Школа Мой путь к WAPT

Всем привет! Хочу рассказать мою историю как я шел к WAPT, мое мнение о курсе и небольшие советы.


Мечты о покупке данного курса появились еще где то в году 2021, но на то время для меня это было что то недостяжимое для простых смертных. Переодически, каждые примерно пол года я читал все отзывы, которые есть и мечтал, что когда то я тоже напишу свою историю прохождения. И вот этот день настал

Untitled.png


После анонса курса от Codeby “Введение в ИБ”, я понял, что это тот самый шанс структуировать свои навыки и закрыть недочеты. Поэтому, поскольку у меня уже были навыки решения CTF, курс оказался для меня не сложным, но очень полезным.


Далее, моей следующей точкой был курс по SQL injection, которые я никогда не понимал, кроме конструкции or 1=1— -

По началу курс казался легким и я ждал когда же начнется тяжело) Одновременно с появлениям сложных заданий на курсе близилась сдача диплома… Мне приходилось в режиме многопоточности пытаться успеть все сдать, поэтому последние и самые интересные таски курса, мне освоить не удалось. Далее, диплом был сдан и пришло время экзамена. Легкие задания, решить было не особо сложно, но набрать минимум мне еле удалось. Но все же экзамен сдан, а значит я вплотную приблизился к WAPT. И тут я задумался, что я готов пойти на этот курс и скорее всего я его не сдам, но получу огромный опыт. Сказав себе в июле, что я отдохну и пойду на WAPT через поток, я себе соврал и пошел сразу на следующий поток, который стартовал в сентябре.
Untitled(1).png

Курс начался с вводных тем и приходилось ждать где то недельку когда начнутся таски. Первой темой где нужно подключать практику была пассивный сбор информации, таски в теме были на самом деле не сложные, но всегда в начале обучения нужно время чтобы въехать что хотят от тебя, поэтому пришлось потратить некоторое время.

И сразу из 1 таска я получил урок, казалось бы простой, но я о нем часто подзабываю. Не усложняй сам себе жизнь! Целью 1 таска была получить ip адрес домена. Получив в 1 таске ip и информацию домена, который стоит за cloudflare, я не остановился и начал пытаться понять как же узнать реальный ip адрес codeby.net, спустя какое то время, когда так и не получалось найти реальный ip, включился режим паники, куда же я пришел, если я не могу решить 1 таск? Как быть дальше? Оказалось, что реальный ip искать и не нужно, достаточно было ip cloudflare


Но первая реальная сложность появилась, как и многие описывали это таск «с соседями надо дружить» на него пришлось убить достаточно времени, и тут оказалось, что я все еще не усвоил свой урок - не усложняй себе жизнь! Я Перекапал тонны веб архива, облазил весь форум , но оказалось немного легче, и нужно использовать те инструменты о котором говорится в хинте, а не придумывать в голове свои фантазии.

canvas.png



Далее шел активный фазинг, интересная тема, наконец то подкрепил знания с разными фазерами и разобрался как использовать ffuf, которого я всегда не понимал


Далее шла тема sql инъекцией и мне она далась достаточно легко, ведь не зря я проходил sql injection master, иначе бы я сдался уже на этом этапе. Но даже тут я получил новые знания, как можно автоматизировать эксплуатацию слепой инъекции без sqlmap, поскольку в sql injection, автоматизировать раскрутку запрещалось


Тема xxe была для меня почти новой, когда то я сталкивался с ней, но я даже не понял что такое xml и просто повторял все по методичке. Тут все хорошо объяснили и оказалось все не так страшно как казалось, самое сложное было опять въехать и решить 1 таск, а дальше уже становится все не так сложно.


В середине курса, я решил попробовать себя в квестах и тасках на codeby.games и теперь мне они оказались под силу. И вместе с этим я осознал, что WAPT дает не только знания как эксплуатировать уязвимости, но и самое главное - ты начинаешь правильно думать и находить правильный подход. В общем, курс развивает мышление хакера.

Untitled(2).png


В общем курс мне очень понравился, таски с повышенной сложностью очень интересные, их нужно прорешать обязательно.
Если вы задумываетесь идти на этот курс или нет, не зная абсолютно ничего - скорее всего нет. Несмотря на то что, на курсе есть поддержка кураторов, нужно понимать, что кураторы не будут выполнять таски за вас, они лишь тонко намекнут вектор, дальше уже раскручивать вам. Да иногда обидно, когда ты пишешь куратору в надежде получить ответ, но я считаю, такую политику правильной, поскольку нет смысла в том, что куратор будет говорить вам пошагово план действий. Вы же пришли учиться на пентестера, тут очень важен навык находчивости, сообразительности. Единственное замечание, я думаю стоит добавить тест для определения знаний ученика, перед записью на курс. Хочу сказать спасибо команде CODEBY за курс, это определенно стоило того. Хотелось бы себе стереть память, чтобы повторить этот путь заново.

Untitled(3).png

Try harder!
 
Последнее редактирование модератором:
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!