Die Qualifizierung stellt anhand vieler praktischen Übungen typische Schwachstellen im Web-Umfeld vor und vermittelt mögliche Gegenmaßnahmen.
.
Im Kurs werden - aus der Perspektive eines Angreifers und anhand eines Webshops - typische Schwachstellen im Web-Umfeld (SQL-Injection, Cross Site Scripting, Command Injection, File Inclusion, Schwachstellen in der Server-Konfiguration, ...) herausgestellt.
.
Wie bei einem Puzzle sammelt man im Kurs Punkte für die Lösung einzelner Übungsaufgaben. Am Ende müssen mehrere Lösungen miteinander kombiniert werden, um ans Ziel zu gelangen - ähnlich wie bei einem echten Security Audit / Pentest bzw. wie bei typischen Angriffen auf Web-Applikationen.
.
.
Kursmodul 1:
.
Einleitung und Grundlagen
Aufbau von Webapplikationen und Integration in Netzwerk und Rechenzentrum
Grundprinzipien und Grundwerte der IT- und Informations-Sicherheit
Aufbau und Nutzung von HTTP (Hypertext Transfer Protocol)
Grundlagen SQL (Structured Query Language)
Passwörter und Ihre Bedeutung
Informationsgewinnung über Webseiten und Server-Strukturen aus öffentlich zugänglichen Quellen
Überprüfung und Reduzierung der Angriffsfläche, Härten von Web-Servern
.
.
Kursmodul 2:
.
Erkennen der Server-Infrastruktur, vorhandene Load Balancer usw. über das Internet
Suche nach bekannten Schwachstellen in der Server-Software
Auffinden versteckter Dateien und Verzeichnisse sowie gebräuchlicher Admin-Tools
Konfigurationsschwachstellen im Webserver, unnötig große Angriffsfläche
Überprüfung der Website auf gültige oder veraltete Verschlüsselungsmechanismen
Man-In-The-Middle Angriffe und Einführung in HSTS
Auffinden von Schwachstellen und Fehlern in der Webserver-Konfiguration über Suchmaschinen ("Google Hacking")
Manipulation des HTTP Traffics über lokale Proxy Server
.
.
Kursmodul 3:
.
Architekturen / Grundkonzepte der Kommunikation zwischen Webapplikation und Datenbank
SQL-Injection Angriffe: Erkennen von Schwachstellen, Aufbau eigener Angriffs-Pattern zur Prüfung
Auslesen von Daten
Blind SQL Injection und Time based Blind SQL Injection
Error Based SQL Injection / Double Query SQL Injection
Fingerprinting des Datenbank-Servers
Firewall Evasion, vorbereitende Schritte für Trojaner-Angriffe
Ausführen von Befehlen auf der Datenbank über die Web-Applikation
Speicherung von Passwörtern, Salting und Grundlagen von Hash-Funktionen
Nutzung von Rainbow Tables
Automatisierte Angriffe auf Datenbanken
.
.
Kursmodul 4:
.
Auffinden und Ausnutzen von File Inclusion Schwachstellen
Remote File Inclusion und Umgehung klassischer Gegenmaßnahmen
Ausführen von Betriebssystem-Befehlen über die Web-Applikation mittels Command Injection
Grundlagen Session IDs und Cookies
Session Fixation Angriffe
Fehler im Berechtigungskonzept
Falscher Einsatz von Kryptographie
(Application Layer) Denial Of Service Angriffe
Sicherheit von Web Services
.
.
Kursmodul 5:
.
Cross Site Scripting (XSS) Angriffe sowie die Varianten "Reflected Cross Site Scripting", "Persistentes Cross Scripting" und "DOM basiertes / lokales Cross Site Scripting"
Gegenmaßnahmen im Browser
XSS Filter
Same Origin Policy / Cross Origin Resource Sharing (CORS)
Content Security Policy (CSP) mit Hashes, Zufallszahlen usw.
Auffinden und Ausnutzen von Cross Site Request Forgery (CSRF) Schwachstellen
Bedienung sowie Vor- und Nachteile automatisierter Web-Applikations-Scanner: Dynamische Überprüfung, statische Analyse von Quellcode
.
.
Der Kurs lässt sich auch zur Vorbereitung auf weitere Zertifikate wie CISA, CISSP usw. nutzen und kann als Weiterbildung für die Aufrechterhaltung der Zertifikate angerechnet werden.
Web Application Security - Certified Professional (SCP) / Experte für Sicherheit von Web-Applikationen
WBA Weiterbildungsagentur / Audiocation GmbH · Lippstadt
- Art
- Weiterbildung
- Abschluss
- Zertifikat
- Lernform
- Präsenz
- Start
- laufend
Förderung
bis 100 %- Bildungsgutschein – Bis zu 100 % Kostenübernahme durch Agentur für Arbeit oder Jobcenter. Die Bewilligung ist eine Ermessensentscheidung der Behörde (AZAV-Voraussetzung).
Grundsätzlich förderfähig – über die Bewilligung entscheidet allein die Agentur für Arbeit bzw. das Jobcenter (Ermessensleistung, § 81 SGB III).
Über den Kurs
Die Qualifizierung stellt anhand vieler praktischen Übungen typische Schwachstellen im Web-Umfeld vor und vermittelt mögliche Gegenmaßnahmen. .
Lerninhalte
Häufige Fragen zu „Web Application Security - Certified Professional (SCP) / Experte für Sicherheit von Web-Applikationen“
Ist „Web Application Security - Certified Professional (SCP) / Experte für Sicherheit von Web-Applikationen“ förderfähig?
Ja. Für diesen Kurs kommen folgende Förderungen in Betracht: Bildungsgutschein. Die konkrete Bewilligung klärst du mit der jeweiligen Förderstelle (z. B. Agentur für Arbeit oder Jobcenter).
Was kostet „Web Application Security - Certified Professional (SCP) / Experte für Sicherheit von Web-Applikationen“?
Die Kosten können über einen Bildungsgutschein der Agentur für Arbeit oder des Jobcenters bis zu 100 % gefördert werden. Die genauen Konditionen nennt dir der Anbieter.
Welchen Abschluss erhalte ich bei „Web Application Security - Certified Professional (SCP) / Experte für Sicherheit von Web-Applikationen“?
Nach erfolgreichem Abschluss erhältst du: Zertifikat.
In welcher Lernform findet „Web Application Security - Certified Professional (SCP) / Experte für Sicherheit von Web-Applikationen“ statt?
Die Weiterbildung wird in folgender Lernform angeboten: Präsenz.
Ähnliche Kurse
Netzwerktechnik: Cisco Certified Network Associate Security (CCNA Security) (Dozentengeleitete Teilzeit in Präsenz oder Telelearning)
COMCAVE.COLLEGE GmbH · Dortmund
Netzwerktechnik: IT Security Expert (Dozentengeleitete Teilzeit in Präsenz oder Telelearning)
COMCAVE.COLLEGE GmbH · Dortmund
Netzwerktechnik: IT Security Expert (Dozentengeleitete Vollzeit in Präsenz oder Telelearning)
COMCAVE.COLLEGE GmbH · Dortmund
Netzwerktechnik: Microsoft Certified Solutions Expert (MCSE) Communication (Dozentengeleitete Teilzeit in Präsenz oder Telelearning)
COMCAVE.COLLEGE GmbH · Dortmund
Weitere Kurse von WBA Weiterbildungsagentur / Audiocation GmbH
3D-Design
WBA Weiterbildungsagentur / Audiocation GmbH · Lippstadt · 5 Monate
Adobe Premiere
WBA Weiterbildungsagentur / Audiocation GmbH · Lippstadt · 2 Monate