Как я прошел OSWE сертификацию

OSWE — сертификация продвинутого уровня, идеально подходящая для пентестера и аудитора веб-систем. Это был один из самых сложных экзаменов в моей жизни: куча оставленного здоровья, из 48 часов удалось поспать часов 12, и я даже не знал, что могу так “выражаться”. Состояние было “быстрее бы сдохнуть”. Но обо всем по порядку.

Что такое OSWE

OSWE (Offensive Security Web Expert):

• Сертификация разработана небезызвестной компанией Offensive Security (именно ей принадлежит разработка и поддержка Kali Linux).
• OSWE идет вместе с курсом AWAE, отдельно OSWE не закажешь, да и смысл без практик идти на сертификацию.
• AWAE — это определенно не курс для начинающих, ибо будет сложно.
• На кого рассчитана сертификация и курс:
  — на ребят с опытом в тестировании на проникновение,
  — на технарей и разработчиков, умеющих читать и дебажить код.
• Сертификация недешевая — минимальный пакет 1400 USD.
• Раньше этот курс можно было пройти только в оффлайн режиме в рамках конференции Black Hat, но теперь они завернули это в онлайн продукт.
• Все построено по принципу: специалисту предоставляется исходный код веб-системы для анализа, и через найденные дыры в коде нужно захватить контроль над лайв системой.
• Сертификат, кстати, выдается бессрочный и на всю жизнь, как говорят разработчики сертификации — если вы смогли пройти эту сертификацию, вы уже специалист в этой области даже через 10 лет.

Что такое AWAE

Курс AWAE (Advanced Web Attacks And Exploitation)

• Никаких “Hello world”, весь курс построен на реальных уязвимостях, зарегистрированных в CVE, в реальных open-source проектах, которые достаточно популярны.
• Эти уязвимости и даже эксплоиты можно найти здесь — exploit-db.com или cvedetails.com
• Дают материалы, видео, в которых расписаны уязвимости, как их эксплуатировать и писать эксплойты.
• На время подготовки выделяется персональный VPN доступ в тестовую среду, где все уже развернуто, ломай — сколько хочешь.
• Весь материал персонально подписан, чтобы в случае шаринга или выкладывания на торренты, можно было определить, кто пошарил, и наказать, как минимум, отзывом действующего сертификата.
• Курс построен на достижении максимального эффекта от уязвимостей — Remote Code Execution (RCE), получение административного доступа в веб-систему и получение удаленного шела на сервер.
• Причем эксплуатирование уязвимости должно быть автоматизировано через эксплойты (можно на любом языке, но предлагают на Python).
• Курс реально дает новые практики для тестирования на проникновение.
• Что покрывает курс:
  
  • Темы: XSS, CSRF, Session Hijacking, Session Riding, Blind SQL Injection, Path Traversal, Type Juggling, Insecure Deserialization, Arbitrary File Upload и др.
  • Тулы: Burp Suite, Kali Linux, Metasploit и др.
  • Языки: PHP, Node.js, Java, .NET, Python

Как проходит сам экзамен

• Экзамен идет онлайн 48 часов; сколько тебе поспать, поесть — сам решай.
• Экзамен сдаешь удаленно за своей машиной, но контроль за тобой ведется полный:
  
  • вначале, валидация с паспортом и твоим лицом;
  • показываешь через камеру рабочее место, даже под столом показываешь, что есть;
  • потом шаришь свои экраны и включаешь камеру — за тобой и твоей машиной будут в течение 48 часов постоянно следить;
  • хочешь в туалет — уведомляешь чела с той стороны, пришел — снова уведомляешь.
• Если в AWAE курсе все уязвимости из зарегистрированных в CVE, то на экзамене это будут системы, где специально сделали кастомные уязвимости — можете даже не гуглить и не тратить время.
• Выделяется отдельный VPN в защищенную сеть, где уже развернуты сами цели.
• Цели — это две веб-системы, в которых нужно обойти систему аутентификации и получить shell доступ на серверах:
  
  
  • за обход аутентификации дается 30 баллов,
  • за получение удаленного доступа — 20 баллов,
  • минимум для прохождения экзамена — 80 баллов.
• Для доказательства, что атака во время сертификации прошла успешно, нужно на сервере найти нужный файл (он вне директории веб-приложения) и предоставить содержимое этого файла.
• До экзамена я думал, что в задании расскажут как приблизительно действовать, в результате получаешь IP целевого сервера и среду, где можно проанализировать код системы и подебажить. Среды имеют абсолютно свои уникальные переменные среды.
• Перекачать себе весь код не получится, только удаленный анализ.
• Есть жесткие ограничения на использование только определенных инструментов, поэтому сканы на уязвимости, брутфорсеры сразу отпадают.

Сложности

• Подсказывать с этой стороны тебе никто не сможет, а от того, кто за тобой наблюдает, ты услышишь только их фирменную фразу — try harder.
• Это будет 48-часовой стресс, мозг постоянно работает в режиме поиска вариантов атак (даже во сне).
• У меня получилось 100 баллов набрать, но времени было впритык.
• В какой-то момент эксплоит на C# пришлось переписывать быстро на Python, потому что через VPN медленно шла атака, а в самой сети была Kali, с которой атака в разы быстрее.
• Кто-то на Редите писал, что он за первые полдня поломал обе системы, а потом курил — безбожно трындит; объем работы, который необходимо провести — колоссальный, и не может быть даже физически освоен за несколько часов.
• А кто-то на Редите писал, что за 48 часов так ничего и не нашел и набрал 0 баллов, и переживал, что если возьмет еще платно пересдачу, нет никакой гарантии, что она не пройдет также с нулевым результатом, ведь ВСЕ уже проанализировано.
• Будут моменты, когда вера в себя и в успех будет падать до нуля или доходить до полной уверенности, а потом снова падать, тут главное не сдаваться и продолжать.

Посыл

• OSWE — это достойный экзамен для любого пентестера, многое будет решать опыт в разработке и практической безопасности.
• Складируйте и систематизируйте ваш опыт, практики, команды в каком-нибудь инструменте — для меня это давно уже CherryTree.
• Из каждой уязвимости выжимайте максимум урона.
• Для достижения максимального урона комбинируйте уязвимости в одной атаке.
• Очень много в стрессовых ситуациях решает психология и ваше отношение к ситуации, равно как и способность к рациональному мышлению.
• TRY HARDER

Удачи.

Денис Колошко, Penetration Tester, CISSP, OSWE