ในช่วงเวลาหลังเดือนธันวาคม 2023 ที่ผ่านมา ผมได้มีประสบการณ์ในการสอบ certificate ในด้าน cyber security โดย certificate ที่สอบมาชื่อว่า eWPTX เป็น certificate ของทาง INE ที่เกี่ยวกับการทดสอบเจาะระบบในด้าน web application บทความนี้ก็จะมาแชร์ประสบการณ์, เทคนิค resource ที่ใช้และรายละเอียดของการสอบเบื้องต้น

eWPTX คือ certificate อะไร

eWPTX หรือ Web Application Penetration Testing eXtreme เป็นใบ cert ที่เกี่ยวกับด้านการทดสอบเจาะระบบในด้าน web application โดยตัวข้อสอบจะครอบคลุมตัว OWASP TOP 10 และการโจมตี web application ในระดับ advance ไม่ว่าจะเป็นการ Bypass input filitering, การเขียน script เพื่อโจมตีหรือการ chain ช่องโหว่ร่วมกับช่องโหว่อื่น ๆ เพื่อโจมตี web application

รายละเอียดของการสอบ

Cat Typing

ในการสอบทาง INE จะให้ตัว VPN เพื่อเข้าถึง target ที่เราจะต้องโจมตี โดยจะต้องหาช่องโหว่ของ target ให้ได้มากที่สุดซึ่งแตกต่างจากการทำ CTF การสอบจะเปรียบเสมือนให้เราทำ pentest จริงๆ โดยในระหว่างการสอบสามารถเข้าถึง resource บนอินเทอร์เน็ตหรือสามารถติดต่อสื่อสารกับบุคคลอื่นได้ตามปกติ จะไม่มีผู้คุมสอบมาตรวจสอบเวลาเราทำการสอบ

เงื่อนไขในการผ่านการสอบ

หาช่องโหว่ให้ได้มากที่สุด
ทำ objective exam ของการสอบให้ได้
ทำการเก็บภาพหลักฐานเกี่ยวกับขั้นตอนในการโจมตีช่องโหว่แบบ step-by-step (PoC) เพื่อทำ report
จัดทำรูปเล่ม report แบบ official

ระยะเวลาในการสอบ

ระบบจะเปิดให้ทดสอบ 7 วันเต็ม และให้เวลา 7 วันในการทำ report

รายละเอียดของเนื้อหาที่สอบ

หลังจากที่เราซื้อ voucher มาแล้วทาง INE จะให้ material โดยเนื้อหาของ material และตัวเนื้อหาช่องโหว่ที่แนะนำให้อ่านมีดังต่อไปนี้

SQL injection and filter bypass
Cross-site Scripting (XSS)
SQL injection with CSRF token and second order SQL injection
XXE injection
Host Header injection
Encoding, Filtering and Evasion
Insecure deserialization
Server-side template injection (SSTI)
PHP and JavaScript deobfuscicate

การเตรียมตัว

ระยะที่ผมเตรียมตัวใช้เวลานานถึง 6 เดือน เพราะต้องทำงานไปด้วยและเตรียมตัวไปด้วย
อ่าน material และเล่น lab ไม่ว่าจะเป็นตัวของ INE ที่ให้มากับตอนซื้อ voucher รวมไปถึง material อื่น ๆ อย่างเช่น Portswigger, TryHackMe สำหรับตัว material ก็สามารถไปอ่านได้ที่หัวข้อด้านล่างได้

I'm so tried

Tool ที่ใช้ในการสอบ

Burp Suite
SQLmap
wfuzz
gobuster
dirsearch
ysoserial + deserialization Scanner (Burp suite extension)

ความเห็นส่วนตัว

ข้อดี

ข้อสอบจะให้เราได้ใช้เทคนิคในการโจมตี web application ต่าง ๆ และใช้ช่องโหว่ในการโจมตีร่วมกันกับช่องโหว่อื่น ๆ รวมไปถึงได้รับประสบการณ์การทำ pentest จริง ๆ
นอกจากใช้ความรู้ในด้านเทคนิคการโจมตี web application แล้ว ยังมีการใช้ทักษะในการสังเกต เพื่อหาข้อมูลและหาช่องทางในการไปต่ออีกด้วย

ข้อเสีย

Environment ในการสอบไม่ค่อยจะดีและช้า บางครั้งเราทำการยิง payload ที่เคยโจมตีได้สำเร็จแต่บางครั้งกลับโจมตีไม่ได้อีก ในการสอบผมรีเซ็ตไปเกือบ 20 รอบ
ตัว VPN ของการสอบที่ให้มาไม่สามารถใช้งานได้ ต้องหาวิธีแก้เอาเอง (แต่ในช่วงเวลาที่เขียนบทความนี้เหมือนทาง INE จะแก้ไขแล้ว)
ผมได้ซื้อ voucher ในช่วง black friday ไม่แน่ใจมีคนไปรุมซื้อเยอะเกินไปหรือป่าว กว่าจะได้ voucher กินเวลาไปเกือบ 2 สัปดาห์

Nice

Tips

อ่านและทำความเข้าใจ scope and rule of engagement ให้ดี
ค่อย ๆ เป็นค่อย ๆ ไป บางครั้งในจุดที่เราเห็นว่าน่าจะมันมีช่องโหว่ แต่เมื่อลอง exploit หรือยิง payload กลับพบว่าไม่ามารถโจมตีได้ บางที่ิอาจจะมี input filtering อยู่ก็ได้
อย่ามองข้ามอะไรง่าย ๆ โดยถึงแม้ว่าชื่อ certificate จะมีคำว่า extreme แต่อย่าคิดมากหรือ deep จนเกินไป บางทีอาจจะมีข้อมูลบางอย่างที่เราเจอมันได้ง่าย ๆ อาจจะพาเราไปเจอช่องโหว่ที่เราสามารถไปต่อได้
อย่าเครียดหรือหักโหมจนเกินไป เวลามีเยอะพอสมควร การพักผ่อนเวลาคิดอะไรไม่ออกเป็นตัวเลือกที่ไม่แย่เลย :)
ลองทุกท่าทุก payload ก็ยังไม่ได้ ลอง reset lab แล้วหรือยัง ?

CHILLIN HARD

โดยนอกจาก material ของ INE แล้ว อีกตัวที่ผมแนะนำเป็นอย่างมากคือ PortSwigger ที่มีทั้ง lab ให้ลองทำและ material ให้อ่าน ซึ่งนับว่าเป็นตัวช่วยอย่างมากในการที่ทำให้ผมสอบผ่าน

https://portswigger.net/web-security

นอกจากนี้ยังมี resource ที่รวบรวม lab, payload wordlist และข้อมูลที่น่าสนใจ

The Journey of the eWPTX Exam

eWPTX คือ certificate อะไร

รายละเอียดของการสอบ