iSAQB CPSA-A WEBSEC

Beschreibung

Die Teilnahme am iSAQB® CPSA-A-Kurs „Web Security (WEBSEC)” bringt den Teilnehmenden 20 Credit Points in der Technischen Kompetenz (TC) und 10 Credit Points in der Methodischen Kompetenz (MC) ein – anrechenbar auf die insgesamt 70 erforderlichen Credit Points für die Zulassung zur CPSA-A-Prüfung bei Brightest. Bitte beachten Sie, dass Sie im Rahmen der Zulassung zur CPSA-A-Prüfung bei Brightest in jedem der folgenden Kompetenzbereiche mindestens zehn Credit Points nachweisen müssen:

• Technische Kompetenz (TC)
• Methodische Kompetenz (MC)
• Kommunikative Kompetenz (CC)

Das akkreditierte iSAQB®-Training WEBSEC – Web Security (CPSA-A) basiert auf dem aktuellen iSAQB®-Lehrplan:

Teil 1 – Analyse der Web-Sicherheit

• Risiken und Modelle
• Grundlegende Sicherheitsziele
• Asset-Identifikation und Zugriffskonzepte
• Kriterien für Abnahme und Audits identifizieren
• Abwägung zwischen Sicherheit und anderen Qualitätsmerkmalen
• Sicherheit als Prozess verstehen, nicht als Einzelmaßnahme
• Sicherheit als Verantwortung aller Beteiligten verstehen
• Gängige Richtlinien, Standards und Empfehlungen kennen
• Gängige Klassifikationssysteme für Sicherheitsprobleme kennen
• Gängige Zertifizierungen kategorisieren können

Teil 2 – Sicherer Entwurfs- und Entwicklungsprozess

• Das Prinzip „alle Eingaben validieren, alle Ausgaben escapen“
• Prinzipien wie Sicherheitstore, Reviews und „Vertraue niemandem“
• Indikatoren für sicheres Applikationsdesign
• Grundmuster für sichere Programmierleitlinien
• Inhalte eines sicheren Entwicklungsprozesses und Beispiel-Framework
• Zugriffskonzepte für Systemlandschaft, Artefakte und Quellcode
• Werkzeuge und Infrastrukturen, die sichere Entwicklung unterstützen
• Abgrenzung zu analytischen Methoden
• Incident Management

Teil 3 – Kryptographie

• Grundlagen der Kryptografie
• Hashing
• Verschlüsselungsverfahren
• Vertrauenskonstrukte
• Praktische Anwendung

Teil 4 – Web: Technische Grundlagen

• Gängige „Good Practices“
• Authentifizierungsarten
• „Security through Obscurity“-Maßnahmen
• Sicherheitsrelevante Protokolle (z. B. TLS)
• Gängige Autorisierungskonzepte und relevante Implementierungen
• Unterstützende Tools

Teil 5 – Web: Bekannte Angriffe und Angriffsvektoren

• Angriffsvektoren und Klassifikation
• Spezielle Gefahren von Social Engineering in Webanwendungen
• Injection-Angriffe
• Bedeutung und Funktionsweise von DoS- und DDoS-Angriffen
• Angriffe über Laufzeitumgebung oder Anwendungsplattform
• Sicherheitslücken durch Fuzzing identifizieren
• Man-in-the-Middle-Angriffe
• Wichtige Quellen zu aktuellen Bedrohungen und Angriffen

Teil 6 – Web: Sicherheit und Infrastruktur

• Funktion und Prozesse von Firewalls
• Web Application Firewalls
• Intrusion Detection / Prevention Systeme
• Validierung durch Feedback aus dem Betrieb
• Nutzung von TLS (Transport Layer Security)