Estoy buscando una certificación para seguridad de aplicaciones web y pruebas de lápiz web. A través de Google encontré los dos siguientes:
¿Qué tan bien hay reputación? ¿Hay otros? ¿Qué tan difíciles son? ¿Qué se necesita para la preparación?
No he hecho el GIAC, pero tengo la certificación CREST Web Application Tester, así que puedo comentar sobre eso.
Diría que está bastante bien considerado, específicamente en la industria de pruebas de penetración / piratería ética en el Reino Unido. La equivalencia de CESG que mencionó @RoryAlsop es importante para el trabajo del gobierno en el Reino Unido y también se considera como un buen indicador de una competencia de candidatos para las empresas de pruebas del Reino Unido (ya que varias de las más grandes ayudaron a diseñarlo).
Como mencioné en otra pregunta recientemente, reconozco que el examen CREST es el examen profesional más difícil que he tomado. Para poner eso en contexto, he realizado ~ 30 exámenes profesionales en TI y seguridad en los últimos 15 años. Tiene una restricción de tiempo ajustada y requiere conocimientos prácticos, así como conocimientos teóricos para pasar.
Prepararse para esto puede ser complicado ya que, por lo que sé, no hay un curso de capacitación específico que puedas tomar. Personalmente, no recomendaría probarlo a menos que sea una aplicación web activa. ensayador. Si lo va a tomar, revise el programa de estudios que está disponible en su sitio y asegúrese de estar cómodo con todas las áreas que menciona. También recomendaría revisar el Manual de piratas informáticos de la aplicación web y asegurarte de que te sientas cómodo con las distintas áreas que describe.
Es posible que desee ver las siguientes preguntas en este sitio: Certificaciones profesionales para la seguridad de TI y Certificación de pentester internacional . Proporcionan información parcial sobre varias certificaciones, incluso si no es necesariamente todo lo que está buscando.
No hay una gran cantidad de certificados, especialmente si buscas a nivel internacional.
En primer lugar, eche un vistazo al enlace internacional en la respuesta de D.W.
Personalmente, creo que los dos que han encontrado tienen la mayor reputación en el Reino Unido, pero también podrían ver el Tiger Scheme para otra perspectiva. Al igual que CREST posee la equivalencia de CHECK de CESG, la Autoridad Técnica Nacional para el Aseguramiento de la Información en el Reino Unido.
Compraría la certificación OSWE (Offensive Security Web Expert) de Offensive-Security. enlace
Se sabe que la seguridad ofensiva ofrece una de las certificaciones más prácticas que puede obtener. No hay preguntas de opción múltiple, 100% prácticas en un examen de 24 horas de duración. Si lo pasas, no hay nadie que pueda refutar tus habilidades. Es realmente un examen difícil.
He visto que esta certificación aparece en muchas ofertas de trabajo en "Habilidades deseadas", así como en la certificación OSCP (Profesional certificado en seguridad ofensiva) de la Ofensiva.
Un colega mío que tomó una de las certificaciones de Seguridad Ofensiva dijo que después de agregarlo a su currículum de LinkedIn, lo contactaron al menos una vez por semana para entrevistas de trabajo.
Me gustaría recomendar la Certificación Vendor-Neutral (SWADLP) Profesional de Ciclo de Vida del Desarrollo de Aplicaciones Web Seguras.
El alcance del programa Secure Web Application Development Lifecycle Practitioner (SWADLP) es para cualquier persona involucrada en el proceso de desarrollo de aplicaciones desde el frente técnico y administrativo.
Gestión (gerentes de programa / proyecto, equipo de aseguramiento, líderes, director / gerente de TI)
Gestión de los procesos de evaluación de seguridad
Ingenieros de desarrollo de aplicaciones (arquitectos, desarrolladores y probadores (QA) -
Implementación, revisión y optimización de diseño seguro
Consultores de software y analistas de seguridad de aplicaciones web (comprobadores de penetración, auditores, analistas y consultores)
Cualquier persona que desee profundizar en el proceso de prueba de seguridad web, herramientas y aplicaciones; Técnicas enlace
Lea otras preguntas en las etiquetas web-application certification