Welches sind die gängigsten Sicherheitslücken in Webapplikationen? Was muss ein Angreifer tun, um diese zu finden und auszunutzen? Und wie kann der Entwickler die Webapplikation davor schützen? Antworten auf diese Fragen sowie praxisnahe Hands-on-Beispiele liefert die Web Security Academy von PortSwigger.
Die Web Security Academy ist eine frei zugängliche Online-Bildungsplattform mit detaillierten Erklärungen und Übungen zu aktuell über 20 Schwachstellenarten, die in Webapplikationen anzutreffen sind. Im April 2019 wurde die Plattform von PortSwigger ins Leben gerufen, dem gleichen Unternehmen, das auch hinter der «Burp Suite» steckt – dem Schweizer Sackmesser für Web App Penetration Tests. Obwohl die Academy samt der freiwilligen Zertifizierung auf Burp-Suite-Anwender zugeschnitten ist, können auch Webentwickler und andere Security-Interessierte von den informativen und interaktiven Lernmaterialien profitieren.
Ist die Web Security Academy vielleicht etwas für Sie oder für Ihre Mitarbeitenden? Damit Sie diese Frage für sich etwas leichter beantworten können, sind in diesem Artikel die beiden wesentlichen Elemente der Academy zusammengefasst: das Training und die Zertifizierung zum «Burp Suite Certified Practitioner».
Das Training: Learning Materials und Vulnerability Labs
Die Academy umfasst die wichtigsten Web-Security-Themen – beginnend bei der klassischen SQL Injection bis hin zu komplexen Angriffstechniken wie Web Cache Poisoning oder HTTP Request Smuggling – und wird laufend ausgebaut. Stand heute sind es 22 Themenfelder, für welche die Web Security Academy jeweils zwei komplementäre Ressourcen bereitstellt: die «Learning Materials» und die «Vulnerability Labs».
Learning Materials
Die Learning Materials enthalten alle notwendigen Hintergrundinformationen, um zu verstehen, wie die jeweilige Schwachstelle verursacht wird, wie man sie findet, wie sie ausgenutzt werden kann und wie man eine Webapplikation dagegen schützt. Die Erklärungen sind in verständlichem Englisch verfasst und werden durch Diagramme und konkrete Codebeispiele ergänzt. Wer sich durch alle Themen durcharbeiten will, kann einem vorgegebenen Lernpfad folgen. Die einzelnen Lernmaterialien sind jedoch grösstenteils unabhängig, sodass man sich auch nur zu vereinzelten Schwachstellen weiterbilden kann.
Vulnerability Labs
Um das Wissen aus den Learning Materials anhand realistischer Beispiele anzuwenden, gibt es die sogenannten Vulnerability Labs. Die Labs kann man sich als persönliche, isolierte Testapplikationen vorstellen, auf denen die Lernenden legal nach Schwachstellen suchen und diese ausnützen dürfen. Damit sich die Lernenden beim Testen nicht in die Quere kommen, wird die jeweilige Webapplikation für jeden Benutzer individuell hochgefahren. Deshalb bedingt die Nutzung der Labs das Erstellen eines kostenlosen Benutzeraccounts. Die Labs sind in drei Schwierigkeitsgraden verfügbar: Apprentice, Practitioner und Expert. Wer alle Labs der Stufen Apprentice und Practitioner lösen kann, ist bereit für die Zertifizierung zum Burp Suite Certified Practitioner.
Die Zertifizierung: Burp Suite Certified Practitioner
Obwohl die Zertifizierung namentlich einen erfahrenen Umgang mit der Burp Suite beurkundet, erfordert und prüft sie weit mehr als blosses Anwenderwissen. Wer den Burp Suite Certified Practitioner besteht, ist imstande Webapplikationen auf eine Vielzahl von Schwachstellen zu überprüfen, unzulängliche Schutzmechanismen zu umgehen und vorhandene Sicherheitslücken erfolgreich auszunutzen – alles, was erprobte Web-App Penetration Tester ausmacht. Aus diesem Grund ist die Burp Suite Certified Practitioner-Zertifizierung nebst der bewährten «Offensive Security Certified Professional (OSCP)»-Zertifizierung seit diesem Jahr Teil unseres Ausbildungsplans für neue Mitarbeitende im Penetration-Testing-Bereich.
Wenn Sie mehr über unsere Erfahrungen mit der Web Security Academy von PortSwigger wissen möchten, kontaktieren Sie jederzeit gerne das Penetration-Testing-Team von Oneconsult: Kontakt
