Sto cercando una certificazione per Web Application Security e Web Pen Testing. Via Google ho trovato i seguenti due:
Quanto è buona la reputazione? Ce ne sono altri? Quanto sono difficili? Cosa è necessario per la preparazione?
Non ho fatto il GIAC, ma ho ottenuto la certificazione CREST Web Application Tester, quindi posso commentare su questo.
Direi che è abbastanza ben visto, in particolare nel settore della penetration testing / ethical hacking nel Regno Unito. L'equivalenza CESG menzionata da @RoryAlsop è importante per il lavoro governativo nel Regno Unito ed è anche considerata una buona indicazione di una corrispondenza di abilità dei candidati per le società di test nel Regno Unito (poiché molti dei più grandi hanno contribuito a progettarlo).
Come ho detto di recente in un'altra domanda, ritengo che l'esame CREST sia l'esame professionale più difficile che abbia mai seguito. Per dirla in questo contesto, ho fatto circa 30 esami professionali su IT e sicurezza negli ultimi 15 anni. Ha un vincolo di tempo limitato e richiede conoscenze pratiche e conoscenze teoriche da superare.
Prepararlo può essere complicato in quanto (per quanto ne so) non esiste un corso di formazione specifico che puoi seguire. Personalmente non ti consiglio di provarlo a meno che tu non sia un'app web attiva. tester. Se hai intenzione di prenderlo, rivedi il programma disponibile sul loro sito e assicurati di essere a tuo agio con tutte le aree menzionate. Inoltre, ti consiglio di esaminare il Manuale degli hacker Web app e di assicurarti di essere a tuo agio con le varie aree che descrive.
Potresti vedere le seguenti domande su questo sito: Certificazioni professionali per la sicurezza IT e Certificazione internazionale del pentestore . Forniscono alcune informazioni parziali su varie certificazioni, anche se non è necessariamente tutto ciò che stai cercando.
Non c'è un numero enorme di certs in giro, soprattutto se stai guardando a livello internazionale.
Per prima cosa, dai un'occhiata al link Internazionale nella risposta di D.W.
Personalmente, penso che i due che hai trovato abbiano la più alta reputazione nel Regno Unito, ma potresti anche consultare il Schema tigre per un'altra prospettiva. Come CREST mantiene l'equivalenza CHECK dal CESG, l'autorità tecnica nazionale per l'assicurazione delle informazioni nel Regno Unito.
Vorrei verificare la certificazione OSWE (Offensive Security Web Expert) da Offensive-Security. link
La sicurezza offensiva è nota per offrire una delle certificazioni più pratiche che puoi ottenere. Nessuna domanda a scelta multipla, 100% hands-on su un esame lungo 24 ore. Se lo passi, non c'è nessuno che possa confutare le tue abilità. È davvero un esame difficile.
Ho visto questa certificazione spuntare su molte offerte di lavoro sotto "Abilità desiderate" e con la certificazione di Offensive Security OSCP (Offensive Security Certified Professional).
Un mio collega che ha preso una delle certificazioni di Offensive Security ha detto che dopo averlo aggiunto al suo curriculum su LinkedIn, è stato contattato almeno una volta alla settimana per un colloquio di lavoro.
Vorrei raccomandare la Certificazione fornitore-neutrale (SWADLP) Practitioner del ciclo di vita per lo sviluppo di applicazioni Web sicure.
Ambito di applicazione del programma di sviluppo di applicazioni per la sicurezza Il programma Lifecycle Practitioner (SWADLP) è rivolto a tutti coloro che sono coinvolti nel processo di sviluppo di applicazioni sia dal punto di vista tecnico che di gestione.
Gestione (Responsabili di programma / progetto, team di assurance, lead, direttore IT / responsabile)
Gestione dei processi di valutazione della sicurezza
Application Development Engineers (Architetti, sviluppatori e tester (QA) -
Implementazione, revisione e ottimizzazione della progettazione sicura
Consulenti software e sicurezza delle applicazioni Web degli analisti (penetrometri, revisori, analisti e consulenti)
Chiunque voglia approfondire il processo di Web Security Testing, Tools & Tecniche link
Leggi altre domande sui tag web-application certification