Sicurezza dell'applicazione contro test di penetrazione della rete [chiuso]

Naviga le tue risposte
3

Sono uno sviluppatore web con circa 7 anni di esperienza, ma negli ultimi 12 mesi ho iniziato a dedicarmi alla sicurezza informatica, quindi ho iniziato a implementare pratiche di codice sicuro e buone pratiche OWASP al lavoro. Mi sono preparato a fare il mio OSCP e ho fatto alcuni CTF perché il pentesting sembra davvero interessante, anche se penso che la sicurezza delle applicazioni sia più di me.

Ho notato che i ragazzi di app non hanno / richiedono grandi raccolte di certificazioni come fanno i pentesters.

1) a parte leggere il manuale degli hacker di app web, implementare metodologie sicure OWASP e fare CTF, in quale altro modo posso entrare nella sicurezza delle applicazioni senza acquistare il corso pwk (OSCP)?

2) Vale la pena portare OSCP a diventare uno specialista della sicurezza delle applicazioni o qualsiasi altro certificato?

3) Qual è la grande differenza in termini di mansioni quotidiane tra test di penetrazione della rete e sicurezza delle applicazioni Web?

    
posta N3000 18.03.2017 - 04:04
fonte

1 risposta

4

1) Prova il wargame 'Natas' su OverTheWire.org, è utile per imparare concetti e imparare a metterli in pratica. Hanno un sacco di applicazioni insicure che puoi praticare sfruttando. Anche OWASP ha un'applicazione pratica (non sicura) per testare chiamato WebGoat.

2) La stessa società (sicurezza offensiva) che offre l'oscp offre anche l'OSWE (Offensive Security Web Expert). Consiglio vivamente di prendere l'OSWE se stai cercando di seguire il percorso dell'applicazione. L'OSCP tocca il lato dell'applicazione ma è più focalizzato sulla rete.

3) Gli ingegneri della sicurezza delle applicazioni lavoreranno rigorosamente su applicazioni / codice. I tester di rete lavorano con l'intera rete. Una rete può essere costituita da PC, server, router, firewall, switch, ecc. Quindi si concentreranno maggiormente sulla progettazione della rete, su come un utente malintenzionato può spostarsi all'interno della rete e sfruttare le macchine su di esso. L'applicazione sarà incentrata esclusivamente su una specifica applicazione / software.

Webgoat: link

Natas: link

OSWE: link

    
risposta data 18.03.2017 - 04:13
fonte

Leggi altre domande sui tag

due siti web con lo stesso certificato di firma ma google chrome dice che CA non è valida per uno di essi e non per l'altro? È in locale il riutilizzo di una password come cattiva pratica?