Este finde pasado dije, me apetece entretenerme un rato, e hice el eWPT. Nah, en realidad no fue tan espontáneo, pero hubiera molado que hubiese sido así. En cualquier caso, salió bien:
Por lo que voy a hacer una review sobre que me ha parecido.
- Contexto
- ¿Vale la pena?
- ¿Qué tan difícil es?
- ¿Qué necesito saber?
- ¿Cómo es el examen?
- ¿Cómo es el Curso de Preparación?
- Tips
- Conclusión
Contexto
El eWPT o eLearnSecurity Web Application Penetration Tester es una certificación 100% práctica, que pone a prueba tus habilidades de pentesting web. Según eLearnSecurity, abarca los siguientes temas:
- Penetration testing processes and methodologies
- Web application analysis and inspection
- OSINT and information gathering techniques
- Vulnerability assessment of web applications
- OWASP TOP 10 2013 / OWASP Testing guide
- Manual exploitation of XSS, SQLi, web services, HTML5, LFI/RFI
- Exploit development for web environments
- Advanced Reporting skills and remediation
¿Vale la pena?
Pues diría que si la verdad, es una certificación bastante entretenida donde podrás poner a prueba diversos ataques web, y no solo eso, sino la capacidad de realizar un reporte, de familiarizarte con el OWASP Testing Guide, etc. Aparte de practicar los distintos ataques y demás, si lo enfocas de forma correcta, como si fuera una auditoría web real, está muy guay y puedes aprender mucho.
¿Qué tan difícil es?
Pues, ya lo dije con el eCPPTv2, personalmente pienso que no es difícil, pero que tampoco quiere decir que sea fácil. Si no tienes los conocimientos o los tienes muy limitados no podrás pasar la certificación. Aquí puede venir una comparación, ¿qué es más difícil, el eCPPTv2 o el eWPT?
Pues, son distintos, me explico, la parte web del eCPPTv2 es bastante más sencilla que la del eWPT, por lo que, la conclusión es:
- A nivel web, el eWPT es mas difícil.
- El eCPPTv2 abarca mas variedad de temas.
Por lo que, siguiendo estos dos principios, una persona puede aprobar el eCPPTv2 y suspender el otro, y viceversa. Personalmente, considero que ambas certificaciones van por distinto camino:
Por lo que en este caso, no es cuestión de cuál hacer basándote en la dificultad, sino de, ¿a qué te quieres enfocar en este momento?.
En cualquier caso, volviendo al propio eWPT, ¿es difícil?, pues no, pero sí que tienes que tener experiencia con ataques web y entender como funcionan y demás.
¿Qué necesito saber?
Pues personalmente, lo que yo considero que debes de saber para poder abordar con éxito la certificación, es lo siguiente:
- Burp Suite, Burp Suite, y Burp Suite. Para mí, esta es la mejor herramienta de pentesting web sin ninguna duda, es totalmente indispensable saber usarla, ya sea para CTF o para la propia realidad. Y no, Burp Suite no es solo interceptar, mandar al repeater y ya. Tiene muchas características más superútiles.
- Saber como funcionan las cookies y las sesiones.
- En cuanto a ataques web, pues no puedo ser muy concreto porque sería spoiler, pero digamos que yendo a PortSwigger y haciendo todos los laboratorios de las vulnerabilidades más conocidas e importantes, irás bien. Aun así, échale un vistazo al temario del curso de preparación.
- Tener una idea de los sitios de referencias de vulnerabilidades más famosos, MITRE (CWE), OWASP, WASC Threat Classification, y además, por supuesto, usar el CVSS.
¿Cómo es el examen?
Cuando comienzas la certificación, te proporcionan la “carta de compromiso”, básicamente es un PDF donde te dan todos los detalles necesarios para hacer el examen.
- Súper TIP, lee ultra mega híper bien la carta de compromiso antes de comenzar el examen.
Una vez leída la carta, simplemente te conectas por VPN al examen y tendrás los distintos activos web a auditar, por esta parte no hay mucho más que comentar.
El examen dura 14 días, tienes 7 días de laboratorio, es decir, 7 días para completar la parte práctica, y luego tienes otros 7 días para realizar el reporte. Yo empecé el examen un viernes sobre las 19:30 y para el sábado sobre las 21:00 ya tenía los requisitos mínimos junto a bastantes vulnerabilidades, el domingo hice el reporte y listo.
En referencia a “los requisitos mínimos”, en la carta de compromiso se te indica que el requisito mínimo, pero no suficiente, es hacer X. Dice no suficiente, porque aunque cumplas lo que se te indica, el objetivo del examen es encontrar y reportar todas las vulnerabilidades web que encuentres.
Volviendo al reporte, por si te sirve de guía, a mí me ocupó 72 páginas, literalmente me lo escribí todo el domingo y cuando acabé tenía las manos tan reventadas que me puse a jugar God Of War xD. Para el reporte puedes seguir alguna plantilla como la de TCM o TheMayor, que es como hice yo en el eCPPTv2, sin embargo, en este caso, decidí escribirlo todo de cero, pero cogiendo ideas de ambas plantillas. Una estructura que puedes seguir puede ser:
- Vulnerabilidad
- Breve Descripción
- Activos Afectados
- Descripción Extendida
- Impacto (CVSS)
- Recomendaciones
- Referencias
Puedes usar este modelo y adaptarlo a lo que consideres mejor.
¿Cómo es el curso de Preparación?
Pues, sinceramente, un coñazo.
Y si, lo digo en serio. Algo que personalmente no me gusta de eLearnSecurity es que te coloca un PowerPoint de 300 páginas de contenido, donde, si te ponen un trozo de código, ni siquiera puedes copiarlo directamente. Además, 300 páginas de PowerPoint está bien cuando llevas 20, pero cuando vas por la 100 estás un poco hasta los cojones. Personalmente, prefiero el contenido en vídeo, con alguien explicándomelo todo de forma dinámica y amena. Y que me pusiera el código en la descripción para poder copiarlo x) y hacer pruebas en local.
Ahora bien, por otro lado, algo que me encanta de eLearnSecurity es como entra en detalle en muchos temas. Cuando nos enfocamos tanto en hacer máquinas y ataques, a veces, olvidamos y no tenemos en cuenta la verdadera base para poder construir de forma más sólida sobre todo lo demás. Me encanta como explica de manera detallada cosas como las Cookies, el SOP, las sesiones… Y sí, pienso a veces que cosas tan básicas como esta, la damos por sabida porque es “sencillo”, pero por esa aceptación de sencillez, a veces perdemos muchos detalles importantes. Y esta parte me encanta que eLearnSecurity la abarque.
Por lo demás, el temario puedes verlo en este enlace sin estar autenticado. El temario en sí, toca algunas cosas típicas como SQLi, XSS, CSRF, LFI, RFI, Session Fixation… Pero también toca cosas no tan comunes y conocidas como el XPath Injection y el SOAP, entre otros. Si puedes ver el temario mejor, si no pues toca googlear e investigar por tu cuenta, que bueno, aunque tuvieras el temario, esta parte no te la quita nadie.
En cuanto a los laboratorios, no hay ninguno que me llamase la atención especialmente, eso sí, puedes practicar todas las vulnerabilidades y más, pero no creo que sean tan necesario o que valga tanto la pena como para pagarte la subscripción premium de INE.
Tips
Diría Burp Suite, pero no es un tip, es una necesidad jeje. Más allá de eso, recomiendo muchísimo que hagas uso de Mapas Mentales, es decir, de esto:
Personalmente, la aplicación que recomiendo es XMind. Es una aplicación supercómoda e intuitiva. Hacer uso de un MindMap te ayudará mucho a organizarte y ver las cosas mucho más claras. De hecho, esta idea es bastante usada en Bug Bounty.
Aparte de esto, realmente el único tip adicional que puedo volver a mencionar es que leas muy bien la carta de compromiso que se te entrega al comenzar el examen.
Conclusión
El eWPT es un examen bastante entretenido y que le puedes sacar bastante partido. Personalmente, lo recomiendo siempre que quieras aprender un poco más del tema web, aunque eso si, al fin y al cabo, el aprendizaje depende sobre todo de ti, y no tanto del examen.
Tengo una pregunta, en esas certificaciones, se piede usar SQL map y otras de ese estilo?
Si! En todas las certificaciones de eLearnSecurity puedes usar lo que quieras, no hay restricciones como en las de Offensive
una pregunta , todos estos cursos no son gratuitos no ? mi nivel es pasado de noob técnicamente jaja , pero me da miedo si cuesta € fallar varias.. recomiendas otros más noobs para coger una línea ? me gustaría sacarme cuantos pueda.. pero no puedo comenzar por el tejado. un saludo
¡Buenas! El curso del eWPT de INE no es gratuito. Aun así, puedes ver el temario sin la necesidad de pagar y con eso ponerte a investigar por tu propia cuenta. Además, también tienes la academia de PortSwigger (https://portswigger.net/web-security) que es totalmente gratuita ^^
muchas gracias 😀 , creo que te mandé otro mensaje por que creí que no se mandó jjejee, echaré un ojo,, por que S4vitar ha despertado mi bestia jajajajaja
¡Nada! El curso del eJPT es el único gratuito. Lo tienes registrándote por aquí: https://checkout.ine.com/starter-pass
Tengo una consulta, en caso de no poder pagar los cursos de ine que recomendarias para poder dar la certificacion?
Buenas! Pues tienes varias opciones:
1. Ir a INE sin la necesidad de pagar, y, aunque sea, ver el nombre de cada tema del temario e investigarlo por tu cuenta.
2. Practicar en PortSwigger (https://portswigger.net/web-security/all-labs)
3. Seguir leyendo e investigando sobre cada vulnerabilidad
Haciendo esas 3 cosas, irás perfecto. También otra cosa super importante, aprende a manejar Burp Suite bien, ya que será una de las herramientas que más usarás en este campo.
Hello Dear, Thank you for that amazing explanation. I am willing to register in the preperation course but I have several questions if you dont mind me asking.
1- How many exam attempts do I have?
2- How long is the course content and the labs access? In other words how long do I have to finish the course and start the exam without having to buy a new exam voucher?
3- Are the labs and the content enough for a noobie if he studied them well in order to pass the certification exam?
I’m currently studying some portswigger labs in order to have a basic background and knowledge of what I’m dealing with when I start the course. Any other recommendations would be highly appreciated.
Thank you in advance
Hi, thanks for commenting, I’m glad you found it useful ^^. I’m happy to answer your questions:
1- In all eLearnSecurity certifications you have 2 attempts.
2- The course content and labs are separate from the voucher itself, buying the voucher you will not have access to the course or labs.
3- The content is not bad, but it is something that you can learn by other free means, for example, PortSwigger, its labs.
Even if you don’t pay for the course, you can read the index and research those topics on your own.
I think that’s all, I hope it helped you, anything else comment! ^^
Genial, me encantan tus artículos. 😉
Muchas gracias! <3
Hola crack! cuando compras el examen, que tiempo limite tienes para darle al boton de empezar?
ya que quiero comprar el examen pero quiero tener un tiempo mas para estudiar y no se si tengo tiempo limite de darle a empezar examen
Hellou! Tienes hasta 180 dias ^^
Hola! Muy buen post!
Tengo una duda.. ¿Puedo estudiar el temario del certificado eWPT con la suscripción “Fundamentals Monthly”?
Muchas gracias!
Buenas! Pues la verdad que no tengo ni idea, están constantemente cambiando el tipo de suscripción y demás y no estoy puesto al día sinceramente. Donde mejor lo debe de poner es en la propia página, y a unas malas que sigas teniendo dudas, envíales un correo y listo ^^