HackTheBox CWES Sertifika Sınavı Değerlendirmesi ve Tavsiyeleri

Bir süredir hazırlandığım CWES (Certified Web Exploitation Specialist) -eski adıyla CBBH- sertifika sürecinin değerlendirmesini ve bu süreçte edindiğim deneyimleri paylaşmak istiyorum. Sınav hakkındaki detayları başlıklara bölerek daha anlaşılır hale getirmeyi planlıyorum.

Öncelikle CWES sertifika sınavına girebilmek için tüm modüllerin bitirilmesi gerekmektedir. Modüller bitirildikten ve sınav için kuponunuzu aldıktan sonra sınava giriş sağlayabilirsiniz.

⏳ Tweet yükleniyor...

Introducing the FIRST #HTBAcademy certification 🎉#Hackers, meet our brand new Bug Bounty Hunter Certification aka CBBH! Ready to hunt some bounties? Complete the job-role path, take the exam, and GET CERTIFIED! 👉 https://t.co/01ZDXmXDIH #HTB #BugBounty #Hacking pic.twitter.com/cxodV6bSde

— Hack The Box (@hackthebox_eu) March 28, 2022

Fiyatlandırma Hakkında

CWES sertifikasını almayı planladıysanız muhtemelen görmüş olacağınız üzere CWES sertifika ücreti 180€ (euro)’dur. Sınav ücreti için herhangi bir öğrenci indirimi uygulanmamaktadır. Academy kısmında ise öğrenci indirimleri bulunmaktadır.

Sınav kuponunu satın alırken bazı sorunlarla karşılaştım, bu sorunlara burda değinerek almak isteyen kişilere de bu sorunla karşılaştıklarında yol göstermeyi umuyorum. İlk olarak ziraat bankası üzerinden satın alma işlemini gerçekleştirmeye çalıştım ancak anlamadığım şekilde sürekli hata verdi. Müşteri temsilcisi ile konuştuğumda elle tutulur bir sonuç alamadım. Daha sonra Papara uygulaması ile satın alma işlemini tekrar denedim. Burada da satın alma işlemi başarısız oldu. Müşteri temsilcisi ile konuştuğumda ise Mastercard altyapısında yurtdışı alışverişlerinde 75$ sınır olduğu söylendi bu sebeple hata aldığım belirtildi. (Daha önce böyle birşey olduğunu hiç duymamıştım.). Visa altyapısında kısıtlama olmadığını ve bu altyapıdaki bir kartla satın alma işlememi gerçekleştirmemi tavsiye ettiler. Visa altyapısında bulunan kart ile ödeme yapmak istediğimde bu sefer satın alma işlemi başarılı oldu. (Türkiye’de böyle bir kısıtlama olduğunu daha önce duymadım o yüzden bu konu çok saçma gelsede araştırmayı bıraktım.)

Ödeme konusunda sorun yaşadığım için bu hususu burda açıklama gereği duydum.

Sınav Konuları

Sınavda karşılaşacağınız konular aşağıdaki gibidir (temeller dışında zafiyetleri ve araçları içermektedir daha fazla detay için buraya göz atabilirsiniz):

• Using Web Proxies (Burp Suite, OWASP ZAP)
• Attacking Web Applications with Ffuf
• XSS (Cross-Site Scripting)
• SQLi (SQL Injection)
• SQLMap
• Command Injection
• File Upload Attacks
• IDOR (Insecure Direct Object Reference)
• XXE (XML External Entity)
• SSRF (Server-Side Request Forgery)
• XSLT (Extensible Stylesheet Language Transformations)
• SSI (Server-Side Includes)
• SSTI (Server-Side Template Injection)
• File Inclusion Attacks
• Session Security
• Web Services and API Attacks

Burada önemli olan nokta her zafiyeti ayrı olarak bilmenin yeterli olmayacağıdır. Bu zafiyetlerin birbiriyle olan ilişkilerini ve nasıl bir arada kullanılabileceklerini de anlamak gerekmektedir. Çünkü CWES sınav açıklamasında da yazdığı gibi bu zafiyetleri zincirleyebilmek asıl önemli olan noktadır.

Sınava Hazırlık

Bu konuda çoğu kişinin sorduğu şu soru ile karşılaşıyorum. Eğitimin sınavı kazanmak için yeterli olup olmadığıdır. Bu soruya kesin bir şekilde evet cevabını verebilirim ancak bu noktada eğitimin içeriği ve kişinin pratik yapma düzeyi de oldukça önemlidir. Eğitim, sınavda karşılaşacağınız konuları kapsamlı bir şekilde ele almakta ve sizi bu konularda bilgilendirmektedir. Ancak, pratik yapmadan sadece teorik bilgi ile sınavı geçmek oldukça zordur. Bu nedenle, farklı kaynaklardan da mutlaka araştırma yapmalı ve lablar çözmelisiniz. Bunun sebebi hackthebox eğitimlerinde kaçırdığımız bir bakış açısını başka bir yerden araştırırken yakalayabilecek olmamızdır. Bu bakış açılarını güzelce oturttuktan sonra zafiyetleri de daha rahat bir şekilde zincirleyebiliriz. Şimdi hazırlık süreci için birkaç kişisel öneri ve tavsiye vereceğim.

• İlk olarak mutlaka not alarak çalışmanızı tavsiye ediyorum. İnternette onlarca hazır not olabilir belki ama kişisel notlarınız mutlaka olmalı diye düşünüyorum. Notları yazarken de konuların iyice aklınızda yer edeceğini düşünüyorum.

• Bir modülü bitirdikten sonra mutlaka ilgili Portswigger lablarını çözmenizi tavsiye ediyorum. Bu lablar konuları pekiştirmek için oldukça faydalı olacaktır.

• Bununla beraber Mehmet Dursun İnce‘nin Web Security & Hacking serisindeki ilgili videoları izlemenizi şiddetle tavsiye ediyorum. (Web Security & Hacking)

• Sınav ortamınızı önceden hazırlayın. Sanal makine kullanıyorsanız sıfırdan kurmanızı ve kullanacağınız araçları önceden yüklemenizi öneririm. Ben bunun için /opt klasörüme işimi kolaylaştıracak araçları ve listeleri hazırladım. (Ek olarak ben wsl üzerinden girdim ama zaman zaman tüm terminallerim tamamen çöktü. Sebebini araçtıracak zamanım olmadığı için çoğu şeyi sıfırdan tekrar yaptım.)

• Sınavda sorun yaşamamak adına planlı bir elektrik kesintisinin olup olmayacağını kontrol etmeniz de faydalı olacaktır.

• Son olarak sınava kendinizi hazır hissettiğinizde sıfırdan tüm modüllerin sadece skills assessment kısımlarını çözmenizi öneriyorum. Bunu yaparak unuttuğunuz noktaları bariz bir şekilde göreceksiniz. Takılmadan çözdüğünüzde içiniz çok daha rahat olacaktır.

CWES Sınav Süreci

Bu konuda gerçekten dürüst olacağım, sınav kesinlikle kolay değil ama aşırı zor da değildi. Sınav seviyesini aşağıdaki görselden de kontrol edebilirsiniz. Açıkçası bu kadar yüksek bir seviye olduğunu beklemiyordum başta ama sınava girince özellikle ilk gün :) biraz daha yüksekte mi olmalı diye sorguladım 😂.

https://pauljerimy.com/security-certification-roadmap/

• Sınav 1 hafta sürmekte ve toplam flag sayısı 10 tanedir.

• Önerilen süreç 5 gün sızma testi, 2 gün raporlama şeklindedir. Ama bu süreç benim için 2,5-3 gün sızma testi 3 günde raporlama şeklinde gerçekleşti. Raporlamaya daha fazla özen göstermek için ve zamanımın fazla olmasından dolayı bu kadar süre harcadım. Sınavı gönderdiğimde ise neredeyse 24 saatim vardı.

• Sınav başladığında size bir template veriliyor. Bu template, raporlama sürecinizi kolaylaştırmak için hazırlanmıştır. İçerisinde gerekli başlıklar ve açıklamalar mevcut. Bu template’i kullanarak raporunuzu daha hızlı ve düzenli bir şekilde hazırlayabilirsiniz.

• Raporlamanın tamamen ticari bir şekilde ve gerçekçi olması beklenmektedir. Benim raporum toplamda 52 sayfa tuttu. Ama burada sayfa sayısına takılmamak gerekir başka birisi 30 sayfada daha güzel şekilde de anlatabilir. O yüzden sayfa sayısını arttırayım diye gereksiz uzatmamanızı tavsiye ederim.

• Sınav sürecinde sistem takılabilir o yüzden test yaparken takılıp kaldıysanız makineyi yeniden başlatın mutlaka. Bu durum bana yarım gün kaybettirdi :( Filtre uygulanıyor zannederken her yolu denedim bypass için ama ilerleyemedim, sistemi yeniden başlattığımda tüm sorun çözülmüştü.

• Bunaldığınızı ve çıkmaza girdiğinizi hissettiğinizde mutlaka bir ara verin. Çay, kahve hazırlayın ve tekrar oturun. İlk gün çok fazla kafama takmıştım ve rüyamda bile çözüyordum 😂. Rüyamda takıldığım bir sorunun çözümünü gördüm ve sabah kalkıp denediğimde işe yaradı. Sınav sürecinde beni en çok şaşırtan şey buydu.

• Sınav planlamasını yaparken başarısız olacakmış gibi plan yapın. Bu söylememin sebebi sınava iki giriş hakkınız bulunmaktadır ancak bunun bazı şartları vardır. Sınava ikinci giriş hakkı alabilmek için mutlaka rapor göndermeniz gerekmektedir. Ek olarak sınav değerlendirmesi aldığınızda ve olumsuz olduğunu gördüğünüzde bu süreçten itibaren ikinci kez girebilmek için 14 gün hakkınız bulunmaktadır. Bunları mutlaka dikkate alın. Başarısız olacakmış gibi plan yapın deme sebebim buydu. İlk denemeyi geçemezseniz ikinci sınav için rahat bir zaman diliminiz olsun.

• Sınavda geçerli puanı alamadığınızda elinizdeki tüm bulguları yazıp raporunuzu mutlaka gönderin. Size neyi eksik yaptığınızı ve nasıl geliştirebileceğinizi gösterecek geri bildirim alacaksınız. Ek olarak yukarıda da yazdığım gibi raporu göndermediğinizde ikinci giriş hakkınızı alamazsınız.

• Ek olarak sınav anında yaptığınız tüm testleri ve elde ettiğiniz sonuçları detaylı bir şekilde not alın. Bu notlar, raporunuzu hazırlarken ve geri bildirim alırken size büyük kolaylık sağlayacaktır. Kesinlikle en önemli konulardan birisi bu bana göre.

Bana gönderilen değerlendirme sonucu

Son Sözler

Sınava girmeyi düşünüyorsanız sıkı bir şekilde çalışmanız gerekmektedir. Önünüzde 1 hafta olacak ve beklediğinizden çok daha hızlı geçecek. İlk gün moraliniz çok bozulabilir ama sakın pes etmeyin ve bunu aklınızdan bile geçirmeyin diğer günlerde takıldığınız yerleri çok basit bir şekilde geçebileceksiniz sadece biraz sakin kafayla dinlenmeye ihtiyacınız var. Son olarak da CWES sertifikası aldığım ilk sertifika ve benim için unutulamayacak kadar güzel bir deneyim oldu.

Tavsiye Ettiğim Bağlantılar

• https://academy.hackthebox.com/news/the-transition-from-htb-cbbh-to-htb-cwes-has-officially-started

• PortSwigger Web Security Labları

• https://www.youtube.com/watch?v=6ISUuMBzCyo

Think outside the box

Okuduğunuz için teşekkür ederim.