurdere, om sårbarheden kan udnyttes til at etablere en langsigtet tilstedeværelse i det kompromitterede system, hvilket giver en dårlig aktør mulighed for at få dybdegående adgang. Målet er at efterligne avancerede vedvarende trusler, som kan forblive i et system i flere måneder for at stjæle en virksomheds mest følsomme oplysninger.
  5. Analyse
    Penetrationstestresultaterne sættes derefter i en rapport, der indeholder oplysninger som:
    Sårbarheder, der blev udnyttet i detaljer
    Data, der blev indhentet, var følsomme
    Mængden af ​​tid, pennetesteren var i stand til at forblive ubemærket i systemet.
    Sikkerhedseksperter bruger disse data til at hjælpe med at konfigurere en virksomheds WAF-indstillinger og andre applikationssikkerhedsløsninger for at reparere sårbarheder og forhindre yderligere angreb.

Metoder til gennemtrængningstestning

  • Ekstern penetrationstest fokuserer på en virksomheds aktiver, der er synlige på internettet, såsom selve webapplikationen, virksomhedens hjemmeside samt e-mail- og domænenavneservere (DNS). Målet er at få adgang til og udtrække nyttig information.
  • Intern test indebærer, at en tester har adgang til en applikation bag en virksomheds firewall, der simulerer et fjendtligt insiderangreb. Dette er ikke nødvendigt en slyngel medarbejdersimulering. En medarbejder, hvis legitimationsoplysninger er opnået som følge af et phishingforsøg, er et almindeligt udgangspunkt.
  • Blindtest er, når en tester blot får navnet på den virksomhed, der testes. Dette giver sikkerhedseksperter mulighed for at se, hvordan et faktisk applikationsangreb kan udspille sig i realtid.
  • Dobbelt-blind test: I en dobbelt-blind test er sikkerhedsprofessionelle ikke klar over det simulerede angreb på forhånd. De vil ikke nå at støtte deres befæstninger før et forsøg på brud, ligesom i den virkelige verden.
  • Målrettet test – i dette scenarie samarbejder testeren og sikkerhedspersonalet og holder styr på hinandens bevægelser. Dette er en fremragende træningsøvelse, der giver et sikkerhedsteam feedback i realtid fra en hackers perspektiv.

Webapplikations firewalls og penetrationstest

Penetrationstest og WAF'er er to separate, men komplementære sikkerhedsteknikker. Testeren vil sandsynligvis udnytte WAF-data, såsom logfiler, til at finde og udnytte en applikations svage områder i mange typer pentests (med undtagelse af blind- og dobbeltblindetests).

Til gengæld kan pentestdata hjælpe WAF-administratorer. Efter afslutningen af ​​en test kan WAF-konfigurationer ændres for at beskytte mod de fejl, der er opdaget under testen.

Endelig opfylder pentest visse af sikkerhedsrevisionsmetodernes overholdelseskrav, såsom PCI DSS og SOC 2. Visse krav, såsom PCI-DSS 6.6, kan kun opfyldes, hvis der anvendes en certificeret WAF. Men på grund af de førnævnte fordele og potentiale til at ændre WAF-indstillinger, gør dette ikke pennetest mindre nyttigt.

Hvad er betydningen af ​​test af websikkerhed?

Målet med websikkerhedstest er at identificere sikkerhedsfejl i webapplikationer og deres opsætning. Applikationslaget er det primære mål (dvs. hvad der kører på HTTP-protokollen). At sende forskellige former for input til en webapplikation for at fremkalde problemer og få systemet til at reagere på uventede måder er en almindelig tilgang til at teste dets sikkerhed. Disse "negative tests" ser for at se, om systemet gør noget, det ikke var beregnet til at opnå.

Det er også vigtigt at indse, at websikkerhedstest indebærer mere end blot at verificere applikationens sikkerhedsfunktioner (såsom godkendelse og autorisation). Det er også afgørende at sikre, at andre funktioner implementeres sikkert (f.eks. forretningslogik og brug af korrekt inputvalidering og outputkodning). Formålet er at sikre, at webapplikationens funktioner er sikre.

Hvad er de mange typer sikkerhedsvurderinger?

  • Test for Dynamic Application Security (DAST). Denne automatiserede applikationssikkerhedstest er bedst egnet til lavrisiko, internt-vendte apps, der skal opfylde lovmæssige sikkerhedskrav. At kombinere DAST med nogle manuelle online sikkerhedstests for almindelige sårbarheder er den bedste strategi for apps med mellemrisiko og vigtige applikationer, der gennemgår mindre ændringer.
  • Sikkerhedstjek for statiske applikationer (SAST). Denne applikationssikkerhedsstrategi omfatter både automatiserede og manuelle testmetoder. Den er ideel til at opdage fejl uden at skulle køre apps i et live miljø. Det giver også ingeniører mulighed for at scanne kildekoden for at opdage og rette softwaresikkerhedsfejl på en systematisk måde.
  • Penetrationsundersøgelse. Denne manuelle applikationssikkerhedstest er ideel til vigtige applikationer, især dem, der gennemgår væsentlige ændringer. For at finde avancerede angrebsscenarier bruger evalueringen forretningslogik og modstandsbaseret test.
  • Application Self-Protection in the Runtime (RASP). Denne voksende applikationssikkerhedsmetode inkorporerer en række teknologiske teknikker til at instrumentere en applikation, så trusler kan overvåges og forhåbentlig forhindres i realtid, når de opstår.

Hvilken rolle spiller applikationssikkerhedstest for at sænke virksomhedens risiko?

Langt de fleste angreb på webapplikationer omfatter:

  • SQL Injection
  • XSS (Cross Site Scripting)
  • Fjernkommandoudførelse
  • Path Traversal Angreb
  • Begrænset indholdsadgang
  • Kompromitterede brugerkonti
  • Installation af skadelig kode
  • Tabt salgsindtægt
  • Kundernes tillid eroderer
  • Skader brandets omdømme
  • Og en masse andre angreb

I dagens internetmiljø kan en webapplikation blive skadet af en række forskellige udfordringer. Grafikken ovenfor viser et par af de mest almindelige angreb begået af angribere, som hver især kan forårsage betydelig skade på en individuel applikation eller en hel virksomhed. At kende de mange angreb, der gør en applikation sårbar, samt de mulige resultater af et angreb, giver virksomheden mulighed for at løse sårbarheder på forhånd og effektivt teste for dem.

Afhjælpende kontroller kan etableres i de tidlige faser af SDLC for at forhindre problemer ved at identificere årsagen til sårbarheden. Under en webapplikationssikkerhedstest kan viden om, hvordan disse trusler virker, også bruges til at målrette mod kendte steder af interesse.

At erkende virkningen af ​​et angreb er også vigtigt for at styre virksomhedens risiko, da virkningerne af et vellykket angreb kan bruges til at bestemme alvoren af ​​sårbarheden generelt. Hvis sårbarheder opdages under en sikkerhedstest, giver en bestemmelse af deres alvor mulighed for, at virksomheden kan prioritere afhjælpende indsats mere effektivt. For at reducere risikoen for virksomheden skal du starte med kritiske alvorlighedsproblemer og arbejde dig ned til dem, der har mindre effekt.

Før du identificerer et problem, vil vurdering af den mulige effekt af hvert program i virksomhedens applikationsbibliotek hjælpe dig med at prioritere applikationssikkerhedstest. Wenb-sikkerhedstest kan planlægges til først at målrette virksomhedens kritiske applikationer, med mere målrettede tests for at mindske risikoen mod virksomheden. Med en etableret liste over højprofilerede applikationer kan wenb-sikkerhedstest planlægges til først at målrette virksomhedens kritiske applikationer, med mere målrettet test for at sænke risikoen mod virksomheden.

Hvilke funktioner skal undersøges under en webapplikationssikkerhedstest?

Under webapplikationssikkerhedstest skal du overveje følgende ikke-udtømmende liste over funktioner. En ineffektiv implementering af hver enkelt kan resultere i svagheder, hvilket bringer virksomheden i fare.

  • Konfiguration af applikation og server. Kryptering/kryptografiske opsætninger, webserverkonfigurationer og så videre er alle eksempler på potentielle fejl.
  • Validering af input- og fejlhåndtering Dårlig input- og outputbehandling fører til SQL-injektion, cross-site scripting (XSS) og andre typiske injektionsproblemer.
  • Autentificering og vedligeholdelse af sessioner. Sårbarheder, der kan føre til brugerefterligning. Credential styrke og beskyttelse bør også tages i betragtning.
  • Bemyndigelse. Applikationens kapacitet til at beskytte mod vertikale og horisontale privilegieeskalationer er ved at blive testet.
  • Logik i erhvervslivet. De fleste programmer, der leverer forretningsfunktionalitet, er afhængige af disse.
  • Logik i klientens ende. Denne type funktion er ved at blive mere almindelig med moderne, JavaScript-tunge websider, såvel som websider, der bruger andre typer klientsideteknologier (f.eks. Silverlight, Flash, Java-applets).

For at gøre dig nærmere bekendt med certificeringspensum kan du udvide og analysere nedenstående tabel.

EITC/IS/WAPT Web Applications Penetration Testing Certification Curriculum refererer til didaktisk materiale med åben adgang i en videoform. Læreprocessen er opdelt i en trin-for-trin struktur (programmer -> lektioner -> emner), der dækker relevante læseplansdele. Der tilbydes også ubegrænset rådgivning med domæneeksperter.
Tjek for detaljer om certificeringsproceduren Sådan fungerer det.

Certificeringsprogram Curriculum

Udvid alle
Kom godt i gang 1 emne
Udvid
Lektionsindhold
0% Komplet 0/1 trin
Introduktion til Burp Suite
Edderkopper 1 emne
Udvid
Lektionsindhold
0% Komplet 0/1 trin
Spidering og DVWA
Brute force test 1 emne
Udvid
Lektionsindhold
0% Komplet 0/1 trin
Brute force test med Burp Suite
Firewall-detektering 1 emne
Udvid
Lektionsindhold
0% Komplet 0/1 trin
Webapplikations firewalldetektion med WAFW00F
Målomfang 1 emne
Udvid
Lektionsindhold
0% Komplet 0/1 trin
Target scope og spidering
Skjulte filer 1 emne
Udvid
Lektionsindhold
0% Komplet 0/1 trin
Opdag skjulte filer med ZAP
WordPress 1 emne
Udvid
Lektionsindhold
0% Komplet 0/1 trin
WordPress sårbarhedsscanning og opregning af brugernavn
Lastbalancering 1 emne
Udvid
Lektionsindhold
0% Komplet 0/1 trin
Load balancer scanning
Cross-site scripting 1 emne
Udvid
Lektionsindhold
0% Komplet 0/1 trin
XSS – reflekteret, lagret og DOM
Proxy angreb 1 emne
Udvid
Lektionsindhold
0% Komplet 0/1 trin
ZAP – konfiguration af proxyen
Filer og mapper angreb 1 emne
Udvid
Lektionsindhold
0% Komplet 0/1 trin
Fil- og biblioteksopdagelse med DirBuster
Praksis for webangreb 13 emner
Udvid
Lektionsindhold
0% Komplet 0/13 trin
Installation af OWASP Juice Shop
CSRF – Cross Site Request Forgery
Cookieindsamling og reverse engineering
HTTP-attributter – tyveri af cookies
OWASP Juice Shop – SQL-injektion
DotDotPwn – mappegennemgang fuzzing
Iframe-injektion og HTML-injektion
Heartbleed Exploit – opdagelse og udnyttelse
PHP kode indsprøjtning
bWAPP – HTML-injektion – reflekteret POST
bWAPP – HTML-injektion – lagret – blog
bWAPP – OS kommandoinjektion med Commix
bWAPP – Server-Side Inkluder SSI-injektion
Pentesting i Docker 2 emner
Udvid
Lektionsindhold
0% Komplet 0/2 trin
Docker til pentesting
Docker til pentesting på Windows
OverTheWire Natas 2 emner
Udvid
Lektionsindhold
0% Komplet 0/2 trin
OverTheWire Natas gennemgang – niveau 0-4
OverTheWire Natas gennemgang – niveau 5-10 – LFI og kommandoinjektion
Google hacker til pentesting 1 emne
Udvid
Lektionsindhold
0% Komplet 0/1 trin
Google Dorks Til penetrationstest
ModSecurity 2 emner
Udvid
Lektionsindhold
0% Komplet 0/2 trin
Apache2 ModSecurity
Nginx ModSecurity
EITC/IS/WAPT webapplikations penetrationstest
  • Tweet

Om admin

Forside » Min profil

Certificeringscenter

Program Hjem Udvid alle
Kom godt i gang
1 emne
Introduktion til Burp Suite
Edderkopper
1 emne
Spidering og DVWA
Brute force test
1 emne
Brute force test med Burp Suite
Firewall-detektering
1 emne
Webapplikations firewalldetektion med WAFW00F
Målomfang
1 emne
Target scope og spidering
Skjulte filer
1 emne
Opdag skjulte filer med ZAP
WordPress
1 emne
WordPress sårbarhedsscanning og opregning af brugernavn
Lastbalancering
1 emne
Load balancer scanning
Cross-site scripting
1 emne
XSS – reflekteret, lagret og DOM
Proxy angreb
1 emne
ZAP – konfiguration af proxyen
Filer og mapper angreb
1 emne
Fil- og biblioteksopdagelse med DirBuster
Praksis for webangreb
13 emner
Installation af OWASP Juice Shop
CSRF – Cross Site Request Forgery
Cookieindsamling og reverse engineering
HTTP-attributter – tyveri af cookies
OWASP Juice Shop – SQL-injektion
DotDotPwn – mappegennemgang fuzzing
Iframe-injektion og HTML-injektion
Heartbleed Exploit – opdagelse og udnyttelse
PHP kode indsprøjtning
bWAPP – HTML-injektion – reflekteret POST
bWAPP – HTML-injektion – lagret – blog
bWAPP – OS kommandoinjektion med Commix
bWAPP – Server-Side Inkluder SSI-injektion
Pentesting i Docker
2 emner
Docker til pentesting
Docker til pentesting på Windows
OverTheWire Natas
2 emner
OverTheWire Natas gennemgang – niveau 0-4
OverTheWire Natas gennemgang – niveau 5-10 – LFI og kommandoinjektion
Google hacker til pentesting
1 emne
Google Dorks Til penetrationstest
ModSecurity
2 emner
Apache2 ModSecurity
Nginx ModSecurity
EITC/IS/WAPT webapplikations penetrationstest

BRUGERMENU

  • Mine reservationer

CERTIFIKATKATEGORI

  • EITC-certificering (105)
  • EITCA-certificering (9)

Hvad leder du efter?

  • Introduktion
  • Hvordan det virker?
  • EITCA akademier
  • EITCI DSJC-tilskud
  • Fuldt EITC-katalog
  • Din ordre
  • Udvalgt
  •   IT ID
  • Om
  • Kontakt

    EITCA Akademiets administrative kontor

    Europæisk IT-certificeringsinstitut
    Bruxelles, Belgien, Den Europæiske Union

    EITC/EITCA Certification Authority
    Gældende europæisk it-certificeringsstandard
    Adgang kontaktformular eller opkald + 32 25887351

    13 dage siden #EITC/WD/WPF WordPress Fundamentals-certifikat (en del af #EITCA/WD) attesterer ekspertise i #WordPress CMS, i... https://t.co/A2jjXPeKgj
    Følg @EITCI

    Oversæt automatisk til dit sprog

    Vilkår & Betingelser | Privatlivspolitik
    Følg @EITCI
    EITCA Academy
    • EITCA Academy på sociale medier
    EITCA Academy


    © 2008-2023  Europæisk IT-certificeringsinstitut
    Bruxelles, Belgien, Den Europæiske Union

    TOP
    Chat med support
    Chat med support
    Spørgsmål, tvivl, problemer? Vi er her for at hjælpe dig!
    Afslut chat
    Tilslutning ...
    Har du et spørgsmål? Spørg os!
    Har du et spørgsmål? Spørg os!
    :
    :
    :
    Send
    Har du et spørgsmål? Spørg os!
    :
    :
    Start chat
    Chat-sessionen er afsluttet. Tak skal du have!
    Bedøm den support, du har modtaget.
    god Bad