EITC/IS/WAPT Web Applications Penetration Testing เป็นโปรแกรม European IT Certification ในด้านทฤษฎีและการปฏิบัติของการทดสอบการเจาะระบบเว็บแอปพลิเคชัน (การแฮ็กข้อมูลสีขาว) รวมถึงเทคนิคต่างๆ สำหรับการสไปเดอร์เว็บไซต์ การสแกน และเทคนิคการโจมตี รวมถึงเครื่องมือและชุดทดสอบการเจาะระบบเฉพาะทาง .
หลักสูตรของ EITC/IS/WAPT Web Applications Penetration Testing ครอบคลุมการแนะนำ Burp Suite, web spridering และ DVWA, การทดสอบ Brute Force ด้วย Burp Suite, การตรวจหา Web Application Firewall (WAF) ด้วย WAFW00F, ขอบเขตเป้าหมายและการสไปเดอร์, การค้นหาไฟล์ที่ซ่อนอยู่ด้วย ZAP, การสแกนช่องโหว่ของ WordPress และการนับชื่อผู้ใช้, การสแกนตัวโหลดบาลานซ์, สคริปต์ข้ามไซต์, XSS – การสะท้อน, การจัดเก็บและ DOM, การโจมตีด้วยพร็อกซี, การกำหนดค่าพร็อกซีใน ZAP, ไฟล์และการโจมตีไดเรกทอรี, การค้นหาไฟล์และไดเรกทอรีด้วย DirBuster, แนวปฏิบัติการโจมตีเว็บ , OWASP Juice Shop, CSRF - การปลอมแปลงคำขอข้ามไซต์, การรวบรวมคุกกี้และวิศวกรรมย้อนกลับ, แอตทริบิวต์ HTTP - การขโมยคุกกี้, การฉีด SQL, DotDotPwn - การข้ามเส้นทางไดเรกทอรี, การฉีด iframe และการฉีด HTML, การใช้ประโยชน์จาก Heartbleed - การค้นพบและการใช้ประโยชน์, การฉีดโค้ด PHP, bWAPP - การฉีด HTML, สะท้อน POST, การฉีดคำสั่ง OS ด้วย Commix, ฝั่งเซิร์ฟเวอร์รวมถึงการฉีด SSI, การทดสอบใน Docker, OverTheWire Natas, LFI และการฉีดคำสั่ง, การแฮ็กของ Google สำหรับการทดสอบการเจาะ, Google Dorks สำหรับการทดสอบการเจาะระบบ, Apache2 ModSecurity และ Nginx ModSecurity ภายในโครงสร้างต่อไปนี้ ซึ่งครอบคลุมเนื้อหาการสอนวิดีโอที่ครอบคลุมเพื่อใช้เป็นข้อมูลอ้างอิงสำหรับการรับรอง EITC นี้
ความปลอดภัยของเว็บแอปพลิเคชัน (มักเรียกว่า Web AppSec) เป็นแนวคิดในการออกแบบเว็บไซต์ให้ทำงานได้ตามปกติแม้ว่าจะถูกโจมตีก็ตาม แนวคิดนี้เป็นการรวมชุดของมาตรการรักษาความปลอดภัยเข้ากับเว็บแอปพลิเคชันเพื่อปกป้องทรัพย์สินจากตัวแทนที่ไม่เป็นมิตร เว็บแอปพลิเคชัน เช่นเดียวกับซอฟต์แวร์ทั้งหมด มักมีข้อบกพร่อง ข้อบกพร่องเหล่านี้บางส่วนเป็นช่องโหว่ที่แท้จริงที่สามารถใช้ประโยชน์ได้ ซึ่งก่อให้เกิดความเสี่ยงต่อธุรกิจ ข้อบกพร่องดังกล่าวได้รับการป้องกันผ่านการรักษาความปลอดภัยเว็บแอปพลิเคชัน มันเกี่ยวข้องกับการใช้แนวทางการพัฒนาที่ปลอดภัยและการควบคุมความปลอดภัยตลอดวงจรชีวิตการพัฒนาซอฟต์แวร์ (SDLC) เพื่อให้แน่ใจว่ามีการแก้ไขข้อบกพร่องในการออกแบบและปัญหาการใช้งาน การทดสอบการเจาะระบบออนไลน์ซึ่งดำเนินการโดยผู้เชี่ยวชาญที่มีจุดมุ่งหมายเพื่อเปิดเผยและใช้ประโยชน์จากช่องโหว่ของเว็บแอปพลิเคชันโดยใช้วิธีการแฮ็กสีขาวที่เรียกว่าเป็นแนวทางปฏิบัติที่จำเป็นเพื่อให้สามารถป้องกันได้อย่างเหมาะสม
การทดสอบการเจาะเว็บหรือที่เรียกว่าการทดสอบปากกาเว็บ จำลองการโจมตีทางไซเบอร์บนเว็บแอปพลิเคชันเพื่อค้นหาข้อบกพร่องที่ใช้ประโยชน์ได้ การทดสอบการเจาะระบบมักใช้เพื่อเสริมไฟร์วอลล์ของเว็บแอปพลิเคชันในบริบทของความปลอดภัยของแอปพลิเคชันเว็บ (WAF) โดยทั่วไป การทดสอบด้วยปากกาเกี่ยวข้องกับการพยายามเจาะระบบแอปพลิเคชันจำนวนเท่าใดก็ได้ (เช่น API, เซิร์ฟเวอร์ส่วนหน้า/ส่วนหลัง) เพื่อค้นหาช่องโหว่ เช่น อินพุตที่ไม่ถูกสุขอนามัยซึ่งเสี่ยงต่อการถูกโจมตีด้วยการแทรกโค้ด
ผลการทดสอบการเจาะระบบออนไลน์สามารถนำมาใช้เพื่อกำหนดค่านโยบายความปลอดภัย WAF และระบุช่องโหว่ที่ค้นพบได้
การทดสอบการเจาะมีห้าขั้นตอน
ขั้นตอนการทดสอบปากกาแบ่งออกเป็นห้าขั้นตอน
- การวางแผนและการสอดแนม
การกำหนดขอบเขตและเป้าหมายของการทดสอบ ซึ่งรวมถึงระบบที่จะแก้ไขและวิธีการทดสอบที่จะใช้เป็นขั้นตอนแรก
เพื่อให้ได้ความเข้าใจที่ดีขึ้นเกี่ยวกับวิธีการทำงานของเป้าหมายและจุดอ่อนที่อาจเกิดขึ้น ให้รวบรวมข้อมูล (เช่น ชื่อเครือข่ายและโดเมน เมลเซิร์ฟเวอร์) - การสแกน
ขั้นต่อไปคือค้นหาว่าแอปพลิเคชันเป้าหมายจะตอบสนองต่อความพยายามในการบุกรุกประเภทต่างๆ อย่างไร ซึ่งมักจะทำได้โดยใช้วิธีการดังต่อไปนี้:
การวิเคราะห์แบบสถิต – ตรวจสอบโค้ดของแอปพลิเคชันเพื่อคาดการณ์ว่าจะมีการทำงานอย่างไรเมื่อรัน เครื่องมือเหล่านี้สามารถสแกนโค้ดทั้งหมดได้ในครั้งเดียว
การวิเคราะห์แบบไดนามิกคือกระบวนการตรวจสอบโค้ดของแอปพลิเคชันขณะทำงาน วิธีการสแกนนี้ใช้งานได้จริงมากกว่าเพราะให้มุมมองแบบเรียลไทม์ของประสิทธิภาพของแอปพลิเคชัน - ได้รับการเข้าถึง
เพื่อค้นหาจุดอ่อนของเป้าหมาย ขั้นตอนนี้ใช้การโจมตีเว็บแอปพลิเคชัน เช่น การเขียนสคริปต์ข้ามไซต์ การฉีด SQL และแบ็คดอร์ เพื่อให้เข้าใจถึงความเสียหายที่อาจเกิดขึ้นจากช่องโหว่เหล่านี้ ผู้ทดสอบพยายามใช้ประโยชน์จากช่องโหว่เหล่านี้ด้วยการยกระดับสิทธิ์ ขโมยข้อมูล สกัดกั้นการรับส่งข้อมูล และอื่นๆ - รักษาการเข้าถึง
จุดประสงค์ของขั้นตอนนี้คือเพื่อประเมินว่าสามารถใช้ประโยชน์จากช่องโหว่เพื่อสร้างสถานะระยะยาวในระบบที่ถูกบุกรุกได้หรือไม่ ซึ่งช่วยให้ผู้ไม่หวังดีเข้าถึงข้อมูลในเชิงลึกได้ เป้าหมายคือการเลียนแบบการคุกคามแบบต่อเนื่องขั้นสูง ซึ่งสามารถอยู่ในระบบเป็นเวลาหลายเดือนเพื่อขโมยข้อมูลที่ละเอียดอ่อนที่สุดของบริษัท - การวิเคราะห์
ผลการทดสอบการเจาะจะถูกใส่ลงในรายงานที่มีข้อมูลเช่น:
ช่องโหว่ที่ถูกใช้อย่างละเอียด
ข้อมูลที่ได้มาซึ่งมีความละเอียดอ่อน
ระยะเวลาที่ผู้ทดสอบปากกาไม่สามารถสังเกตเห็นได้ในระบบ
ผู้เชี่ยวชาญด้านความปลอดภัยใช้ข้อมูลนี้เพื่อช่วยกำหนดการตั้งค่า WAF ขององค์กรและโซลูชันการรักษาความปลอดภัยแอปพลิเคชันอื่นๆ เพื่อแก้ไขช่องโหว่และป้องกันการโจมตีเพิ่มเติม
วิธีการทดสอบการเจาะ
- การทดสอบการเจาะระบบภายนอกมุ่งเน้นไปที่ทรัพย์สินของบริษัทที่มองเห็นได้บนอินเทอร์เน็ต เช่น เว็บแอปพลิเคชันเอง เว็บไซต์ของบริษัท ตลอดจนอีเมลและเซิร์ฟเวอร์ชื่อโดเมน (DNS) มีวัตถุประสงค์เพื่อเข้าถึงและดึงข้อมูลที่เป็นประโยชน์
- การทดสอบภายในทำให้ผู้ทดสอบสามารถเข้าถึงแอปพลิเคชันที่อยู่เบื้องหลังไฟร์วอลล์ของบริษัท ซึ่งจำลองการโจมตีจากบุคคลภายในที่ไม่เป็นมิตร ไม่จำเป็นต้องมีการจำลองพนักงานอันธพาล พนักงานที่ได้รับข้อมูลประจำตัวอันเป็นผลมาจากความพยายามฟิชชิ่งเป็นจุดเริ่มต้นทั่วไป
- การทดสอบแบบ Blind คือเมื่อผู้ทดสอบได้รับชื่อบริษัทที่กำลังทดสอบอย่างง่าย ๆ ซึ่งช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัยเห็นว่าการโจมตีแอปพลิเคชันจริงอาจเกิดขึ้นในเวลาจริงได้อย่างไร
- การทดสอบแบบ double-blind: ในการทดสอบแบบ double-blind ผู้เชี่ยวชาญด้านความปลอดภัยไม่ทราบถึงการโจมตีที่จำลองไว้ล่วงหน้า พวกเขาจะไม่มีเวลาเสริมแนวป้องกันก่อนที่จะพยายามแหกคุก เช่นเดียวกับในโลกแห่งความเป็นจริง
- การทดสอบตามเป้าหมาย – ในสถานการณ์นี้ ผู้ทดสอบและเจ้าหน้าที่รักษาความปลอดภัยจะทำงานร่วมกันและติดตามความเคลื่อนไหวของกันและกัน นี่คือแบบฝึกหัดการฝึกอบรมที่ยอดเยี่ยมที่จะให้คำติชมแบบเรียลไทม์แก่ทีมรักษาความปลอดภัยจากมุมมองของแฮ็กเกอร์
ไฟร์วอลล์เว็บแอปพลิเคชันและการทดสอบการเจาะระบบ
การทดสอบการเจาะและ WAF เป็นสองเทคนิคที่แยกจากกันแต่เสริมความปลอดภัย ผู้ทดสอบมีแนวโน้มที่จะใช้ประโยชน์จากข้อมูล WAF เช่น บันทึก เพื่อค้นหาและใช้ประโยชน์จากจุดอ่อนของแอปพลิเคชันในการทดสอบปากกาหลายประเภท (ยกเว้นการทดสอบแบบ blind และ double blind)
ในทางกลับกัน ข้อมูลการทดสอบปากกาสามารถช่วยผู้ดูแลระบบ WAF ได้ หลังจากเสร็จสิ้นการทดสอบ การกำหนดค่า WAF สามารถปรับเปลี่ยนได้เพื่อป้องกันข้อบกพร่องที่ตรวจพบระหว่างการทดสอบ
สุดท้าย การทดสอบด้วยปากกาเป็นไปตามข้อกำหนดของวิธีการตรวจสอบความปลอดภัย เช่น PCI DSS และ SOC 2 ข้อกำหนดบางประการ เช่น PCI-DSS 6.6 จะเป็นไปตามข้อกำหนดเฉพาะเมื่อใช้ WAF ที่ผ่านการรับรอง อย่างไรก็ตาม เนื่องจากประโยชน์ดังกล่าวและศักยภาพในการปรับเปลี่ยนการตั้งค่า WAF จึงไม่ทำให้การทดสอบด้วยปากกามีประโยชน์น้อยลง
การทดสอบความปลอดภัยของเว็บมีความสำคัญอย่างไร
เป้าหมายของการทดสอบความปลอดภัยของเว็บคือการระบุข้อบกพร่องด้านความปลอดภัยในเว็บแอปพลิเคชันและการตั้งค่า เลเยอร์แอปพลิเคชันเป็นเป้าหมายหลัก (เช่น สิ่งที่ทำงานบนโปรโตคอล HTTP) การส่งรูปแบบต่างๆ ของการป้อนข้อมูลไปยังเว็บแอปพลิเคชันเพื่อก่อให้เกิดปัญหาและทำให้ระบบตอบสนองในลักษณะที่ไม่คาดคิดเป็นแนวทางทั่วไปในการทดสอบความปลอดภัย "การทดสอบเชิงลบ" เหล่านี้เพื่อดูว่าระบบกำลังทำอะไรที่ไม่ได้ตั้งใจให้สำเร็จหรือไม่
สิ่งสำคัญคือต้องตระหนักว่าการทดสอบความปลอดภัยของเว็บเป็นมากกว่าการตรวจสอบคุณสมบัติความปลอดภัยของแอปพลิเคชัน (เช่น การตรวจสอบสิทธิ์และการอนุญาต) สิ่งสำคัญคือต้องตรวจสอบให้แน่ใจว่าได้ปรับใช้คุณลักษณะอื่นๆ อย่างปลอดภัย (เช่น ตรรกะทางธุรกิจและการใช้การตรวจสอบความถูกต้องอินพุตและการเข้ารหัสเอาต์พุตที่เหมาะสม) จุดประสงค์คือเพื่อให้แน่ใจว่าฟังก์ชันของเว็บแอปพลิเคชันนั้นปลอดภัย
การประเมินความปลอดภัยมีกี่ประเภท?
- ทดสอบ Dynamic Application Security (DAST) การทดสอบความปลอดภัยของแอปพลิเคชันแบบอัตโนมัตินี้เหมาะที่สุดสำหรับแอปที่มีความเสี่ยงต่ำและต้องเผชิญหน้าภายในซึ่งต้องเป็นไปตามข้อกำหนดด้านความปลอดภัยตามระเบียบข้อบังคับ การรวม DAST เข้ากับการทดสอบความปลอดภัยออนไลน์ด้วยตนเองสำหรับช่องโหว่ทั่วไปเป็นกลยุทธ์ที่ดีที่สุดสำหรับแอปที่มีความเสี่ยงปานกลางและแอปพลิเคชันที่สำคัญซึ่งอยู่ระหว่างการเปลี่ยนแปลงเล็กน้อย
- การตรวจสอบความปลอดภัยสำหรับแอปพลิเคชันแบบคงที่ (SAST) กลยุทธ์ความปลอดภัยของแอปพลิเคชันนี้รวมถึงวิธีการทดสอบทั้งแบบอัตโนมัติและแบบแมนนวล เหมาะอย่างยิ่งสำหรับการตรวจหาจุดบกพร่องโดยไม่ต้องเรียกใช้แอปในสภาพแวดล้อมแบบสด นอกจากนี้ยังช่วยให้วิศวกรสามารถสแกนซอร์สโค้ดเพื่อตรวจจับและแก้ไขข้อบกพร่องด้านความปลอดภัยของซอฟต์แวร์ได้อย่างเป็นระบบ
- สอบเจาะ. การทดสอบความปลอดภัยของแอปพลิเคชันด้วยตนเองนี้เหมาะสำหรับแอปพลิเคชันที่จำเป็น โดยเฉพาะอย่างยิ่งแอปพลิเคชันที่อยู่ระหว่างการเปลี่ยนแปลงที่สำคัญ ในการค้นหาสถานการณ์การโจมตีขั้นสูง การประเมินจะใช้ตรรกะทางธุรกิจและการทดสอบตามฝ่ายตรงข้าม
- การป้องกันตัวเองของแอปพลิเคชันในรันไทม์ (RASP) วิธีการรักษาความปลอดภัยแอปพลิเคชันที่กำลังเติบโตนี้รวมเอาเทคนิคทางเทคโนโลยีที่หลากหลายเพื่อเป็นเครื่องมือในแอปพลิเคชัน เพื่อให้สามารถจับตาดูภัยคุกคามได้ และหวังว่าจะสามารถป้องกันได้ในแบบเรียลไทม์เมื่อเกิดขึ้น
การทดสอบความปลอดภัยของแอปพลิเคชันมีบทบาทอย่างไรในการลดความเสี่ยงของบริษัท
การโจมตีเว็บแอปพลิเคชันส่วนใหญ่ประกอบด้วย:
- ด้วย SQL Injection
- XSS (การเขียนสคริปต์ข้ามไซต์)
- การดำเนินการคำสั่งจากระยะไกล
- การโจมตีข้ามเส้นทาง
- การเข้าถึงเนื้อหาที่ จำกัด
- บัญชีผู้ใช้ที่ถูกบุกรุก
- การติดตั้งรหัสที่เป็นอันตราย
- สูญเสียรายได้จากการขาย
- ความไว้วางใจของลูกค้าพังทลาย
- ทำลายชื่อเสียงของแบรนด์
- และการโจมตีอื่นๆ อีกมากมาย
ในสภาพแวดล้อมอินเทอร์เน็ตในปัจจุบัน เว็บแอปพลิเคชันอาจได้รับอันตรายจากความท้าทายต่างๆ ภาพด้านบนแสดงภาพการโจมตีทั่วไปบางส่วนที่ผู้โจมตีทำขึ้น ซึ่งแต่ละอย่างสามารถก่อให้เกิดความเสียหายอย่างมีนัยสำคัญต่อแอปพลิเคชันส่วนบุคคลหรือธุรกิจทั้งหมด การทราบถึงการโจมตีจำนวนมากที่ทำให้แอปพลิเคชันมีช่องโหว่ ตลอดจนผลลัพธ์ที่เป็นไปได้ของการโจมตี ทำให้บริษัทสามารถแก้ไขช่องโหว่ได้ล่วงหน้าและทดสอบช่องโหว่อย่างมีประสิทธิภาพ
การควบคุมการบรรเทาผลกระทบสามารถกำหนดได้ตลอดช่วงเริ่มต้นของ SDLC เพื่อป้องกันปัญหาใดๆ โดยการระบุสาเหตุหลักของช่องโหว่ ในระหว่างการทดสอบความปลอดภัยของเว็บแอปพลิเคชัน ความรู้เกี่ยวกับวิธีการทำงานของภัยคุกคามเหล่านี้สามารถนำไปใช้เพื่อกำหนดเป้าหมายไปยังสถานที่ที่เป็นที่รู้จักได้
การรับรู้ถึงผลกระทบของการโจมตีก็มีความสำคัญเช่นกันสำหรับการจัดการความเสี่ยงของบริษัท เนื่องจากผลกระทบของการโจมตีที่ประสบความสำเร็จอาจถูกใช้เพื่อกำหนดระดับความรุนแรงของช่องโหว่โดยรวม หากพบช่องโหว่ในระหว่างการทดสอบความปลอดภัย การพิจารณาความรุนแรงจะช่วยให้บริษัทจัดลำดับความสำคัญของการดำเนินการแก้ไขได้อย่างมีประสิทธิภาพมากขึ้น เพื่อลดความเสี่ยงให้กับบริษัท ให้เริ่มต้นด้วยประเด็นที่ร้ายแรงและพยายามลดผลกระทบลง
ก่อนที่จะระบุปัญหา การประเมินผลกระทบที่เป็นไปได้ของแต่ละโปรแกรมในไลบรารีแอปพลิเคชันของบริษัทจะช่วยให้คุณจัดลำดับความสำคัญของการทดสอบความปลอดภัยของแอปพลิเคชันได้ สามารถกำหนดเวลาการทดสอบความปลอดภัยของ Webb เพื่อกำหนดเป้าหมายแอปพลิเคชันที่สำคัญของบริษัทก่อน โดยมีการทดสอบที่ตรงเป้าหมายมากขึ้นเพื่อลดความเสี่ยงต่อธุรกิจ ด้วยรายชื่อแอปพลิเคชันที่มีรายละเอียดสูง การทดสอบความปลอดภัยของเวบบ์สามารถกำหนดเวลาเพื่อกำหนดเป้าหมายแอปพลิเคชันที่สำคัญของบริษัทก่อน โดยมีการทดสอบที่ตรงเป้าหมายมากขึ้นเพื่อลดความเสี่ยงต่อธุรกิจ
ระหว่างการทดสอบความปลอดภัยของเว็บแอปพลิเคชัน ควรตรวจสอบคุณลักษณะใดบ้าง
ในระหว่างการทดสอบความปลอดภัยของเว็บแอปพลิเคชัน ให้พิจารณารายการคุณลักษณะโดยสังเขปต่อไปนี้ การใช้งานแต่ละอย่างที่ไม่มีประสิทธิภาพอาจส่งผลให้เกิดจุดอ่อน และทำให้บริษัทตกอยู่ในอันตราย
- การกำหนดค่าแอปพลิเคชันและเซิร์ฟเวอร์ การเข้ารหัส/การตั้งค่าการเข้ารหัส การกำหนดค่าเว็บเซิร์ฟเวอร์ และอื่นๆ ล้วนเป็นตัวอย่างของข้อบกพร่องที่อาจเกิดขึ้น
- การตรวจสอบความถูกต้องของการจัดการอินพุตและข้อผิดพลาด การประมวลผลอินพุตและเอาต์พุตที่ไม่ดีจะนำไปสู่การแทรก SQL, การเขียนสคริปต์แบบข้ามไซต์ (XSS) และปัญหาการฉีดทั่วไปอื่นๆ
- การตรวจสอบสิทธิ์และการบำรุงรักษาเซสชัน ช่องโหว่ที่อาจนำไปสู่การแอบอ้างเป็นผู้ใช้ ควรคำนึงถึงความแข็งแกร่งของข้อมูลรับรองและการป้องกันด้วย
- การอนุญาต กำลังทดสอบความสามารถของแอปพลิเคชันในการป้องกันการยกระดับสิทธิ์ในแนวตั้งและแนวนอน
- ตรรกะในธุรกิจ โปรแกรมส่วนใหญ่ที่ให้ฟังก์ชันทางธุรกิจต้องอาศัยสิ่งเหล่านี้
- ตรรกะที่ส่วนท้ายของลูกค้า คุณลักษณะประเภทนี้กำลังเป็นที่นิยมมากขึ้นในหน้าเว็บสมัยใหม่ที่ใช้ JavaScript ตลอดจนหน้าเว็บที่ใช้เทคโนโลยีฝั่งไคลเอ็นต์ประเภทอื่นๆ (เช่น Silverlight, Flash, Java applets)
หากต้องการทราบรายละเอียดเกี่ยวกับหลักสูตรการรับรอง คุณสามารถขยายและวิเคราะห์ตารางด้านล่างได้
EITC/IS/WAPT Web Applications Penetration Testing Certification Curriculum อ้างอิงเนื้อหาการสอนแบบเปิดในรูปแบบวิดีโอ กระบวนการเรียนรู้แบ่งออกเป็นโครงสร้างทีละขั้นตอน (โปรแกรม -> บทเรียน -> หัวข้อ) ครอบคลุมส่วนต่างๆ ของหลักสูตรที่เกี่ยวข้อง นอกจากนี้ยังมีการให้คำปรึกษาอย่างไม่จำกัดกับผู้เชี่ยวชาญด้านโดเมนอีกด้วย
สำหรับรายละเอียดการตรวจสอบขั้นตอนการรับรอง มันทำงานอย่างไร.
ดาวน์โหลดเอกสารเตรียมการเรียนรู้ด้วยตนเองแบบออฟไลน์ฉบับสมบูรณ์สำหรับโปรแกรมทดสอบการเจาะระบบแอปพลิเคชันเว็บ EITC/IS/WAPT ในรูปแบบไฟล์ PDF
เอกสารการเตรียมการ EITC/IS/WAPT – เวอร์ชันมาตรฐาน
เอกสารการเตรียมการ EITC/IS/WAPT – เวอร์ชันขยายพร้อมคำถามในการทบทวน