Eğitimin Adı : WAPTX (Web Application Penetration Testing eXtreme), elearnsecurity tarafından veriliyor.
Eğitimin Konusu İle Alakalı Etiketler : Siber Güvenlik, Web Uygulama Güvenliği, Sql injection, Cross Site Scripting, Xml Attacks, WAF Bypass
Incelemeyi Yazan : İsim vermek istemedi
Eğitim İçin Gerekli Ön Bilgi : Giriş seviyede linux, temel yazılım bilgisi, HTTP, HTML, Javascript bilgisi
Teknik Zorluğu : 5 üzerinden 4
Eğitim Ücreti : Elite Paket 1299$
Eğitim Türü : Çevrimiçi (Online)
Kimler İçin : Orta ve ileri düzey, tecrübeli
Sertifika : WAPTX
İncelemeyi Yazan Hakkında Bilgiler
Uzun zamandır keyif alarak siber güvenlikle uğraşmaktayım. Hobi olarak uğraştığım bu alan mesleğim haline geldi. Profesyonel anlamda yaklaşık dört yıldır sektördeyim. Profesyonel iş hayatına atıldıktan sonra yaklaşık 1 yıldan sonra OSCP sertifikasını aldım. Web uygulama güvenliğine olan ilgimden dolayı bir sonraki hedefim WAPTX (Web Application Penetration Testing eXtreme, elearn security) ve OSWE sertifikasyon programlarıydı. Bu iki seçenek arasından WAPTX'i seçtim. Çünkü çevremden aldığım tavsiyeler, farklı bakış açısı kazanma isteği, sınav yöntemi ve konu içerikleri ilgimi çekmişti.
Eğitim İçeriği
Eğitim aldıktan sonra eğitim dökümanları ve videolarıyla beraber 120 saatlik lab ortamına erişim sunuluyor. Bu lab ortamına erişmek için kullanıcılara vpn dosyası verilmekteydi.
Eğitim başlıkları:
- Encoding and Filtering
- Evasion Basics
- Cross-Site Scripting
- XSS - Filter evasion and WAF bypassing
- Cross-Site Request Forgery
- HTML5
- SQL Injection
- SQLi - Filter Evasion and WAF Bypassing
- XML Attacks
Pratik Lab Ortamına ait Başlıklar:
- XSS - 11 challenging labs
- XSRF - 5 challenging labs
- SQL Injection - 10 challenging labs
- Second-order SQLi - 7 challenging labs
- SQLi Playground - 4 test environments to play with
- XML Injection - 3 challenging labs
- XML External Entities - 7 challenging labs
- XML Entity Expansion - 4 challenging labs
Eğitimin Artı Yönleri
Lab ortamında bulunan soruların çözümünü göstermeleri bunun yanında konu bazlı olarak bahsetmek gerekirse araç kullanarak çözümlerin öğretilmesi sağlanmaktaydı.
Örnek olarak sql injection lab ortamında zafiyetin nasıl tetiklendiğini gösterdikten sonra sqlmap aracının kullanımıyla çeşitli parametre ve tamperlarından yararlanılarakta zafiyetin nasıl tetiklendiği gösterilmektedir. Hiç kuşkusuz eğitimin en büyük artı yönü farklı bakış açısı kazanmanızı sağlamak.
Eğitimin Eksi Yönleri
Eğitim dökümanlarının güncelliğini yitirmiş olması en büyük sorunlardan biriydi. Dökümanlar içerisinde sürekli referans adresleri bulunmaktaydı. Bu referans adreslerine erişilemiyor olması oldukça üzücüydü. Destek konusunda çok yardımcı olmamaları ayrı bi ilginçlik taşıyordu. Bir konuyla ilgili mail üzerinden iletişime geçtiğinizde foruma yazın diyorlardı. Foruma aynı içeriği yazdıktan sonra bu durumu mail olarak bildirin diyip kenara çekiliyorlardı. Ayrıca mailleşme sırasında çok geç geri dönüş sağlıyorlardı.
Konudan bağımsız bazı artı ve eksi yönler almış olduğunuz eğitim paketine göre değişiklik gösterebilmektedir. Ben elite paketini satın almıştım.
Sertifika / Sınav Hakkında Bilgiler,
Eğitime çalışma aşamasından bahsedecek olursak uzun yıllardır web uygulama güvenliğiyle ilgilendiğim için dökümanlara çalışma aşamasında pek zorluk çekmedim. İçerikler düşündüğümden kolaydı. Bu çalışma durumu tamamen kişisel bir bakış açısı dersek yerinde olur sanırım.
Sınavdan bahsedecek olursak 14 günlük bir sınav süresi vardı. Bu süre zarfında verdikleri web uygulamaları üzerinde black box test gerçekleştirip yapılan bu testte elde edilen tüm bulguların detaylandırılarak ve belirttikleri dosyayı okuyup rapor edilmesini beklemektedirler. Sınavda araç kullanmak serbest olup istediğiniz aracı kullanmanıza izin veriyorlardı. Bulduğunuz zafiyetleri sonuna kadar sömürmenizi istiyorlar eğer sonuna kadar zafiyeti sömürdüğünüzü göstermezseniz sınavdan kalabilirsiniz. Sınavdan kalındığı takdirde ikinci kez sınava ücretsiz giriş hakkınız bulunmaktadır. Bu ikinci sınavı aldığınızda size eksikliklerinizle ilgili bazı bilgiler vermektedirler. Sağlanılan bu ikinci sınav ilk sınav ile birebir aynı olup eksiklikleri farketmenize olanak sağlamaktadır. Bunları 7 gün içerisinde tamamlayıp raporunuzu tekrar hazırlayıp bildirmenizi beklemektedirler. Tüm bu aşamalardan başarılı olunması durumunda sertifikayı almaya hak kazanmış olacaksınız. Sınav gerçek hayat senaryosu olduğu için eğlenceliydi. CTF mantığından daha çok offensive anlamda neler yapabileceğinizi görebiliyorsunuz.
SONUÇ
Eğitimin teorik bilgisi ve kullanılan görseller gayet açıklayıcıydı. Dökümanlarda aldığınız bilginin pratiğini yapmanız için sundukları lab ortamları öğrenme, pekiştirme açısından yeterliydi. Lab ortamında pratik yaparken farklı veritabanı yapıları görmeniz için gerekli alt yapıyı sağladıklarını söylemeyi unutmayayım :) Her ne kadar eğitim dökümanlarının güncelliği konusunda hayal kırıklığı yaşasamda sınavda öğrenmeye devam ettim. Web uygulama güvenliği konusunda edinmiş olduğum farklı bakış açılarından dolayı güzel ve keyifli bir eğitimdi.