EC-Council Web Application Hacking and Security — Pentest-Ausbildung für Web Apps mit OWASP Top 10, Burp Suite, manueller und automatisierter Schwachstellen-Analyse.
Geprüft von Admin Kursweg · Stand 25. Mai 2026
Was wird in diesem Kurs vermittelt
Web Application Hacking and Security (WAHS) von EC-Council ist eine spezialisierte Pentest-Zertifizierung für Web-Anwendungen — fokussiert auf praktisches Hands-on statt nur Theorie. Sie werden in der iLabs-Plattform mit verwundbaren Web-Apps (DVWA, OWASP Juice Shop, Mutillidae, PortSwigger Web Security Academy) trainiert. Themen: Web-App-Architektur (Frontend/Backend/Database, Session-Management, Authentication-Flows), HTTP-Grundlagen (Methods GET/POST/PUT/DELETE, Headers, Cookies, Status Codes), HTTPS und TLS-Inspection. Reconnaissance (Whois, Subdomain Enumeration mit subfinder/amass, Wayback Machine, Google Dorking, Wappalyzer für Stack-Identification). Burp Suite Professional vertieft (Proxy, Repeater, Intruder, Scanner, Extender, Collaborator für OAST). OWASP Top 10 2021 als roter Faden: A01 Broken Access Control (IDOR — Insecure Direct Object References, Privilege Escalation), A02 Cryptographic Failures (Weak Encryption, Hardcoded Secrets), A03 Injection (SQLi mit sqlmap und manuell — UNION-based, Boolean-based blind, Time-based blind; NoSQL Injection, OS Command Injection, LDAP Injection), A04 Insecure Design, A05 Security Misconfiguration (Default Credentials, Verbose Errors, Backup Files), A06 Vulnerable Components (CVE-Lookup, Software Composition Analysis SCA), A07 Authentication Failures (Brute Force, Credential Stuffing, Session Fixation), A08 Data Integrity Failures (Insecure Deserialization), A09 Logging Failures, A10 SSRF (Server-Side Request Forgery). XSS (Reflected, Stored, DOM-based) mit Cookie-Stealing und Keyloggers via XSS, CSRF mit PoC-HTML, Click-Jacking. Authentication: JWT-Attacks (Algorithm Confusion alg:none, Weak Secrets), OAuth/OIDC-Misconfigurations. File Upload Vulnerabilities, XXE (XML External Entities), SSRF zu Internal Service Discovery. WAF-Bypass-Techniken. Exam: Hands-on, 12 Stunden, in der iLabs-Umgebung — Sie müssen reale Schwachstellen finden und ausnutzen. Bestehensgrenze 70%.
Marktdaten zu Verdienst, offenen Stellen und Zukunftsaussicht im Bereich IT & Informatik
Einstieg
38.000–48.000 €
0–2 Jahre Erfahrung
Mittel
52.000–68.000 €
3–7 Jahre Erfahrung
Senior
70.000–95.000 €
8+ Jahre / Lead-Rolle
124.000+
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Bei AZAV-zertifizierten Trägern ist die Kursgebühr regelmäßig zu 100 % förderbar.
CEH ist breiter und gibt Grundlagen. WAHS ist tiefer in Web-Apps. Direkter WAHS-Einstieg möglich, wenn Web-Vorkenntnisse vorhanden.
Im iLabs-Lab inkludiert. Für eigene Arbeit nach dem Kurs Lizenz nötig (~399$/Jahr) oder Community Edition mit Einschränkungen.
WAHS = nur Web Apps. OSCP = breit (Pentest end-to-end inkl. Infrastruktur). WAHS ist spezialisierter, OSCP renommierter.
12h Hands-on in iLabs — reale Schwachstellen finden und ausnutzen, Report schreiben. Praktischer als CEH (Multiple Choice).
Vorbereitung auf die Microsoft-Zertifizierung SC-200: Microsoft 365 Defender, Azure Sentinel, Defender for Endpoint, KQL-Abfragen. Für SOC-Analysten und IT-Security-Einsteiger.
Einstieg in den betrieblichen Datenschutz: BDSG, DSGVO, technisch-organisatorischer Datenschutz. Für angehende Datenschutzbeauftragte und Compliance-Manager.
Vorbereitung auf SC-300: Microsoft Entra ID Administration, Identity Governance, Conditional Access, Microsoft Identity Manager. Für Cloud-Identity-Administratoren.
Einsteiger-Zertifizierung für Microsoft-Security: SC-900 vermittelt Grundlagen zu Microsoft Defender, Compliance Center, Entra ID, Microsoft Security. Für IT-Quereinsteiger ins Cloud-Security-Feld.
Sag uns einmal Region, Format (online/präsenz), Zeit-Modell und Förderstatus — wir vergleichen für dich und melden uns mit 1–3 passenden Trägern. Kostenlos, unverbindlich.
Typischer Verlauf nach dem Kurs
Quellen: Bundesagentur für Arbeit · Engpassanalyse 2024/25 · StepStone Gehaltsreport 2025 · Bitkom Studie Fachkräftemangel 2024. Brutto-Jahresgehälter aus Erhebungen 2024/25, abweichend nach Region und Tarifgebundenheit.