Blog
Informativ, aktuell und spannend - der Oneconsult Cybersecurity Blog.

Der Weg zum Burp Suite Certified Practitioner

Welches sind die gängigsten Sicherheitslücken in Webapplikationen? Was muss ein Angreifer tun, um diese zu finden und auszunutzen? Und wie kann der Entwickler die Webapplikation davor schützen? Antworten auf diese Fragen sowie praxisnahe Hands-on-Beispiele liefert die Web Security Academy von PortSwigger.

Die Web Security Academy ist eine frei zugängliche Online-Bildungsplattform mit detaillierten Erklärungen und Übungen zu aktuell über 20 Schwachstellenarten, die in Webapplikationen anzutreffen sind. Im April 2019 wurde die Plattform von PortSwigger ins Leben gerufen, dem gleichen Unternehmen, das auch hinter der «Burp Suite» steckt – dem Schweizer Sackmesser für Web App Penetration Tests. Obwohl die Academy samt der freiwilligen Zertifizierung auf Burp-Suite-Anwender zugeschnitten ist, können auch Webentwickler und andere Security-Interessierte von den informativen und interaktiven Lernmaterialien profitieren.

Ist die Web Security Academy vielleicht etwas für Sie oder für Ihre Mitarbeitenden? Damit Sie diese Frage für sich etwas leichter beantworten können, sind in diesem Artikel die beiden wesentlichen Elemente der Academy zusammengefasst: das Training und die Zertifizierung zum «Burp Suite Certified Practitioner».

Web Security Academy Website

Das Training: Learning Materials und Vulnerability Labs

Die Academy umfasst die wichtigsten Web-Security-Themen – beginnend bei der klassischen SQL Injection bis hin zu komplexen Angriffstechniken wie Web Cache Poisoning oder HTTP Request Smuggling – und wird laufend ausgebaut. Stand heute sind es 22 Themenfelder, für welche die Web Security Academy jeweils zwei komplementäre Ressourcen bereitstellt: die «Learning Materials» und die «Vulnerability Labs».

Learning Materials

Die Learning Materials enthalten alle notwendigen Hintergrundinformationen, um zu verstehen, wie die jeweilige Schwachstelle verursacht wird, wie man sie findet, wie sie ausgenutzt werden kann und wie man eine Webapplikation dagegen schützt. Die Erklärungen sind in verständlichem Englisch verfasst und werden durch Diagramme und konkrete Codebeispiele ergänzt. Wer sich durch alle Themen durcharbeiten will, kann einem vorgegebenen Lernpfad folgen. Die einzelnen Lernmaterialien sind jedoch grösstenteils unabhängig, sodass man sich auch nur zu vereinzelten Schwachstellen weiterbilden kann.

Vulnerability Labs

Um das Wissen aus den Learning Materials anhand realistischer Beispiele anzuwenden, gibt es die sogenannten Vulnerability Labs. Die Labs kann man sich als persönliche, isolierte Testapplikationen vorstellen, auf denen die Lernenden legal nach Schwachstellen suchen und diese ausnützen dürfen. Damit sich die Lernenden beim Testen nicht in die Quere kommen, wird die jeweilige Webapplikation für jeden Benutzer individuell hochgefahren. Deshalb bedingt die Nutzung der Labs das Erstellen eines kostenlosen Benutzeraccounts. Die Labs sind in drei Schwierigkeitsgraden verfügbar: Apprentice, Practitioner und Expert. Wer alle Labs der Stufen Apprentice und Practitioner lösen kann, ist bereit für die Zertifizierung zum Burp Suite Certified Practitioner.

Die Zertifizierung: Burp Suite Certified Practitioner

Obwohl die Zertifizierung namentlich einen erfahrenen Umgang mit der Burp Suite beurkundet, erfordert und prüft sie weit mehr als blosses Anwenderwissen. Wer den Burp Suite Certified Practitioner besteht, ist imstande Webapplikationen auf eine Vielzahl von Schwachstellen zu überprüfen, unzulängliche Schutzmechanismen zu umgehen und vorhandene Sicherheitslücken erfolgreich auszunutzen – alles, was erprobte Web-App Penetration Tester ausmacht. Aus diesem Grund ist die Burp Suite Certified Practitioner-Zertifizierung nebst der bewährten «Offensive Security Certified Professional (OSCP)»-Zertifizierung seit diesem Jahr Teil unseres Ausbildungsplans für neue Mitarbeitende im Penetration-Testing-Bereich.

Wenn Sie mehr über unsere Erfahrungen mit der Web Security Academy von PortSwigger wissen möchten, kontaktieren Sie jederzeit gerne das Penetration-Testing-Team von Oneconsult: Kontakt

Über den Autor

Mathias Blarer absolvierte sein Informatikstudium an der ETH Zürich und schloss im November 2021 den Master mit Vertiefung Information Security ab. In seiner Masterarbeit entwickelte er ein Protokoll basierend auf der SCION-Internetarchitektur, womit zwei Hosts sich auf einen vertrauenswürdigen Kommunikationspfad einigen können. Während seines Studiums war er zudem bei einem führenden Schweizer Web Application Firewall (WAF)-Hersteller tätig, wo er einerseits für die Administration des produkteigenen Bug Bounty-Programms und andererseits für die Behebung der entdeckten Schwachstellen zuständig war. Im Januar 2022 nahm Mathias Blarer seine jetzige Tätigkeit als Penetration Tester bei der Oneconsult auf.

Publiziert am: 11.04.2022

Teilen

Nichts verpassen! Melden Sie sich für unseren kostenlosen Newsletter an.

Ihre Sicherheit hat höchste Priorität – unsere Spezialisten unterstützen Sie kompetent.

Erreichbarkeit von Montag bis Freitag 08.00 – 12.00 Uhr und 13.00 – 17.00 Uhr (Ausnahme: Kunden mit SLA – Bitte über die 24/7 IRFA-Notfallnummer anrufen).

Privatpersonen wenden sich bitte an Ihren IT-Dienstleister des Vertrauens oder die lokale Polizeidienststelle.

Weitere Informationen zu unseren DFIR-Services finden Sie hier:

qr_code_emergency_2022
CSIRT zu den Kontakten hinzufügen