Sono uno sviluppatore web con circa 7 anni di esperienza, ma negli ultimi 12 mesi ho iniziato a dedicarmi alla sicurezza informatica, quindi ho iniziato a implementare pratiche di codice sicuro e buone pratiche OWASP al lavoro. Mi sono preparato a fare il mio OSCP e ho fatto alcuni CTF perché il pentesting sembra davvero interessante, anche se penso che la sicurezza delle applicazioni sia più di me.
Ho notato che i ragazzi di app non hanno / richiedono grandi raccolte di certificazioni come fanno i pentesters.
1) a parte leggere il manuale degli hacker di app web, implementare metodologie sicure OWASP e fare CTF, in quale altro modo posso entrare nella sicurezza delle applicazioni senza acquistare il corso pwk (OSCP)?
2) Vale la pena portare OSCP a diventare uno specialista della sicurezza delle applicazioni o qualsiasi altro certificato?
3) Qual è la grande differenza in termini di mansioni quotidiane tra test di penetrazione della rete e sicurezza delle applicazioni Web?