eWPT Sertifikasyon ve Sınav İncelemesi

Merhabalar,

Konuyla ilgili Türkçe yayımlanmış kaynak olmadığından, bu yazımda Elearnsecurity’nin eWPT sertifikasyon programını ve sınav sürecini anlatmak istedim.

eWPT Sertifikası

Sınav

Sınav, sizin gerçek bir hayatta size verilen bir web sızma testi işini, teknik ve raporlama yönünden yapabilme yetkinliğinizi ölçmek üzere tasarlanmış. Bunu ölçmek için de:

  1. Web uygulamasına sızma testi yap
  2. Web uygulamasında zafiyet değerlendirmesi yap
  3. Bulgularını gerçek hayattaki usül ve esaslara uygun raporla

Meali:

Sızma Testi: En düşük yetkiyle sızmaya başla, yetki arttır (veya başka bir yol bul) ve olabilecek en yüksek seviyede yetkiyle, veriye eriş.

Zafiyet Değerlendirmesi: Bütün sömürülebilecek zafiyetleri tespit et, raporla.

Sınava başladığınızda bir “Letter of Engagement” alıyorsunuz. Bu doküman ilk aşamada ihtiyacınız olan her şeyi verecek.

Dokümanla birlikte bir VPN dosyası veriliyor. Bununla lab ortamına erişim sağlamanız, ve bu ortamdaki web aplikasyonuna sızma testi ve zafiyet değerlendirmesi yapmanızı ve raporlamanız bekleniyor.

Zorluk

Zorluk göreceli olduğu için, kendi içinde nicelleştirmesi zor bir kavram. O yüzden ancak kendi deneyimimden bahsedebilirim:

“Hard-core” güvenlik veya sızma testi alanında çalışmıyorum. Birincil uzmanlık alanım da web uygulama güvenliği değil.

Bunun ışığında baktığımda, benim için orta zorluktaydı. İşin teknik kısmından ziyade bu sınav ile ilgili bilmek gereken şey:

Bir zafiyetin bir yerden çıkabileceğini düşünüyorsanız, o zafiyet oradan çıkıyor.

Tolga, Sınava başladıktan 15 dakika sonra

Sınırlandırmalar

Sınav, sınırlandırma yönünden oldukça serbest:

  • Herhangi bir gözetime tabii değilsiniz.
  • İstediğiniz araç, ürün ve teknikleri kullanmakta serbestsiniz.

Hazırlık

Sınav için en azından OWASP Top 10 zafiyetleri iyice anlamış ve yine yeri geldiğince sömürebilecek durumda olmanız gerekiyor.

Bunun için OWASP’ın WSTG (Web Security Testing Guide) rehberine çalışmanız ve yöntemleri uygulamanız yeterli olacaktır.

Ben kendi çalışmam için aşağıdaki kaynakları kullandım:

Kullanmak isteyeceğiniz kaynakları sizin yetkinlik seviyeniz ve öğrenme tercihiniz değiştirecektir ancak her halükarda tavsiyem Elearnsecurity’nin kendi eğitim kaynağı olan INE’yi kullanmamanız yönünde olur. Aynı bilgileri, kıymetli paranızı harcamadan da elde edebilirsiniz. 😉

Sonuç

Sınav sonucu aldığınız sertifikasyon, Dünya genelinde çok bilinmese de, bence web uygulaması güvenliği alanında başlangıç/orta düzey sızma testi yetkinliğinizi gerçekten kanıtlayabileceğiniz durumda.

Sınavın kendisi gayet keyifli, ve çok net bir şekilde bir yere gidebileceğiniz birden fazla yol var, ki bu da verdiği keyfi katlıyor.

Fiyatı voucherını satın aldığımda 400 Amerikan Dolarıydı, kendi açımdan konuşacak olursam bu bedeli ödedikten sonra keşke daha yüksek bir sertifikasyonu tercih etseydim dedim.

Genel olarak fiyatını karşılarım, zaten başlangıç düzeyindeyim diyorsanız tavsiye ediyorum.