Kurspaket
Certified Web Application Security Professional («CWASP»)
Kurs-Facts
- Wissen, dass man zur Verschwiegenheit, Vertraulichkeit und Geheimhaltung gegenüber dem Arbeitgeber und den Kunden verpflichtet ist
- Analysieren und Entwickeln von neuen Angriffsmethoden und Attack-Simulationen
- Berücksichtigen der Kunden-Bedürfnisse (intern wie extern)
- Gewährleisten der Cyber-Resilienz des Kunden
- Erklären komplexer Angriffe auf Web-Applikationen und Durchführen von Proof-of-Concept-Angriffen zur aktiven Ausnutzung von Schwachstellen und Sicherheitslücken
- Wissen, wie offensive Techniken einsetzt werden, um komplexe Schwachstellen und Sicherheitslücken in Systemen, Applikationen oder Infrastrukturen von Unternehmen verschiedener Branchen zu finden
- Erstellen und Überprüfen von konkreten Weisungen, Standards, Baselines, Richtlinien und Betriebsdokumentationen, abgeleitet aus branchen- und marktüblichen Standards (BSI, NIST, ISO, andere)
- Durchführen komplexer Sicherheitsanalysen (Web Application Penetration Tests) und Dokumentieren der Ergebnisse in Form eines Berichtes mit Feststellungen und Handlungsempfehlungen und Integrieren der Erkenntnisse aus den Analysen in die Praxis
- Einsetzen der Fachkenntnisse zur Unterstützung interner und externer Auditoren bei der Durchführung von Security Audits und selbstständiges Durchführen von Teilaufgaben im Rahmen von Audits
- Kennen der Inhalte der Prüfung zum «Burp Suite Certified Practitioner (BSCP)» und wie man sich allenfalls darauf vorbereiten kann
- Selbstständiges und eigenmotiviertes Erweitern des notwendigen Fachwissens
- Selbstständiges Vorbereiten auf die Zertifizierung zum «Burp Suite Certified Practitioner»
1 Onboarding (2 Stunden)
- Kennenlernen
- Erwartungen
- Impulsvortrag
- Ablauf der Prüfungsvorbereitung
2 Web Application Security – Foundation (2 Tage)
- Auf Basis der OWASP Top 10 lernen Sie die aktuellen Angriffsmethoden auf (Web)-Applikationen kennen und lernen, wie wirkungsvolle Schutzmassnahmen ergriffen werden:
- A01:2021-Broken Access Control
- A02:2021-Cryptographic Failures
- A03:2021-Injection
- A04:2021-Insecure Design
- A05:2021-Security Misconfiguration
- A06:2021-Vulnerable and Outdated Components
- A07:2021-Identification and Authentication Failures
- A08:2021-Software and Data Integrity Failures
- A09:2021-Security Logging and Monitoring Failures
- A10:2021-Server-Side Request Forgery
3 Coaching (2 Stunden)
- Erfahrungsaustausch
- Unterstützende Impulse
- Weiteres Vorgehen
4 Web Application Security – Advanced (1 Tag)
- Zusammenfassung OWASP Top 10
- Advanced Angriffe auf Web Applikationen
- Umgehen von 2FA anhand eines praktischen Beispiels
- XSS und Clickjacking
- Angriffe auf OAuth 2.0
- Parameter Pollution
- Web Cache Poisoning
- Template Injection
- Angriffe auf JWT
- Request Smuggling
- Server Side Prototype Pollution
- DOM Based Vulnerabilities
- Sichere APIs
- Einführung in die OWASP API Top 10:2019
- Guideline zur gezielten Vorbereitung auf die BSCP-Prüfung
5 Coaching (1 Stunde)
- Q & A
- Zertifizierungstipps
Ziel ist die Zertifizierung zum «Burp Suite Certified Practitioner (BSCP)». Im Unterricht haben Sie die Möglichkeit, ca. 20-25% der Übungen aus dem umfangreichen Lab der PortSwigger Academy zu lösen. Der Unterricht erfolgt in Form von Blended Learning. In den Trainings werden die Lerninhalte in einem Mix aus Impulsvorträgen und Übungen vermittelt. Die Zeit zwischen den Trainings wird zur Bearbeitung von Labs oder Übungen genutzt.
In den Coachings findet ein Austausch zwischen den Teilnehmenden statt. Es werden Fragen gestellt und Probleme gelöst. Der Trainer gibt gezielte Impulse.
Prüfungsvorbereitung und Prüfung
Sie bereiten sich selbständig auf die BSCP-Prüfung vor. Sobald Sie die Probeprüfung gelöst haben und sich für die Prüfung bereit fühlen, können Sie die Prüfung ablegen. Weitere Informationen finden Sie unter «Zertifizierung».
Dieses Kurspaket richtet sich an IT-Sicherheitsbeauftragte, Softwareentwickler und -tester, Webmaster und -entwickler sowie Systemingenieure/Administratoren und angehende Penetration Tester.
Grundkenntnisse in der Entwicklung von Webanwendungen, Kenntnisse im Umgang mit Webservern, Kenntnisse grundlegender Webtechnologien wie HTML und Javascript werden vorausgesetzt.
Nach dem Besuch dieses Trainings und Coachings haben Sie sich intensiv mit dem Thema Web Application Security auseinandergesetzt. Mit etwas weiterführendem Selbststudium sind Sie bereit, die Zertifizierung zum «Burp Suite Certified Practitioner» in Angriff zu nehmen.
Die 4-stündige Prüfung kostet USD 99 und kann jederzeit online abgelegt werden. Die Prüfung ist in Englisch und besteht aus mehreren Stufen:
- Stufe 1: Zugang zu einem beliebigen Benutzerkonto erlangen
- Stufe 2: Zugang zu administrativen Benutzer erlangen (Privilege Escalation)
- Stufe 3: Das Admin-Interface missbrauchen, um eine lokale Datei auszulesen
Mehr Informationen finden Sie hier.