Практическая польза сертификата HWSP
Выбор в пользу сертификата HWSP я сделал по рекомендации руководителя на одном из мест работы. Я был начинающим специалистом, прошедшим всем известный в нашей сфере курс от команды, разрабатывающей Burp Suite — это программное обеспечение безопасности, используемое для тестирования веб-приложений на проникновение. Там набил на тот момент около 80% решенных задач. HPSW был следующим этапом моего развития как специалиста.
Маленькая ремарка: сертификат HWSP только про веб-тестирование. Ценности как таковой, если судить со стороны бизнес-процессов и участия в тендерах, этот сертификат не несет. Кроме того, его создали российские разработчики, в связи с этим он не признается во всем мире.
Я не могу сказать, что сертификат вам как профессионалу даст крутой толчок или покажет совершенно новые техники атаки. В него включены большинство модулей, которые есть, например, у Port Swigger Academy — платформы, которая позиционируется как ключевой ресурс для обучения веб-пентесту.
Я бы сказал, что в самом процессе обучения многие темы раскрыты не до конца, а лишь погружают специалиста в данную область.
Но есть большое но: в сфере «белого» хакинга очень много нюансов, которые специалист узнает только на практике, и курс HPSW содержит подобные нюансы, будь то новые способы сериализации данных или максимально необычное и сложное применение XSS-атак. Кстати, курс хорошо раскрывает атаки, которые направлены именно на клиентов.
Если переносить знания с этого сертификата на реальную практику, буквально первое, что приходит мне голову, — я взял себе в привычку более тщательно проверять все параметры, которыми я как клиент веб-приложения обладаю, и научился пользоваться командой file в Linux 🙂
Обучение и экзамен HWSP
Курс отличается от того же Port Swigger Academy тем, что, помимо поиска уязвимостей, студенту предлагается найти программную ошибку в коде самого приложения, чтобы исправить конкретные уязвимости. Достаточно интересно взглянуть немного с другого ракурса, и эта задача не так проста, как кажется. Как говорится, «ломать — не строить».
Обучение проводится на онлайн-платформе по адресу https://hacktory.ai. Оно разбито на блоки по конкретным векторам атаки на веб-приложения, где в начале студент читает теорию, а потом выполняет лабораторные работы по изученному материалу. С каждым разом сложность возрастает внутри одного блока обучения.
Есть и система мотивации: в зависимости от времени, потраченного на разные задания, студенту присваиваются баллы, благодаря которым можно продлить курс или попасть в топ участников, который доступен на сайте сертификации.
По итогам прохождения определенного числа заданий студенту откроется блок с возможностью сдачи экзамена, на который дается 24 часа. Никакой системы слежения за студентами нет, списывать и гуглить можно, это остается на вашей совести.
Экзамен состоит из пяти заданий. Если сдаешь три, получаешь бронзу, четыре — серебро, пять — золото. Не сдал — не проблема, через сутки доступ снова откроется к тем же самым лабораторным заданиям. После окончания студенту выдается электронный сертификат.
Факт сдачи — это флаг, который лежит в приложении. Его нужно отправить в чат боту, как и при обучении, — так работа считается сданной.
Минус: ограниченный набор инструментов
Главный минус курса — это, пожалуй, интерфейс. Для доступа к машинам, на которых студент проходит обучение, необходимо использовать браузерную версию виртуальной машины, которая встроена на сайте. Неудобно это тем, что студент не может использовать накопившийся у него набор инструментов, а ограничен тем набором, который поставляет ему сам курс. Это может быть хорошо для начинающего специалиста, но не очень удобно для более опытного.
Резюме
Тем, кто работает уже больше года специалистом и проводит не только внутренние тестирования с автоматическим сканированием или прошел всю Port Swigger Academy, можно и не проходить этот курс, разве что из любопытства. А вот для студентов и начинающих специалистов неплохой курс, но, опять же, раскрывает не все темы.
Не советую проходить HWSP с нулем знаний. Выбор лично у меня был. Я уже на тот момент грезил целью сдать OSCP, но руководитель посчитал, что я еще не готов, и оказался прав. На момент обучения я полгода как работал в сфере кибербеза и много чего еще тогда не знал.
Однако я не советую проходить HWSP с нулем знаний, вначале лучше посидеть на том же самом Port Swigger Academy и набить около 30–40% решений. Поскольку в HWSP нет такого подробного решения и описания задания, если студент столкнется со сложностями, ему придется покупать «хинты» за внутреннюю валюту либо искать поддержки в групповом телеграм-чате курса.
Если подводить итог, знаний не так много, но есть вещи, которые действительно хорошо раскрыты. Если проходить данную сертификацию параллельно с обучением на Port Swigger, это может стать сильным толчком в области тестирования веб-приложений.
