eWPTv2 Review

Información del examen

Duración: 10 horas.
Precio: 400$
Intentos: 2
Dificultad: Profesional

Qué es la eWPTv2?

eWPTv2 quiere decir "Web Application Penetration Tester" y es ofrecido por INE Security. Es diseñada para equipar a los aspirantes a penetration testers, Web App Security Professionals, Bug Bounty Hunters y desarrolladores web con las habilidades y conocimientos esenciales necesarios para planificar y realizar una prueba de penetración de aplicaciones web exhaustiva y profesional y cómo identificar, explotar y mitigar eficazmente las vulnerabilidades en las aplicaciones web modernas.

El examen se basa en responder 50 preguntas donde es necesario comprometer un entorno empresarial simulado para llegar a las respuestas.

Como se muestra en su sitio web, en este curso se cubren y evalúan las siguientes áreas:

Introducción a las pruebas de seguridad de aplicaciones web.
Recopilación de información.
Web Proxies.
Authentication and Authorization.
Cross-Site Scripting (XSS).
SQL Injection (SQLi).
Common Attacks.
File and Resources Attacks (LFI/RFI).
Web Services & APIs.
CMS Pentesting.
Clickjacking & Session Hijacking.
Codificación y filtrado.

Consejos

Curso INE: Te proporciona una base de conocimientos solida para afrontar la certificación pero deberás hacer un poco de búsqueda por tu cuenta de las tecnologías para saber mejor a que te estas enfrentando. Copiar y pegar comandos del curso no siempre funcionará, tendrás que ir un paso mas allá y darle otro enfoque al vector de ataque.
Laboratorios: Es muy recomendable realizar todos los laboratorios del curso. No te esperes un examen 100% igual que los laboratorios porque no es así, pero si que hay una similitud en cuanto a las metodologías.
Rabbit Holes: Los famosos Rabbit Holes pueden jugarte una mala pasada, si ves que una metodología se demora mas de diez minutos, piensa en otro vector de ataque. El examen esta pensado para realizarse en 10 horas por lo que el tiempo apremia. Un ejemplo puede ser, un ataque de fuerza bruta.
OWASP Top 10: Antes de empezar esta certificación, tener conocimiento sobre los diez riesgos de seguridad mas importante te ayudará mucho. También recomiendo hacer uso de la OWASP Web Security Testing Guide, es una guía pensada para las pruebas de penetración sobre una aplicación web, te ayudará a saber organizar el tiempo.
CMS: Esta bien profundizar acerca de los diferentes CMS que existen como así sus temas y plugins. No es un misterio que son utilizados mundialmente por eso tener ese background de como funcionan te ayudará.
Burpsuite: Saber utilizar esta herramienta te salvará de mucho tiempo perdido, tanto para la fase de enumeración como para muchas metodologías.
Formación extra: Este punto es a gustos personales, he leído a mucha gente decir que el curso de INE no es suficiente y a otros muchos decir que si lo es, en mi caso creo que es suficiente pero que podrían profundizar mucho mas en muchos conceptos. Recomiendo a mi gusto personal, echarle un ojo a la academia de PortSwigger para acabar de perfeccionar técnicas y conceptos.
Máquina examen: Este punto no es un consejo, es una advertencia sobre el examen. Te facilitarán una conexión vía navegador a una máquina del entorno del examen, por lo que no podrás hacer uso de tu VM personalizada y no me gustó porque no te da la opción de utilizar tus herramientas/scripts. La máquina ya viene con un "paquete" de herramientas instaladas que INE cree que son las necesarias para afrontar el examen. Y por ultimo ten paciencia, es posible que en algún punto se te quede el laboratorio "pillado" y en mi caso tuve que reiniciarlo un par de veces.

Recursos

Conclusión

Si estas pensando en dar un salto de calidad en tus auditorias sobre aplicaciones web, esta certificación es muy recomendable. Te pone a prueba en un examen de 10 horas donde debes aprender a saber gestionar tu tiempo y tus notas así como saber detectar esos vectores de ataque y no quedarte atrapado en distracciones.

Esta versión renovada del eWPT le ha dado una frescura tanto a su contenido de la academia como al examen que no tiene nada que envidiarle a las certificaciones de su nivel de la competencia.

Última actualización hace 1 año

Qué es la eWPTv2?

El examen se basa en responder 50 preguntas donde es necesario comprometer un entorno empresarial simulado para llegar a las respuestas.

Como se muestra en su sitio web, en este curso se cubren y evalúan las siguientes áreas:

Introducción a las pruebas de seguridad de aplicaciones web.

Recopilación de información.

Web Proxies.

Authentication and Authorization.

Cross-Site Scripting (XSS).

SQL Injection (SQLi).

Common Attacks.

File and Resources Attacks (LFI/RFI).

Web Services & APIs.

CMS Pentesting.

Clickjacking & Session Hijacking.

Codificación y filtrado.

Consejos

Curso INE: Te proporciona una base de conocimientos solida para afrontar la certificación pero deberás hacer un poco de búsqueda por tu cuenta de las tecnologías para saber mejor a que te estas enfrentando. Copiar y pegar comandos del curso no siempre funcionará, tendrás que ir un paso mas allá y darle otro enfoque al vector de ataque.

Laboratorios: Es muy recomendable realizar todos los laboratorios del curso. No te esperes un examen 100% igual que los laboratorios porque no es así, pero si que hay una similitud en cuanto a las metodologías.

Rabbit Holes: Los famosos Rabbit Holes pueden jugarte una mala pasada, si ves que una metodología se demora mas de diez minutos, piensa en otro vector de ataque. El examen esta pensado para realizarse en 10 horas por lo que el tiempo apremia. Un ejemplo puede ser, un ataque de fuerza bruta.

OWASP Top 10: Antes de empezar esta certificación, tener conocimiento sobre los diez riesgos de seguridad mas importante te ayudará mucho. También recomiendo hacer uso de la OWASP Web Security Testing Guide, es una guía pensada para las pruebas de penetración sobre una aplicación web, te ayudará a saber organizar el tiempo.

CMS: Esta bien profundizar acerca de los diferentes CMS que existen como así sus temas y plugins. No es un misterio que son utilizados mundialmente por eso tener ese background de como funcionan te ayudará.

Burpsuite: Saber utilizar esta herramienta te salvará de mucho tiempo perdido, tanto para la fase de enumeración como para muchas metodologías.

Formación extra: Este punto es a gustos personales, he leído a mucha gente decir que el curso de INE no es suficiente y a otros muchos decir que si lo es, en mi caso creo que es suficiente pero que podrían profundizar mucho mas en muchos conceptos. Recomiendo a mi gusto personal, echarle un ojo a la academia de PortSwigger para acabar de perfeccionar técnicas y conceptos.

Máquina examen: Este punto no es un consejo, es una advertencia sobre el examen. Te facilitarán una conexión vía navegador a una máquina del entorno del examen, por lo que no podrás hacer uso de tu VM personalizada y no me gustó porque no te da la opción de utilizar tus herramientas/scripts. La máquina ya viene con un "paquete" de herramientas instaladas que INE cree que son las necesarias para afrontar el examen. Y por ultimo ten paciencia, es posible que en algún punto se te quede el laboratorio "pillado" y en mi caso tuve que reiniciarlo un par de veces.

Conclusión

Esta versión renovada del eWPT le ha dado una frescura tanto a su contenido de la academia como al examen que no tiene nada que envidiarle a las certificaciones de su nivel de la competencia.