Kurszusammenfassung
CREST: Certified Tester – Application (CCTAPP) vermittelt Ihnen Expertenwissen zum Testen der Anwendungssicherheit. Dieser Kurs behandelt fortgeschrittene Techniken zum Identifizieren, Ausnutzen und Beheben von Schwachstellen in verschiedenen Anwendungstypen, darunter Web-, Mobil- und Desktop-Anwendungen. Sie lernen, gründliche Sicherheitsbewertungen durchzuführen, die Prinzipien der Anwendungssicherheit zu verstehen und Empfehlungen zur Verbesserung der Anwendungssicherheit zu geben.
Was Sie lernen werden:
• Sie verstehen fortgeschrittene Konzepte und Methoden im Bereich Anwendungssicherheitstests.
• Sie lernen, Schwachstellen in Web-, Mobil- und Desktop-Anwendungen zu erkennen und auszunutzen.
• Sie erwerben Fähigkeiten im Umgang mit verschiedenen Tools und Techniken für gründliche Bewertungen der Anwendungssicherheit.
• Sie entwickeln Fachwissen zur Minderung von Anwendungsschwachstellen und zur Verbesserung von Sicherheitsmaßnahmen.
• Sie lernen, detaillierte Sicherheitsempfehlungen zu geben, um die allgemeine Sicherheitslage von Anwendungen zu verbessern.
Modul 1: Soft Skills und Assessment Management
• Engagement-Lebenszyklus
• Recht und Compliance
• Umfang
• Risiken verstehen, erklären und managen
• Aufzeichnungen, Zwischenberichte und Endergebnisse
Modul 2: Grundlegende technische Fähigkeiten CREST Certified Application Tester
• IP-Protokolle
• Netzwerkarchitektur
• Netzwerk-Routing
• Netzwerk-Mapping und Zielidentifizierung
• Interpretation der Tool-Ausgabe
• Filter- und Vermeidungstechniken
• Paketherstellung
• Betriebssystem-Fingerprinting
• Anwendungsfingerprinting und Auswertung unbekannter Dienste
• Netzwerkzugriffskontrollanalyse
• Kryptografie
• Anwendungen der Kryptographie
• Dateisystemberechtigungen
• Audit-Techniken
Modul 3: Hintergrundinformationssammlung und Open Source
• Registrierungsdatensätze
• Domänennamenserver (DNS)
• Kunden-Website-Analyse
• Google Hacking und Web Enumeration
• NNTP-Newsgroups und Mailinglisten
• Informationslecks aus Mail- und News-Headern
Modul 4: Netzwerkausrüstung
• Verwaltungsprotokolle
• Netzwerkverkehrsanalyse
• Netzwerkprotokolle
• IPSec
• VoIP
• Kabellos
• Konfigurationsanalyse
Modul 5: Microsoft Windows-Sicherheitsbewertung
• Domänenaufklärung
• Benutzeraufzählung
• Aktives Verzeichnis
• Windows-Passwörter
• Windows-Sicherheitslücken
• Windows Patch Management-Strategien
• Desktop-Sperre
• Austausch
• Gängige Windows-Anwendungen
Modul 6: Unix-Sicherheitsbewertung
• Benutzeraufzählung
• Unix-Sicherheitslücken
• FTP
• Sendmail / SMTP
• Netzwerkdateisystem (NFS)
• R*-Dienste
• X11
• RPC-Dienste
• SSH
Modul 7: Webtechnologien
• Webserverbetrieb
• Webserver und ihre Fehler
• Web-Unternehmensarchitekturen
• Webprotokolle
• Web-Auszeichnungssprachen
• Web-Programmiersprachen
• Web-Anwendungsserver
• Web-APIs
• Web-Unterkomponenten
Modul 8: Web-Testmethoden
• Web-Anwendungsaufklärung
• Bedrohungsmodellierung und Angriffsvektoren
• Informationssammlung aus Web-Markup
• Authentifizierungsmechanismen
• Autorisierungsmechanismen
• Eingabevalidierung
• Anwendungs-Fuzzing
• Offenlegung von Informationen in Fehlermeldungen
• Einsatz von Cross-Site-Scripting-Angriffen
• Einsatz von Injection-Angriffen
• Sitzungsverwaltung
• Verschlüsselung
• Quellcode-Überprüfung
Modul 9: Web-Testtechniken
• Website-Strukturerkennung
• Cross-Site-Scripting-Angriffe
• SQL-Injection
• Session-ID-Angriffe
• Fuzzing
• Parametermanipulation
• Vertraulichkeit und Integrität der Daten
• Entdeckungsdurchquerung
• Datei-Uploads
• Code-Injektion
• CRLF-Angriffe
• Anwendungslogikfehler
Modul 10: Datenbanken
• Microsoft SQL Server
• Oracle RDBMS
• Web-/App-/Datenbankkonnektivität
Andere beliebte Kurse
Executive Cyber Risk-Zertifizierung (ECRC)
- Dauer: 2 Tage
- Sprache: Englisch
- Ebene: Fortgeschrittener
- Prüfung: ECRC
Kommunikations- und Präsentationstechniken meistern …
- Dauer: 4 Tage
- Sprache: Dänisch
- Ebene: Fortgeschrittener
- Prüfung: MCPT
Achtsamkeit der nächsten Generation
- Dauer: 1 Tage
- Sprache: Englisch
- Ebene: Stiftung
- Prüfung: NGM