×
1 Vælg EITC/EITCA-certifikater
2 Lær og tag online eksamener
3 Få dine IT-kompetencer certificeret

Bekræft dine it-færdigheder og -kompetencer under den europæiske it-certificeringsramme fra hvor som helst i verden, helt online.

EITCA Academy

Standard for attestering af digitale færdigheder af European IT Certification Institute med det formål at understøtte udviklingen af ​​det digitale samfund

Log ind på din konto af enten dit brugernavn eller e-mail-adresse

OPRET EN KONTO Glemt din adgangskode?

FORGÅ DIN DETALJER?

AAH, vent, jeg HUSK NU!

OPRET EN KONTO

HAR DU ALLEREDE EN BRUGER?
EUROPÆISKE INFORMATIONSTEKNOLOGIER CERTIFICERINGSAKADEMI - AT TESTE DINE FAGLIGE DIGITALE FÆRDIGHEDER
  • TILMELD DIG
  • LOGIN
  • INFO

EITCA Academy

EITCA Academy

Det Europæiske Institut for Certifikation af Informationsteknologi - EITCI ASBL

Certificeringsmyndighed

EITCI Instituttet

Bruxelles, Den Europæiske Union

Regulerende europæisk it-certificering (EITC) -standard til støtte for it-professionalisme og det digitale samfund

  • CERTIFIKATER
    • EITCA-AKADEMIER
      • EITCA ACADEMIES-KATALOG<
      • EITCA/CG COMPUTER GRAFIK
      • EITCA/ER INFORMATIONSSIKKERHED
      • EITCA/BI FORRETNINGSINFORMATION
      • EITCA/KC Nøglekompetencer
      • EITCA/EG E-REGERING
      • EITCA/WD WEB UDVIKLING
      • EITCA/AI KUNSTIG INTELLIGENCE
    • EITC-CERTIFIKATER
      • EITC CERTIFIKATER KATALOG<
      • COMPUTERGRAFIKCERTIFIKATER
      • WEB-DESIGNCERTIFIKATER
      • 3D-DESIGNCERTIFIKATER
      • KONTOR DETS CERTIFIKATER
      • BITCOIN BLOCKCHAIN ​​CERTIFIKAT
      • WORDPRESS CERTIFIKAT
      • CLOUD PLATFORM CERTIFIKATNY
    • EITC-CERTIFIKATER
      • INTERNETCERTIFIKATER
      • KRYPTOGRAFICERTIFIKATER
      • FORRETNINGSDET CERTIFIKATER
      • TELEVERKSCERTIFIKATER
      • PROGRAMMERINGSCERTIFIKATER
      • DIGITAL PORTRETSCERTIFIKAT
      • WEBUDVIKLINGSCERTIFIKATER
      • DYPE LÆRINGSCERTIFIKATERNY
    • CERTIFIKATER FOR
      • EU OFFENTLIG ADMINISTRATION
      • LÆRERE OG UDDANNELSE
      • DET SIKKERHEDSFORLIGERE
      • GRAFIK DESIGNERE & KUNSTNERE
      • BUSINESSMEN OG MANAGERS
      • BLOCKCHAIN-UDVIKLERE
      • WEB-UDVIKLERE
      • CLOUD AI EKSPERTERNY
  • SPECIAL
  • TILSKUD
  • SÅDAN VIRKER DET
  •   IT ID
  • OM
  • KONTAKT
  • MIN BESTILLING
    Din nuværende ordre er tom.
EITCIINSTITUTE
CERTIFIED

EITC/IS/WASF Web Applications Security Fundamentals

by admin / Mandag, 18 oktober 2021 / Udgivet i Ikke kategoriseret
Nuværende status
Ikke tilmeldt
Pris
€110
Kom i gang
Tilmeld dig denne certificering

EITC/IS/WASF Web Applications Security Fundamentals er det europæiske IT-certificeringsprogram om teoretiske og praktiske aspekter af World Wide Web-tjenesters sikkerhed lige fra sikkerheden af ​​grundlæggende webprotokoller, gennem privatlivets fred, trusler og angreb på forskellige lag af webtrafik, netværkskommunikation, web serversikkerhed, sikkerhed i højere lag, herunder webbrowsere og webapplikationer, samt autentificering, certifikater og phising.

Læseplanen for EITC/IS/WASF Web Applications Security Fundamentals dækker introduktion til HTML- og JavaScript-websikkerhedsaspekter, DNS, HTTP, cookies, sessioner, cookie- og sessionangreb, Samme Origin Policy, Cross-Site Request Forgery, undtagelser fra det samme Oprindelsespolitik, Cross-Site Scripting (XSS), Cross-Site Scripting-forsvar, webfingeraftryk, privatliv på nettet, DoS, phishing og sidekanaler, Denial-of-Service, phishing og sidekanaler, injektionsangreb, kodeinjektion, transport lagsikkerhed (TLS) og angreb, HTTPS i den virkelige verden, autentificering, WebAuthn, styring af websikkerhed, sikkerhedsproblemer i Node.js-projektet, serversikkerhed, sikker kodningspraksis, lokal HTTP-serversikkerhed, DNS-genbindingsangreb, browserangreb, browser arkitektur, samt skrivning af sikker browserkode, inden for følgende struktur, der omfatter omfattende videodidaktisk indhold som reference for denne EITC-certificering.

Webapplikationssikkerhed er en delmængde af informationssikkerhed, der fokuserer på websteds-, webapplikations- og webservicesikkerhed. Webapplikationssikkerhed er på sit mest basale niveau baseret på applikationssikkerhedsprincipper, men den anvender dem især på internettet og webplatforme. Webapplikationssikkerhedsteknologier, såsom webapplikationsfirewalls, er specialiserede værktøjer til at arbejde med HTTP-trafik.

Open Web Application Security Project (OWASP) tilbyder ressourcer, der er både gratis og åbne. En non-profit OWASP Foundation er ansvarlig for det. 2017 OWASP Top 10 er resultatet af den aktuelle undersøgelse baseret på omfattende data indsamlet fra over 40 partnerorganisationer. Cirka 2.3 millioner sårbarheder blev opdaget på tværs af over 50,000 applikationer, der bruger disse data. De ti mest kritiske sikkerhedsproblemer for onlineapplikationer ifølge OWASP Top 10 – 2017 er:

  • Injektion
  • Godkendelsesproblemer
  • Eksponerede følsomme data XML eksterne enheder (XXE)
  • Adgangskontrol, der ikke virker
  • Fejlkonfiguration af sikkerhed
  • Site-to-site scripting (XSS)
  • Deserialisering, der ikke er sikker
  • Brug af komponenter, der har kendte fejl
  • Logning og overvågning er utilstrækkelig.

Derfor er praksis med at forsvare websteder og onlinetjenester mod forskellige sikkerhedstrusler, der udnytter svagheder i en applikations kode, kendt som webapplikationssikkerhed. Indholdsstyringssystemer (f.eks. WordPress), databaseadministrationsværktøjer (f.eks. phpMyAdmin) og SaaS-apps er alle almindelige mål for online-applikationsangreb.

Webapplikationer betragtes som højprioriterede mål af gerningsmændene, fordi:

  • På grund af den indviklede kildekode, er uovervågede sårbarheder og ondsindet kodeændring mere sandsynlig.
  • Belønninger af høj værdi, såsom følsomme personlige oplysninger opnået gennem effektiv kildekodemanipulation.
  • Nem henrettelse, fordi de fleste overfald let kan automatiseres og udsendes vilkårligt mod tusinder, tiere eller endda hundredtusinder af mål på én gang.
  • Organisationer, der undlader at beskytte deres webapplikationer, er sårbare over for angreb. Dette kan blandt andet føre til datatyveri, anstrengte klientforhold, annullerede licenser og retslige skridt.

Sårbarheder på websteder

Input/output-saneringsfejl er almindelige i webapplikationer, og de bliver ofte udnyttet til enten at ændre kildekode eller få uautoriseret adgang.

Disse fejl giver mulighed for udnyttelse af en række forskellige angrebsvektorer, herunder:

  • SQL-injektion – Når en gerningsmand manipulerer en backend-database med ondsindet SQL-kode, afsløres information. Ulovlig listesøgning, sletning af tabeller og uautoriseret administratoradgang er blandt konsekvenserne.
  • XSS (Cross-site Scripting) er et injektionsangreb, der retter sig mod brugere for at få adgang til konti, aktivere trojanske heste eller ændre sideindhold. Når skadelig kode injiceres direkte i en applikation, er dette kendt som lagret XSS. Når ondsindet script spejles fra et program til en brugers browser, er dette kendt som reflekteret XSS.
  • Fjern filinkludering - Denne form for angreb gør det muligt for en hacker at injicere en fil i en webapplikationsserver fra en fjernplacering. Dette kan føre til, at farlige scripts eller kode udføres i appen, samt datatyveri eller ændring.
  • Cross-site Request Forgery (CSRF) – En type angreb, der kan resultere i en utilsigtet overførsel af kontanter, ændringer af adgangskode eller datatyveri. Det opstår, når et ondsindet webprogram instruerer en brugers browser til at udføre en uønsket handling på et websted, som de er logget ind på.

I teorien kan effektiv input/output-sanering udrydde alle sårbarheder, hvilket gør en applikation uigennemtrængelig for uautoriserede ændringer.

Men fordi de fleste programmer er i en evig udviklingstilstand, er omfattende desinficering sjældent en levedygtig mulighed. Desuden er apps almindeligvis integreret med hinanden, hvilket resulterer i et kodet miljø, der bliver mere og mere komplekst.

For at undgå sådanne farer bør webapplikationssikkerhedsløsninger og -processer, såsom PCI Data Security Standard (PCI DSS)-certificering, implementeres.

Firewall til webapplikationer (WAF)

WAF'er (webapplikationsfirewalls) er hardware- og softwareløsninger, der beskytter applikationer mod sikkerhedstrusler. Disse løsninger er designet til at inspicere indgående trafik for at detektere og blokere angrebsforsøg, og kompensere for eventuelle kodesaneringsfejl.

WAF-implementering adresserer et afgørende kriterium for PCI DSS-certificering ved at beskytte data mod tyveri og modifikation. Alle kredit- og betalingskortholderdata, der opbevares i en database, skal beskyttes i henhold til krav 6.6.

Fordi det er sat foran sin DMZ ved netværkets kant, kræver etablering af en WAF normalt ikke nogen ændringer af en applikation. Det fungerer derefter som en gateway for al indgående trafik, og filtrerer farlige anmodninger fra, før de kan interagere med en applikation.

For at vurdere, hvilken trafik der har adgang til en applikation, og hvilken der skal luges ud, anvender WAF'er en række forskellige heuristika. De kan hurtigt identificere ondsindede aktører og kendte angrebsvektorer takket være en regelmæssigt opdateret signaturpulje.

Næsten alle WAF'er kan skræddersyes til individuelle brugssager og sikkerhedsbestemmelser, såvel som bekæmpelse af nye (også kendt som zero-day) trusler. Endelig, for at opnå yderligere indsigt i indkommende besøgende, bruger de fleste moderne løsninger omdømme- og adfærdsdata.

For at bygge en sikkerhedsperimeter kombineres WAF'er normalt med yderligere sikkerhedsløsninger. Disse kunne omfatte distribuerede denial-of-service (DDoS) forebyggelsestjenester, som giver den ekstra skalerbarhed, der er nødvendig for at forhindre angreb i store mængder.

Tjekliste til webapplikationssikkerhed
Der er en række forskellige tilgange til beskyttelse af webapps ud over WAF'er. Enhver webapplikationssikkerhedstjekliste bør omfatte følgende procedurer:

  • Indsamling af data — Gennemgå applikationen manuelt, og se efter indgangspunkter og koder på klientsiden. Klassificer indhold, der hostes af en tredjepart.
  • Autorisation — Se efter stigennemløb, problemer med lodret og horisontal adgangskontrol, manglende autorisation og usikre, direkte objektreferencer, når du tester applikationen.
  • Sikre alle datatransmissioner med kryptografi. Er nogen følsomme oplysninger blevet krypteret? Har du brugt nogen algoritmer, der ikke er til snus? Er der nogen tilfældighedsfejl?
  • Denial of service — Test for anti-automatisering, kontolås, HTTP-protokol DoS og SQL wildcard DoS for at forbedre en applikations modstandsdygtighed mod lammelsesangreb. Dette inkluderer ikke sikkerhed mod højvolumen DoS- og DDoS-angreb, som kræver en blanding af filtreringsteknologier og skalerbare ressourcer for at modstå.

For yderligere detaljer kan man tjekke OWASP Web Application Security Testing Cheat Sheet (det er også en fantastisk ressource til andre sikkerhedsrelaterede emner).

DDoS beskyttelse

DDoS-angreb eller distribuerede denial-of-service-angreb er en typisk måde at afbryde en webapplikation på. Der er en række tilgange til at afbøde DDoS-angreb, herunder kassering af volumetrisk angrebstrafik på Content Delivery Networks (CDN'er) og brug af eksterne netværk til at rute ægte anmodninger korrekt uden at forårsage en tjenesteafbrydelse.

DNSSEC (Domain Name System Security Extensions) beskyttelse

Domænenavnesystemet, eller DNS, er internettets telefonbog, og det afspejler, hvordan et internetværktøj, såsom en webbrowser, finder den relevante server. DNS-cacheforgiftning, on-path-angreb og andre midler til at forstyrre DNS-opslagslivscyklussen vil blive brugt af dårlige aktører til at kapre denne DNS-anmodningsproces. Hvis DNS er internettets telefonbog, er DNSSEC et opkalds-id, der ikke kan forfalskes. En anmodning om DNS-opslag kan beskyttes ved hjælp af DNSSEC-teknologien.

For at gøre dig nærmere bekendt med certificeringspensum kan du udvide og analysere nedenstående tabel.

EITC/IS/WASF Web Applications Security Fundamentals Certification Curriculum refererer til didaktisk materiale med åben adgang i en videoform. Læreprocessen er opdelt i en trin-for-trin struktur (programmer -> lektioner -> emner), der dækker relevante læseplansdele. Der tilbydes også ubegrænset rådgivning med domæneeksperter.
Tjek for detaljer om certificeringsproceduren Sådan fungerer det.

Certificeringsprogram Curriculum

Udvid alle
Introduktion 1 emne
Udvid
Lektionsindhold
0% Komplet 0/1 trin
Introduktion til websikkerhed, HTML og JavaScript gennemgang
Web-protokoller 1 emne
Udvid
Lektionsindhold
0% Komplet 0/1 trin
DNS, HTTP, cookies, sessioner
Session angreb 1 emne
Udvid
Lektionsindhold
0% Komplet 0/1 trin
Cookie- og sessionsangreb
Samme oprindelsespolitik 2 emner
Udvid
Lektionsindhold
0% Komplet 0/2 trin
Forfalskning af anmodninger på tværs af websteder
Undtagelser fra samme oprindelsespolitik
Cross-site scripting 2 emner
Udvid
Lektionsindhold
0% Komplet 0/2 trin
Cross-site scripting (XSS)
Cross-Site Scripting forsvar
Fingeraftryk på nettet 1 emne
Udvid
Lektionsindhold
0% Komplet 0/1 trin
Fingeraftryk og privatliv på nettet
DoS, phishing og sidekanaler 1 emne
Udvid
Lektionsindhold
0% Komplet 0/1 trin
Denial-of-service, phishing og sidekanaler
Injektionsangreb 1 emne
Udvid
Lektionsindhold
0% Komplet 0/1 trin
Kode indsprøjtning
TLS angreb 1 emne
Udvid
Lektionsindhold
0% Komplet 0/1 trin
Transportlags sikkerhed
HTTPS i den virkelige verden 1 emne
Udvid
Lektionsindhold
0% Komplet 0/1 trin
HTTPS i den virkelige verden
Godkendelse 2 emner
Udvid
Lektionsindhold
0% Komplet 0/2 trin
Introduktion til autentificering
WebAuthn
Håndtering af websikkerhed 1 emne
Udvid
Lektionsindhold
0% Komplet 0/1 trin
Håndtering af sikkerhedsproblemer i Node.js-projektet
Serversikkerhed 2 emner
Udvid
Lektionsindhold
0% Komplet 0/2 trin
Serversikkerhed: sikker kodningspraksis
Lokal HTTP-serversikkerhed
DNS-angreb 1 emne
Udvid
Lektionsindhold
0% Komplet 0/1 trin
DNS-genbindingsangreb
Browserangreb 1 emne
Udvid
Lektionsindhold
0% Komplet 0/1 trin
Browserarkitektur, skriver sikker kode
Praktisk sikkerhed i webapplikationer 1 emne
Udvid
Lektionsindhold
0% Komplet 0/1 trin
Sikring af webapplikationer med moderne platformsfunktioner
EITC/IS/WASF Web Applications Security Fundamentals
  • Tweet

Om admin

Forside » Min profil

Certificeringscenter

Program Hjem Udvid alle
Introduktion
1 emne
Introduktion til websikkerhed, HTML og JavaScript gennemgang
Web-protokoller
1 emne
DNS, HTTP, cookies, sessioner
Session angreb
1 emne
Cookie- og sessionsangreb
Samme oprindelsespolitik
2 emner
Forfalskning af anmodninger på tværs af websteder
Undtagelser fra samme oprindelsespolitik
Cross-site scripting
2 emner
Cross-site scripting (XSS)
Cross-Site Scripting forsvar
Fingeraftryk på nettet
1 emne
Fingeraftryk og privatliv på nettet
DoS, phishing og sidekanaler
1 emne
Denial-of-service, phishing og sidekanaler
Injektionsangreb
1 emne
Kode indsprøjtning
TLS angreb
1 emne
Transportlags sikkerhed
HTTPS i den virkelige verden
1 emne
HTTPS i den virkelige verden
Godkendelse
2 emner
Introduktion til autentificering
WebAuthn
Håndtering af websikkerhed
1 emne
Håndtering af sikkerhedsproblemer i Node.js-projektet
Serversikkerhed
2 emner
Serversikkerhed: sikker kodningspraksis
Lokal HTTP-serversikkerhed
DNS-angreb
1 emne
DNS-genbindingsangreb
Browserangreb
1 emne
Browserarkitektur, skriver sikker kode
Praktisk sikkerhed i webapplikationer
1 emne
Sikring af webapplikationer med moderne platformsfunktioner
EITC/IS/WASF Web Applications Security Fundamentals

BRUGERMENU

  • Mine reservationer

CERTIFIKATKATEGORI

  • EITC-certificering (105)
  • EITCA-certificering (9)

Hvad leder du efter?

  • Introduktion
  • Hvordan det virker?
  • EITCA akademier
  • EITCI DSJC-tilskud
  • Fuldt EITC-katalog
  • Din ordre
  • Udvalgt
  •   IT ID
  • Om
  • Kontakt

    EITCA Akademiets administrative kontor

    Europæisk IT-certificeringsinstitut
    Bruxelles, Belgien, Den Europæiske Union

    EITC/EITCA Certification Authority
    Gældende europæisk it-certificeringsstandard
    Adgang kontaktformular eller opkald + 32 25887351

    10 dage siden #EITC/WD/WPF WordPress Fundamentals-certifikat (en del af #EITCA/WD) attesterer ekspertise i #WordPress CMS, i... https://t.co/A2jjXPeKgj
    Følg @EITCI

    Oversæt automatisk til dit sprog

    Vilkår & Betingelser | Privatlivspolitik
    Følg @EITCI
    EITCA Academy
    • EITCA Academy på sociale medier
    EITCA Academy


    © 2008-2023  Europæisk IT-certificeringsinstitut
    Bruxelles, Belgien, Den Europæiske Union

    TOP
    Chat med support
    Chat med support
    Spørgsmål, tvivl, problemer? Vi er her for at hjælpe dig!
    Afslut chat
    Tilslutning ...
    Har du et spørgsmål? Spørg os!
    Har du et spørgsmål? Spørg os!
    :
    :
    :
    Send
    Har du et spørgsmål? Spørg os!
    :
    :
    Start chat
    Chat-sessionen er afsluttet. Tak skal du have!
    Bedøm den support, du har modtaget.
    god Bad