Pruebas de seguridad de la aplicación vs penetración de red [cerrado]

3

Soy un desarrollador web con aproximadamente 7 años de experiencia, pero durante los últimos 12 meses he estado involucrado en seguridad cibernética, así que comencé a implementar prácticas de código seguro y buenas prácticas de OWASP en el trabajo. Me he estado preparando para hacer mi OSCP y he hecho algunos CTFs porque la prueba piloto parece realmente interesante, aunque creo que la seguridad de la aplicación es más para mí.

He notado que los usuarios de aplicaciones no tienen / requieren grandes colecciones de certificaciones como los pentesters.

1) además de leer el manual de piratas informáticos de aplicaciones web, implementar metodologías de seguridad OWASP y hacer CTF, ¿de qué otra manera puedo ingresar a la seguridad de la aplicación sin comprar el curso pwk (OSCP)?

2) ¿Vale la pena tomar OSCP para convertirse en un especialista en seguridad de aplicaciones o cualquier otro certificado?

3) ¿Cuál es la gran diferencia en cuanto a las tareas diarias entre las pruebas de penetración de red y la seguridad de la aplicación web?

    
pregunta N3000 18.03.2017 - 04:04
fuente

1 respuesta

4

1) Prueba el juego de guerra 'Natas' en OverTheWire.org, es bueno para aprender conceptos y aprenderlos en acción. Tienen un montón de aplicaciones inseguras que puedes practicar explotando. También OWASP tiene una aplicación de práctica (insegura) para probar llamada WebGoat.

2) La misma compañía (seguridad ofensiva) que ofrece el oscp también ofrece el OSWE (Experto en Web de seguridad ofensiva). Definitivamente recomendaría tomar el OSWE si está buscando ir a la ruta de la aplicación. El OSCP toca el lado de la aplicación pero está más enfocado en la red.

3) Los ingenieros de seguridad de las aplicaciones trabajarán estrictamente en las aplicaciones / código. Los probadores de redes funcionan con toda la red. Una red puede consistir en PC, servidores, enrutadores, cortafuegos, conmutadores, etc. Por lo tanto, se centrarán más en el diseño de la red, en cómo un atacante puede moverse por la red y explotar las máquinas en ella. La aplicación se centrará exclusivamente en una aplicación / software específico.

Webgoat: enlace

Natas: enlace

OSWE: enlace

    
respondido por el nd510 18.03.2017 - 04:13
fuente

Lea otras preguntas en las etiquetas