Pentest Exam (BACPP)
- Bitte wählen Sie, ob Sie ein Firmen- oder Privatkunde sind, um Preise zu sehen.:
Firmenkunde
Privatkunde
Beschreibung
Führen Sie erfolgreich einen Penetrationstest durch und erhalten Sie unser Pentest-Zertifikat: Binsec Academy Certified Pentest Professional (BACPP).
Mit der Zertifizierung zum BACPP weisen Sie gegenüber Dritten nach, dass Sie
- IT-Systeme kompromittieren und Zero-Day-Exploits entwickeln können,
- Netzwerke und Anwendungen nach einer reproduzierbaren Vorgehensweise auf Schwachstellen hin untersuchen können,
- all Ihre Findings in einem strukturierten Bericht für einen Auftraggeber niederlegen und sie nach ihrem Risiko priorisieren können,
- einen mehrtägigen Penetrationstest professionell durchführen können.
Mit Prüfungsbeginn erhalten Sie über unser Portal
- Zugriff auf die digitalen Kursmaterialien (Informationen zur Prüfung)
- Ihre OpenVPN-Zugangsdaten für das virtuelle Netzwerk der „Vulnus Health Inc.“
Sie erhalten für 5 Tage Zugang zur IT-Infrastruktur der „Vulnus Health Inc.“, welche mehrere Netzwerksegmente umfasst. In dieser Zeit ist es Ihre Aufgabe einen Penetrationstest der IT-Systeme und der Anwendungen durchzuführen. Die Ergebnisse Ihres Penetrationstests halten Sie in einem abschließenden Bericht fest und übermitteln ihn verschlüsselt an uns. Ist der Bericht strukturiert, verständlich, nachvollziehbar, inhaltlich vollständig und haben Sie die wichtigsten Schwachstellen im Netzwerk der „Vulnus Health“ identifiziert, erhalten Sie von uns das Zertifikat BACPP als Nachweis Ihrer Leistung.
Sie benötigen für die Durchführung von Penetrationstests auf Netzwerk- und Applikationsebene natürlich einen Computer. Auf diesem muss Sie ein Linux-System (wie z. B. Debian, Ubuntu, Kali Linux) installiert sein, welches Sie auch virtualisiert betreiben können, z. B. mit VirtualBox. Wir empfehlen folgende Hardware-Ausstattung:
- mind. 6 GB Arbeitsspeicher
- mind. 20 GB freier Festplattenplatz
- Internetgeschwindigkeit von 1 MBit/s oder mehr
Zur Verbindung mit unserem Labor benötigen Sie die Open-Source-Software „OpenVPN“. Sollten Sie eine Firewall einsetzen, die den ausgehenden Datenverkehr einschränkt - z. B. in einem Firmennetzwerk -, müssen Sie eventuell den dazugehörigen TCP-Port freischalten (lassen). Diesen erhalten Sie zusammen mit der Konfigurationsdatei für Ihr VPN. Aus technischen Gründen ist das nicht der Standard-Port von OpenVPN.
Kundenrezensionen
„Das an eine reale Firmen-Infrastruktur angelehnte Labor des BACPPs war detailliert und abwechslungsreich, wodurch es Spaß bereitete, seine bisherigen Fähigkeiten unter Beweis zu stellen und nebenbei auch noch zusätzliche Erfahrungen zu sammeln.“
Florian Struck
„Um die BACPP-Prüfung zu bestehen, musste ich - symbolisch ausgedrückt - mit dem Kopf gegen die Wand schlagen, da einem das Zertifikat alles andere als geschenkt wird. Dafür hat es mir am Ende den Einstieg als IT-Security Consultant vereinfacht und das nötige Know-how an die Hand gegeben, um einen professionellen Penetrationstest durchzuführen.“
Saed Alavi
„Die Prüfung zum BACPP hat mir sehr dabei geholfen, den Unterschied zwischen professionellem Pentesting und bloßem Hacking zu verinnerlichen. Insbesondere das Pentest-Einmaleins aus dem optionalen Pentest Training bereitet einen hervorragend auf die berufliche Tätigkeit und somit auf die Zertifizierung vor.“
Niklas Bessler
FAQ
Nachfolgend haben wir die häufigsten Fragen zur Prüfung und die dazugehörigen Antworten aufgelistet:
Prinzipiell werden Sie im Examen vor die Herausforderung gestellt, einen Penetrationstest an einer für Sie unbekannten IT-Infrastruktur durchzuführen. Um keine Schwachstelle unentdeckt zu lassen, benötigen Sie eine reproduzierbare Vorgehensweise - der OWASP Testing Guide sollte Ihnen in diesem Rahmen kein Fremdwort sein. Zudem gehört es zum Arbeitsalltag eines Penetrationstesters, sich auch in (neue) Technologien einzuarbeiten, weshalb die Schwachstellentypen im Examen nicht vordefiniert sind und von Prüfung zu Prüfung variieren können. Der Zeitaufwand für den Pentest ist so bemessen, dass ein professioneller Penetrationstester etwa 2 bis 3 Tage (bei 8 h pro Tag) benötigen würde, während Sie 5 Tage lang Zugang zum Labor erhalten. Sie sollten allerdings im Hinterkopf haben, dass wir uns auf die Durchführung professioneller Penetrationstests konzentrieren: Diese beinhalten einen fundierten, ausführlichen Bericht, wie Sie ihn auch einem realen Kunden geben würden.
Zur Vorbereitung auf das Examen können Sie sich in unserem Pentest Training eine strukturierte Vorgehensweise erarbeiten und diese an einem fiktiven Unternehmen testen. Sie sind bereit für das Examen, wenn Sie eigenständig - ohne Hinzunahme unseres Hilfesystems - Schwachstellen in den meisten Anwendungen und Systemen der Dubius Payment Ltd. identifizieren konnten. Beachten Sie bitte dabei, dass ein Pentest im Regelfall die Identifikation sämtlicher Schwachstellen in IT-Systemen umfasst - die Prüfung endet somit nicht mit dem Aufdecken des erstbesten Einfallstors. Darüber hinaus empfehlen wir, als schriftliche Übung einen vollständigen Pentestbericht zum Payment-Gateway (API) der Dubius Payment Ltd. anzufertigen. Diesen können Sie uns im Rahmen des Pentest Trainings optional zusenden, um Feedback zu Ihrem Berichtaufbau einzuholen. Zuletzt sei noch erwähnt, dass es sich bei den für das Pentest Training und für das Pentest Examen erdachten Unternehmen um zwei verschiedene handelt, weshalb sich die Dienste und Anwendungen unterscheiden.
Ja, Sie können die Prüfung wiederholen. Sie können den Support kontaktieren, um einen Voucher mit einem Preisnachlass zu erhalten, sollten Sie nicht bestanden haben.