La certification GIAC Web Application Penetration Tester (GWAPT) valide la capacité d’un praticien à améliorer la cybersécurité d’une organisation par le biais de test d’intrusion sécurité des applications, des vulnérabilités et des méthodologies. Dans cet article de blog, nous expliquerons ce qu’est la certification GWAPT, depuis les domaines qu’elle couvre et ses prérequis jusqu’à ses objectifs et la manière de s’y préparer au mieux.
Qu’est-ce que la certification GWAPT ?
La certification GIAC (Global Information Assurance Certification) Web Application Penetration Tester, ou GWAPT, valide la capacité d’un praticien à mieux sécuriser les organisations grâce à des test d’intrusion et à une compréhension approfondie des vulnérabilités en matière de sécurité des applications web. Les titulaires de la certification GWAPT ont démontré leur connaissance des exploits des applications web et des méthodologies de test d’intrusion. La certification GWAPT couvre les domaines suivants :
- Vue d’ensemble des applications web, attaques d’authentification et tests de configuration.
- Gestion des sessions des applications web, attaques par injection SQL et outils de test.
- Falsification des requêtes intersites et des scripts, attaques par injection du client, reconnaissance et cartographie.
Quelles sont les conditions préalables à la certification GWAPT ?
La page d’inscription de GWAPT GIAC ne mentionne aucune condition préalable, mais son cours préparatoire SEC542 «suppose que les étudiants ont une connaissance pratique de base de la ligne de commande Linux». D’autres sources sur Internet mentionnent une expérience des bases de Linux et de Kali Linux.
À qui s’adresse la certification GWAPT ?
La certification GWAPT est destinée aux professionnels suivants :
- Les praticiens de la cybersécurité: Il s’agit notamment de hackers éthiques ou de spécialistes en test d’intrusion tration et d’analystes de la sécurité qui souhaitent valider leurs compétences en matière de test d’intrusionapplications web.
- Les développeurs d’applications web: Il s’agit des développeurs web qui souhaitent améliorer leurs connaissances et leurs compétences en matière de sécurité des applications web.
- Concepteurs et architectes de sites web: Il s’agit des concepteurs et architectes de sites web qui souhaitent en savoir plus sur les questions de sécurité des applications web.
La certification GWAPT convient également aux personnes qui souhaitent valider leurs compétences et leurs connaissances en matière de sécurité des applications web.
Quel est le format de l’examen de certification GWAPT ?
L’examen GWAPT se déroule comme suit :
- 1 examen surveillé.
- 82-115 questions.
- 2-3 heures.
- Note minimale de 71 %.
Quelles sont les options de livraison de l’examen ?
Tous les examens de certification de l’ACEG sont basés sur Internet et doivent être surveillés. Les deux options d’examen sont les suivantes :
- Proctorat à distance grâce à
ProctorU
: Cela signifie que vous pouvez passer votre examen de n’importe où dans le monde, à condition de disposer d’une webcam et d’une connexion Internet fiable. - Proctorat sur site par l’intermédiaire de
Pearson VUE
: Cela signifie que le centre de formation agréé par l’ACEG ou le surveillant Pearson VUE administrera votre examen.
Quels sont les objectifs de certification et les énoncés des résultats ?
Attaques de type «Cross-Site Request Forgery», «Cross-Site Scripting» et «Client Injection».
Le candidat démontrera une compréhension des attaques de type Cross-Site Request Forgery, Cross-Site Scripting et Client Injection ainsi que des outils et techniques utilisés pour trouver et exploiter les vulnérabilités.
Reconnaissance et cartographie
Le candidat montrera qu’il comprend les techniques de découverte, d’exploration et d’investigation des caractéristiques d’un site web et d’une application web, y compris le balayage des ports, l’identification des services et des configurations, le spidering, l’organigramme des applications et l’analyse des sessions.
Attaques d’authentification des applications web
Le candidat devra se familiariser avec le processus et les mécanismes de sécurisation des applications web par l’authentification, la manière d’énumérer les utilisateurs et la manière de contourner et d’exploiter les faiblesses de l’authentification.
Tests de configuration des applications web
Le candidat se familiarisera avec les outils et les techniques utilisés pour auditer et identifier les défauts de configuration dans la conception ou la mise en œuvre d’un site web.
Vue d’ensemble de l’application web
Le candidat démontrera une compréhension des technologies, des langages de programmation et des structures pour la construction et la mise en œuvre d’un site web tel que HTTP, HTTPS et AJAX dans le contexte de la sécurité, des vulnérabilités et du fonctionnement de base.
Gestion des sessions des applications web
Le candidat montrera qu’il comprend la gestion des sessions client d’une application web, le suivi de l’activité de l’utilisateur et l’utilisation des protocoles SSL/TLS dans les communications web modernes, ainsi que les attaques qui peuvent être exécutées contre les failles dans l’état de la session.
Attaques par injection SQL dans les applications web
Le candidat devra se familiariser avec les techniques d’audit et de test de la sécurité des applications web par le biais d’attaques par injection SQL, ainsi qu’avec la manière d’identifier les vulnérabilités des applications en matière d’injection SQL.
Outils de test des applications web
Le candidat devra montrer qu’il comprend les outils et les techniques permettant d’effectuer des tests de sécurité des applications web sur les langages modernes basés sur le web, à savoir JavaScript et AJAX, y compris l’utilisation de proxies, le fuzzing, le scripting et l’attaque de la logique de l’application.
Comment se préparer au mieux à la certification GWAPT ?
Le cours SEC542 : Web App Penetration Testing and Ethical Hacking de l’ACEG est conçu pour aider les candidats au GWAPT à passer d’un «balayage par bouton-poussoir à des test d’intrusionapplications web professionnels, approfondis et de grande valeur». SEC542 est un cours complet et pratique qui permet aux participants d’acquérir les compétences nécessaires pour trouver et exploiter les vulnérabilités des applications web modernes. Le cours couvre tous les objectifs de l’examen GWAPT, y compris la collecte d’informations, la découverte de contenu, l’authentification, le test de session, l’injection et l’exploitation des failles XXE.
Les autres moyens de se préparer à la certification GWAPT sont les suivants :
- L’expérience professionnelle pratique permet de s’assurer que vous avez développé les compétences requises pour l’examen de certification GWAPT.
- Des cours de niveau universitaire ou des études en autonomie dans le cadre d’autres programmes ou documents peuvent contribuer à améliorer vos compétences et vos connaissances.
Conclusion
Les test d’intrusion applications web sont une compétence essentielle pour tout professionnel moderne de la sécurité de l’information. La certification GWAPT est un titre mondialement reconnu qui valide vos compétences et vos connaissances dans ce domaine. Si vous souhaitez vous lancer dans les test d’intrusionapplications web ou passer au niveau supérieur, la certification GWAPT est une excellente option. Cette certification spécialisée dans les applications web figure parmi les 8 premières certifications de test d’intrusion usion qu’un prestataire de test d’intrusion doit détenir.
Contactez-nous si vous avez besoin d’aide pour améliorer votre sécurité à l’aide de test d’intrusionapplications web.
