103
0
0
Скопировать ссылку
Telegram
WhatsApp
Vkontakte
Одноклассники
Назад

Как я познал нюансы «белого» хакинга и получил сертификат Hacktory Web Security Professional (HWSP)

Время чтения 1 минута
Нет времени читать?
Скопировать ссылку
Telegram
WhatsApp
Vkontakte
Одноклассники
103
0
0
Нет времени читать?
Скопировать ссылку
Telegram
WhatsApp
Vkontakte
Одноклассники

Привет, меня зовут Олег Ладный, я работаю в компании Simplity. Однажды на втором курсе одногруппники затащили меня на элективы, которые проводил сотрудник отдела анализа защищенности (проще говоря, пентестер), и вот тогда я познакомился со своей будущей специальностью и профессией «белый хакер» и решил работать в сфере информационной безопасности. Я расскажу, как получал сертификат Hacktory Web Security Professional (HWSP), что он мне дал, каковы его минусы и плюсы, и приведу краткие рекомендации, кому стоит проходить этот курс.

Как я познал нюансы «белого» хакинга и получил сертификат Hacktory Web Security Professional (HWSP)

Практическая польза сертификата HWSP

Выбор в пользу сертификата HWSP я сделал по рекомендации руководителя на одном из мест работы. Я был начинающим специалистом, прошедшим всем известный в нашей сфере курс от команды, разрабатывающей Burp Suite —  это программное обеспечение безопасности, используемое для тестирования веб-приложений на проникновение. Там набил на тот момент около 80% решенных задач. HPSW был следующим этапом моего развития как специалиста.

Маленькая ремарка: сертификат HWSP только про веб-тестирование. Ценности как таковой, если судить со стороны бизнес-процессов и участия в тендерах, этот сертификат не несет. Кроме того, его создали российские разработчики, в связи с этим он не признается во всем мире. 

Я не могу сказать, что сертификат вам как профессионалу даст крутой толчок или покажет совершенно новые техники атаки. В него включены большинство модулей, которые есть, например, у Port Swigger Academy — платформы, которая позиционируется как ключевой ресурс для обучения веб-пентесту.

Я бы сказал, что в самом процессе обучения многие темы раскрыты не до конца, а лишь погружают специалиста в данную область. 

Но есть большое но: в сфере «белого» хакинга очень много нюансов, которые специалист узнает только на практике, и курс HPSW содержит подобные нюансы, будь то новые способы сериализации данных или максимально необычное и сложное применение XSS-атак. Кстати, курс хорошо раскрывает атаки, которые направлены именно на клиентов. 

Если переносить знания с этого сертификата на реальную практику, буквально первое, что приходит мне голову, — я взял себе в привычку более тщательно проверять все параметры, которыми я как клиент веб-приложения обладаю, и научился пользоваться командой file в Linux 🙂

Обучение и экзамен HWSP

Курс отличается от того же Port Swigger Academy тем, что, помимо поиска уязвимостей, студенту предлагается найти программную ошибку в коде самого приложения, чтобы исправить конкретные уязвимости. Достаточно интересно взглянуть немного с другого ракурса, и эта задача не так проста, как кажется. Как говорится, «ломать — не строить».

Обучение проводится на онлайн-платформе по адресу https://hacktory.ai. Оно разбито на блоки по конкретным векторам атаки на веб-приложения, где в начале студент читает теорию, а потом выполняет лабораторные работы по изученному материалу. С каждым разом сложность возрастает внутри одного блока обучения. 

Есть и система мотивации: в зависимости от времени, потраченного на разные задания, студенту присваиваются баллы, благодаря которым можно продлить курс или попасть в топ участников, который доступен на сайте сертификации.

По итогам прохождения определенного числа заданий студенту откроется блок с возможностью сдачи экзамена, на который дается 24 часа. Никакой системы слежения за студентами нет, списывать и гуглить можно, это остается на вашей совести.

Экзамен состоит из пяти заданий. Если сдаешь три, получаешь бронзу, четыре — серебро, пять — золото. Не сдал — не проблема, через сутки доступ снова откроется к тем же самым лабораторным заданиям. После окончания студенту выдается электронный сертификат.

Факт сдачи — это флаг, который лежит в приложении. Его нужно отправить в чат боту, как и при обучении, — так работа считается сданной.

Минус: ограниченный набор инструментов

Главный минус курса — это, пожалуй, интерфейс. Для доступа к машинам, на которых студент проходит обучение, необходимо использовать браузерную версию виртуальной машины, которая встроена на сайте. Неудобно это тем, что студент не может использовать накопившийся у него набор инструментов, а ограничен тем набором, который поставляет ему сам курс. Это может быть хорошо для начинающего специалиста, но не очень удобно для более опытного.

Резюме

Тем, кто работает уже больше года специалистом и проводит не только внутренние тестирования с автоматическим сканированием или прошел всю Port Swigger Academy, можно и не проходить этот курс, разве что из любопытства. А вот для студентов и начинающих специалистов неплохой курс, но, опять же, раскрывает не все темы.

Не советую проходить HWSP с нулем знаний. Выбор лично у меня был. Я уже на тот момент грезил целью сдать OSCP, но руководитель посчитал, что я еще не готов, и оказался прав. На момент обучения я полгода как работал в сфере кибербеза и много чего еще тогда не знал. 

Однако я не советую проходить HWSP с нулем знаний, вначале лучше посидеть на том же самом Port Swigger Academy и набить около 30–40% решений. Поскольку в HWSP нет такого подробного решения и описания задания, если студент столкнется со сложностями, ему придется покупать «хинты» за внутреннюю валюту либо искать поддержки в групповом телеграм-чате курса.

Если подводить итог, знаний не так много, но есть вещи, которые действительно хорошо раскрыты. Если проходить данную сертификацию параллельно с обучением на Port Swigger, это может стать сильным толчком в области тестирования веб-приложений.

Комментарии0
Тоже интересно
Комментировать
Поделиться
Скопировать ссылку
Telegram
WhatsApp
Vkontakte
Одноклассники