Всех приветствую и заранее благодарю за то, что решили выделить несколько минут и ознакомиться с моим мнением о курсе WAPT. Отзывов о прохождении данного курса уже накопилось немало, поэтому постараюсь описать вкратце свой путь. Надеюсь, кому-то он покажется интересным, а кому-то поможет определиться окончательно и записаться, чтобы испытать всю палитру эмоций от прохождения тасков и сдачи экзамена.
Начать хочется с того, что если Вы записались на этот курс, то должны понимать одну самую главную вещь - обязательно записывайте все, что делаете. Записывайте так, как Вам будет удобно и проще потом искать в своих же записях подсказки или направления. Для этого Вам предоставляется целый выбор программ от стандартного блокнота или NotePad до Cherry Tree или, как в моем случае, Notion. Я еще и лекции переносил, дабы всю информацию сосредоточить в одном месте.
Наш поток работал на новой платформе, уже не нужно было через nmap пробивать порты тасков и мы избегали всех тех трудностей, что возникали на предыдущих потоках, но у нас были другие ))).
Технические моменты обойти стороной не получилось, однако они решались максимально оперативно и какого-то негативного следа они у меня и не оставили. Уверен, что в ближайшем будущем процесс обучения всем обучающимся покажется еще комфортнее.
Теперь все тачки запускаются быстро и вся необходимая информация доступна каждому пользователю.
Флаги также указываются в самой платформе, они генерируются с каждым запуском для каждого пользователя персонально, поэтому если Вы вдруг нашли части флага и по какой-то причине остановили таск, то при следующем запуске Вам придется проделать все шаги заново, чтобы собрать по-новому сгенерированные части флага.
На потоке приветствуется общение и помощь через чат-бота, однако помощь не должна означать решение, такие моменты фильтруются кураторами.
Данный курс позиционируется как "сложный", а значит определенные знания должны быть, так как Вам могут лишь подсказать вектор атаки, все остальное остается в Ваших руках.
Некоторые блоки Вам могут показаться легкими, а некоторые могут вгонять в ступор и в бесконечно бессонные ночи, готовиться и настраиваться нужно на все что угодно, самое главное не падать духом, чувство от тяжело взятого флага непередаваемо и придает еще больше уверенности в дальнейшем.
По блокам, чтобы не повторятся как обстоят дела, Вы можете прочитать в других отзывах, единственное что могу добавить: предпоследний и последний таски в каждом блоке для меня показались самыми интересными и именно решение этих тасков Вам сможет помочь быстрее решить задачи из категории HARD на экзамене. Поэтому рекомендую не откладывать решение не поддавшихся тасков в долгий ящик, по закону подлости именно эти векторы атаки и будут Вас экзаменовать))).
По понедельникам открывается каждый новый блок. Старайтесь распределять свое время, так как на некоторые таски Вы затратите достаточно много сил.
Блок c SQL-injection и Privilege Escalation лично для меня дались проще всего, так как имелся немалый опыт в этом направлении, а также за плечами уже давно был пройденный курс SQL injection Master от Codeby. C большинством остальных уязвимостей я практически не сталкивался в живую, а если они и встречались, то все решалось обычным копипастом пэйлоадов без особого вникания в суть происхождения и физического процесса, на этом курсе эти недостатки были исправлены.
3 месяца пролетели на одном дыхании, удалось решить все таски и я записался на первый же свободный день для сдачи экзамена.
Максимальное количество баллов, которые вы можете получить за решения тасков платформы в ходе обучения - 3975. Одна подсказка на экзамене стоит 1300. Надеюсь Вам не придется тратить так тяжело заработанные баллы на подсказки и у Вас все получится решить самостоятельно.
1 таск был решен моментально, а с остальными в легкой категории пришлось слегка повозиться. Здесь вы встретитесь практически со всем, что было в ходе обучения, копирование пэйлоадов не поможет, однако найдя вектор атаки, если Вы уяснили суть, то вытащить флаг не составит труда. Минимальное количество балов в легкой категории я набрал уже спустя 3 часа и приступил к сложной. Спустя час для того чтобы сдать экзамен мне осталось решить одну любую задачу, но чуть погодя из-за технической неисправности платформа работала нестабильно или вообще не работала. Через несколько часов работоспособность была восстановлена, а спустя еще час минимальное количество баллов для сдачи экзамена набрано.
Хочется отметить, что из-за этой технической неисправности время добавили каждому, кто сдавал в этот день экзамен. Именно поэтому я решил отложить решение остальных заданий на следующий день, так как времени было достаточно!
В конечном итоге все таски были решены!
Если сравнивать экзамен SQL и WAPT, на SQL для минимального набора баллов потребовалось меньше 2 часов, однако потом было все не так просто.
На WAPT все примерно шло в одном русле, какие-то чуть сложнее, какие-то чуть проще вне зависимости от категории сложности.
Общее впечатление о курсе положительное, после сдачи экзамена меня одновременно преследовало чувство радости, так как все удалось и есть куда расти дальше, а также грусти из-за быстро пролетевшего времени и того, что, на мой взгляд, самый сильный курс в русском сегменте был пройден.
В окончании повествования хочется выразить слова благодарности всем, кто создавал этот курс, а также кураторам и координаторам, которые помогали нам на протяжении всего времени: @BearSec, @port709, @Preslok, @n1ggaa, @err0rtic и отдельная благодарность @Puni1337 за то, что старался находить время и проводить стримы с обзорами и пояснениями.
Всем спасибо за потраченное время и успехов во всем.
TRY HARDER
