Application Penetration Tester (eMAPT) 2023

content-image

วันนี้ผมจะมาเล่าถึงการไปสอบเอา Certificate ที่สายทำ Mobile Application Penetration Testing ต้องมีกัน คือ

eLearnSecurity Mobile Application Penetration Tester (eMAPT)

Preparation

ในช่วง Black Friday ก็มีหลากหลาย Promotion ที่เย้ายวนใจกัน ระหว่างผมหาข้อมูลอยู่นั้นก็ไปสะดุดเจอของ INE นั้นเอง ซึ่ง INE นั้นเป็นแหล่งรวม Course เรียนต่าง ๆ ที่ทาง eLearnSecurity แนะนำไว้ โดย Promotion ของ INE ที่ผมกดซื้อมาตอนนั้น คือ INE Premium+ มีรายละเอียดตามนี้

  • เข้าเรียน Course ทุกอย่างใน INE ได้ภายใน 1 ปี
  • เข้าเรียน Course ทุกอย่างใน Pentester Academy ได้ภายใน 1 ปี
  • voucher ให้สามารถซื้อสอบ Certificate ของค่าย eLearnSecurity ได้ฟรี 1 อัน
  • voucher ส่วนลดค่าสอบ Certificate อีก 50% ให้อีก 1 อัน

หลังจากจัดกันไปก็เรียบร้อยแล้ว เราก็มาเริ่มเรียน Course ได้เลย

LET’S GO

ภายใน Website ของ INE นั้นจะมีเมนู Certifications ให้เลือก โดยระบบจะพาเราไปหน้ารวม Certificate ต่าง ๆ และจะมีแนะนำว่าเราต้องเรียน Course ไหนบ้าง ตรงนี้เราก็เลือก Certificate ที่เราสนใจจากนั้นก็กด Get Training ได้เลย สำหรับ eMAPT จะต้องเลือก Course: Mobile Application Penetration Testing Professional

โดยรายละเอียดภายใน Course จะมีแบ่งเป็น 2 ส่วน คือ Android & Mobile App Pentesting กับ iOS & Mobile App Pentesting ในเนื้อหาก็จะมี Slide/Video และ Lab มาให้เรา Download ไปทำด้วย (แนะนำเล่น Lab ให้ครบนะ)

ตอนที่เราเรียนใน Course ก็มีให้เรียนทั้ง 2 Platform คือ Android และ iOS แต่การสอบ eMAPT นั้นจะเน้นเฉพาะ Android Platform อย่างเดียว โดยที่เราจำเป็นต้องเขียน Application ขึ้นมาเพื่อไปทำการโจมตี Application เป้าหมายที่มีช่องโหว่

ซึ่งตรงนี้เราก็ควรที่รู้เรื่อง Coding ด้วย ถ้าใครไม่เคยเขียนพวก Mobile Application มาก่อนก็ต้องใช้เวลาเพื่อทำความเข้าใจ ซึ่งตรงนี้ก็แนะนำให้ไปศึกษาเรื่องภาษาที่ใช้ในการเขียน Mobile Application ด้วยนะ ส่วนในเรื่องภาษาที่ผมเลือกใช้ คือ Kotlin มาใช้เขียน Application เพื่อใช้โจมตี

หลังจากลองเล่น Lab ครบหมดแล้ว แต่รู้สึกอยากทำเพิ่มเติมอีกก็สามารถไปลองเล่นโจทย์ CTF ได้จาก Link ในหัวข้อ Resource & Link ได้เลย ในการแก้โจทย์ CTF ถ้าข้อไหน ดูแล้วสามารถเขียน Application เพื่อโจมตีได้ก็แนะนำให้ลองเขียนขึ้นมาเพื่อทำการโจมตีด้วย

Exam

พอเรามั่นใจแล้วว่าพร้อมสอบก็ไปกดซื้อ voucher เพื่อที่จะสอบกันเลย การสอบของค่าย eLearnSecurity นั้นไม่จำเป็นต้องทำการนัดเวลาสอบ เมื่อคุณซื้อเสร็จและพร้อมสอบ ก็สามารถกดเริ่มสอบได้เลย และหากใครที่สอบไม่ผ่านก็จะมีให้สอบใหม่อีก 1 ครั้ง แต่คุณจำเป็นต้องส่ง Report ก่อนถึงจะได้รับสิทธิ์ตรงนี้

พอกดเริ่มสอบมา เราจะมีเวลาสอบทั้งหมด 7 วัน โดยเราจะได้รับไฟล์ APK ของเป้าหมายและเงื่อนไขให้เรามาอ่าน พออ่านเสร็จ เราก็มาวิเคราะห์และหาช่องโหว่ของ Applicaiton ที่ได้มากัน

พอเรารู้แล้วว่าช่องโหว่มันคืออะไร เราก็เริ่มเขียน Application ของเราเองขึ้นมาเพื่อโจมตีได้เลย ในส่วนหาช่องโหว่ก็ไม่ได้ยากเกินไป ใช้เวลาไม่นานก็หาช่องโหว่เจอแล้ว แต่เราจะไปเสียเวลาตรงเขียน Application ที่จะใช้ในการโจมตีมากกว่า (เขียนยังไงไม่ให้ Error 5555)

Application Penetration Tester (eMAPT) 2023

Application Penetration Tester (eMAPT) 2023

จากที่ Run Application ของเราได้สำเร็จโดยไม่ Error แล้ว เราก็เตรียมส่งได้เลย การสอบ eMAPT นั้นเราไม่ต้องทำ Report แต่เราจะต้องส่ง POC Source Code และไฟล์ APK ของ Application ที่เอาไว้โจมตี ไปให้ทาง eLearnSecurity ตรวจสอบ

หลังจากทาง eLearnSecurity ตรวจสอบเสร็จแล้วก็จะส่ง Email ตอบกลับมาเพื่อแจ้งผลการสอบและก็ยินดีด้วยนะคุณสอบผ่านแล้ว

Application Penetration Tester (eMAPT) 2023

Application Penetration Tester (eMAPT) 2023

Tips & Trick

  • อ่าน Code และทำความเข้าใจถึง Logic ของ Application เป้าหมาย
  • สามารถใช้ Tools มาช่วยในการวิเคราะห์ Application ได้ เพื่อช่วยในการหาช่องโหว่ ตรงนี้ก็ได้มีเอาพวก drozer กับ MobSF มาใช้งาน
  • หลังจากทำ Application ของเราเสร็จแล้วอาจจะเจอปัญหาที่ว่า Archive แล้วไฟล์ใหญ่เกินไปทำให้ Upload ส่งไม่ได้ แนะนำให้ไปลบ build folder ออก โดยถ้าใครใช้ Android Studio ในการสร้าง Application มันจะอยู่ที่ Directory: project_name -> app โดยภายใน build folder นี้จะเป็นรวมพวกไฟล์ที่ compiled code ของเราเก็บไว้ ซึ่งสามารถลบได้อย่างปลอดภัยและทำให้ขนาดไฟล์เราลดลงด้วย
  • อย่าลืมเปิด Application เป้าหมายก่อนที่เราจะ Run Application ของเราเพื่อโจมตี

Android Developer

CTF

Cost

  • INE Premium+ ราคา 649 $ (ราคาตอน Black Friday)
  • eMAPT Certification ราคา 400 $ (ใช้ voucher ลด 100 % ที่ได้จาก Package จาก INE Premium + ทำให้ค่าใช้จ่ายตรงนี้ไม่ต้องเสียตัง)

บริการของเรา

PENETRATION TEST

ทีมผู้เชี่ยวชาญที่มีจรรยาบรรณและใบรับรอง ใช้ระเบียบวิธีอิงมาตรฐาน NIST SP800-115 ค้นหาความเสี่ยงไซเบอร์บนแอปพลิเคชัน โครงสร้างพื้นฐาน และโมบาย ให้ตรงกับความต้องการขององค์กร

More to read

Up Next

Blog preview image

ARTICLES

Dec

11

2025

รีวิว GMOB 2025: เจาะลึกเนื้อหา Mobile Security พร้อมทริคเตรียมตัวสอบแบบม้วนเดียวจบ

รีวิวสอบ GMOB 2025 เจาะลึกเนื้อหา Mobile Security ครอบคลุมทั้ง Android และ iOS พร้อมสรุปเทคนิคการใช้เครื่องมือ Pentest และวิธีการทำ Index สำหรับสอบ Open Book เพื่อแนวทางการเตรียมตัวที่ครบถ้วนและตรงจุด

READ MORE

Blog preview image

ARTICLES

Apr

19

2025

Hermes React Native Reverse Engineering - Part 1: Understanding the Fundamentals (Thai Version)

ในปัจจุบันการพัฒนา mobile application ขึ้นมา มีแนวโน้มไปในทางที่มีการใช้งาน framework ที่เป็น cross-platform ทำให้เขียน code แค่ครั้งเดียว แต่สามารถ build เพื่อให้ใช้งานได้บนหลาย platform และเทคนิคการทำ reverse engineering, static analysis, dynamic analysis ในแต่ละ framework นั้นแทบจะแตกต่างกันโดยสิ้นเชิง ซึ่งการที่จะสามารถเข้าใจการทำงานของ application และหาจุดอ่อน/ช่องโหว่ทาง security ให้พบนั้น จำเป็นที่จะต้องรู้การทำงานภายในของแต่ละ framework และปัญหานี้ในปัจจุบัน (และอนาคต) เป็นความท้าทายพอสมควรสำหรับ security researcher เนื่องด้วยเทคโนโลยีมีการพัฒนาอย่างรวดเร็ว ทำให้เครื่องมือและความรู้เกี่ยวกับการวิเคราะห์ security ของ app นั้นตามไม่ทัน

READ MORE

Blog preview image

ARTICLES

Jul

04

2024

The Journey of the eWPTX Exam

ในช่วงเวลาหลังเดือนธันวาคม 2023 ที่ผ่านมา ผมได้มีประสบการณ์ในการสอบ certificate ในด้าน cyber security โดย certificate ที่สอบมาชื่อว่า eWPTX

READ MORE

logologo

บริษัท อินค็อกนิโตแล็บ จำกัด

38 ซอยเพชรเกษม 30 แขวงปากคลองภาษีเจริญ เขตภาษีเจริญ กรุงเทพมหานคร 10160