Школа Отзывы о курсе "Тестирование web-приложений на проникновение"

[explorer]

Всем привет!

В этой ветке я оставил больше всех отзывов о курсе, можете прочитать их тоже, кто не видел.
Подошёл момент написать заключительный отзыв, чтобы те кто думает поступать на него или нет, имели больше представления.

Начну с того что я был в первой волне, и курс доделывался по ходу обучения, из-за чего были проблемы в плане времени - курс растянулся и длился в 2 раза дольше, чем было заявлено. Те кто сейчас поступил - парни, я вам завидую! ))) Хочу сказать, что сейчас курс сделан на том уровне, какой я и хотел, когда записывался. В учебном классе всё налажено и продумано, все уроки и задания обкатаны на первой волне учеников, никаких задержек больше нет.

Как происходит обучение

Вы получаете методички, так же есть некоторое количество видеороликов. Изучаете теорию, после чего получаете доступ к лаборатории. Курс построен по принципу CTF - Capture the flag. Ваша задача достать на уязвимых приложениях спрятанный флаг - некую секретную запись и отправить её на специальной площадке для автоматической проверки на валидность. Если флаг валидный, то вам засчитываются очки. Каждое задание имеет свою цену в зависимости от его сложности.

Курс поделен на разделы, например изучаете раздел SQL injection, получаете некоторое количество заданий и решаете. У каждого раздела есть доступ, который можно получить только набрав минимальный проходной балл. То есть ничего не решить и получить следующие материалы не получится! Но могу заметить, что проходной балл приемлемый, то есть решить нужно только задачи простые и средней сложности частично.

Но тем не менее самые сложные всё же старайтесь решить, на этом происходит реальный рост. Порой данных в методичках не хватает для их решения, то есть нужно нещадно гуглить и самостоятельно искать дополнительные возможности. К тому же к задачам можно вернуться в любой момент.

Общение

Для учеников создан канал в телеграмме и есть закрытая ветка на форуме. Если у вас есть вопросы по таскам, можно обратиться к инструкторам. Какие-то намёки можно получить на верное направление. Также не забывайте, что на курсе всегда можно написать в л.с. и ученикам, которые выполнили задания раньше других. На площадке присутствует интерактивная карта, где можно посмотреть успехи ТОП-10 учеников в виде графика. А также доступна информация по каждому учащемуся - когда и какие задания он выполнил.

Что нужно для успешного прохождения курса?

Самое главное - это своё собственное желание получить новые знания и навыки! Это основное. Волшебной таблетки, как и в любой другой области здесь нет. То есть просто заплатить деньги и думать что ты сразу станешь кулхацкером здесь не прокатит. Нужно очень много работать головой, сидеть порой до красных глаз.

В более раннем отзыве я писал что нужно знать структуру веб-приложений, то есть как устроен сайт. Это основа, с которой нужно разобраться. Так как всё обучение происходит с использованием LINUX, то нужно знать основные команды и структуру самого линукса. Какую версию выбирать? Любую, которая вам больше нравится, хоть голый дистрибутив, на который будете накатывать нужные инструменты во время обучения. Я использовал Kali Linux.

Степень скилла до поступления на курс имеет весьма косвенное значение. Несомненно, кто уже участвовал в CTF, будет куда проще. Всё же здесь главное это усидчивость и упорство. К тому же себя некоторые переоценивают - были ученики которые так и написали, что думали они прокаченные, а оказались практически в хвосте учащихся по успеваемости.

Те, кто хоть чуток программируют получают преимущество, ибо в задачах есть php, python, javascript. То есть кода, которые реально повсеместно используются.

Идти на курс или нет?

Выбор только за вами. Если ты действительно хочешь получить мощную базу, фундамент, для дальнейшего самостоятельного обучения, то ответ несомненно ДА. Если ты лентяй, за которого нужно всё делать, то конечно НЕТ )
Моё видение, что курс стоит своих денег, и позволяет прокачать свой скилл. Есть люди с некоторым опытом, которые сомневаются, что узнают для себя что-то новое. Я так скажу - статистика говорит о том, что планка на курсе очень высокая. На данный момент из 72 учеников, которые решили хоть одну задачу, только трое смогли решить все таски. У организаторов больше информации, так оказалось что к этому есть и те, кто не сделал ни одного задания.


Благодарности

Хочу поблагодарить ВСЕХ, кто принимал участие в создании и продвижении курса, а также администратора форума. Я действительно открыл для себя много нового. Желаю дальнейшего развития проекта!
Спасибо! Спасибо! Спасибо! )))

 

[zakrush]

Тоже напишу отзыв о прошедшем курсе.
Итак.

1. Общее впечатления
Курс просто отличный. Ознакамливает со многими аспектами работы Web приложений и их безопасности. Перестраивает разум на то, как смотреть приложения. Заставляет глубже погружаться в механизм работы Web приложений и смежных областей, чтобы понять и решить таски. Тут главное упорство. Главное не лениться.
Курс шел долго, это как и плюс так и минус.
Минус, что длительность курса дает ложное впечатление что все успеешь. Это стимулирует лень и откладывания на потом, исчезает эффект "полного погружения". Следующие группы наверное погрузятся глубже.
Но с другой стороны как плюс, что курс был дольше, это можно было решить свои иные проблемы и поизучать смежные области не в ущерб курсу. И из-за дличтельности приходилось повторять некоторые пройденные ранее материалы, что дает также закрепление полученных знаний.
Про время скажу так. ЧТо если бы курс шел 3 месяца (как заявлено) мне кажется можно слишком "выжаться" и не дойти до конца. Преподавателям точно стоит предусмотреть "каникулы". На сколько я знаю, это в принципе не проблема. Иначе из-за нехватки времени (у некоторых есть семья, работа и прочие проблемы + каждую ночь до 2-3х часов с тасками) будет эмоциональное выжигание.

Курс формирует правильное мышление, с чего начинать исследовать Web приложение и как искать уязвимости и иные полезные данные. Это особенно раскрывается на экзамене.
Большинство заданий великолепные. Многие прям затягивают. Главное перебороть лень и сесть делать, можно и не заметить как уже утро и через 2 часа на работу! Очень много тонких моментов. Причем некоторые тонкости (почему именно так сделано) замечаешь уже при перепросмотре заданий.

Преподаватели молодцы, не под каким предлогом не дают ответы (только прямо когда совсем совсем не знаешь как решить). Т.к. по своему опыту понял, что там где они подсказали, материал не так осел в голове и это вызвало например проблемы на экзамене.

Итоговый экзамен, когда мозг включается на пределе, реально дает понять на сколько ты продвинулся, и как ты начал по другому решать задачи и смотреть на получаемые/находимые данные. Именно во время выполнения тасков это так не проявляется.(по крайней мере у меня).

2. Что необходимо знать перед началом курса.
Линукс (базовые команды, как ими пользоваться и как выстраивать pipline (find, grep, cat, tail, head и т.п.)
Web приложения. Что такое headers, как и какие запросы бывают. Как они работают и обрабатываются. Тут больше надо не знать, а понимать. Т.к. база дается в методических материалах.
БЫть знакомым с программированием. Не обязательно программировать, именно быть знакомым. Если умешь программировать и особенно на JS или PHP это будет большим плюсом, т.к. будешь большее понимание, того, что делаешь и как работает тот, или иной пэйлоад.
Уметь читать технический Английский. (ИМХО в ИТ без этого вообще ни куда). Все гайды, ответы на вопросы на английском. Да те же инструкции к эксплоитам на уязвимости там же.

А вообще все вышеперечисленным можно и не обладать(кроме английского), но быть готовым потратить значительное время на изучение и понимание всего этого. Самое главное это упорство, усидчивость и терпение. Последнего надо будет очень много.

3. Напутствие на будущее поступающим и готовящимся по курсу.

Чтобы перейти на следующие типы заданий не обязательно решать сложные задания. (100 и даже 75 баллов). Для базы это достаточно, НО для лучшего освоения материала и сдачи итогового экзамена:

• обязательно пробуйте их решать. Решать ВСЕ задания!!! Даже если не решили, это даст много знаний и навыков. Закрепление материала текущего раздела и самое главное прошедших разделов. Сам допустил оплошность и не все задания удалось потрогать.
• Перед экзаменом, желательно пройтись по всем таскам ну или по части, но обязательно по всем разделам, чтобы вспомнить весь материал (то не касается фаззинга, он есть везде). К тому же когда заново смотришь на таски и как они решаются, происходит более глубокое понимание почему именно так они решаются, и всплывают какие-то тонкие моменты, которые не были замечены, когда задания решались ранее. (ввиду получения опыта во время обучения).
• ну и главное не зарываться, не получается иди дальше, потом вернешься. К сожалению сам часто допускал эту ошибку.

Ну и лайфак: порой для решения задачи (особенно когда зарылся) важно делать перерыв. + Сформулировать все куда нибудь в блокнот. Бывает, что во время формулировки проблемы (например преподавателю) ответ приходит сам собой. Таким блокнотом у меня был Sinner, спасибо ему что он видимо это понимал и часто игнорил такие формулировки.

Все это очень поможет на экзамене.


4. Благодарности.
Спасибо всем кто участвовал в создании курса, преподавателям за их терпение и подход к обучению, им мне кажется порой тяжелее чем обучающимся.

 

[digw33d]

Хоть я еще и не прошел все до конца, но хочу озвучить свое мнение, отличающееся от всех остальных, выше изложенных.
Честно сказать я разочарован курсом. Поясню почему. И начну с плюсов.
Степень квалификации преподавателей (я бы, скорее, назвал их авторами курса и кураторами) не мне с моим бэкграундом судить однозначно. По сравнению со мной они, конечно, - гуру.
Курс, несомненно, систематизирует необъятную тему it безопасности, пентеста и помогает новичку соориентироваться и наметить для себя области, где следует начинать прокачивать свои знания.
Не скажу что содержимое курса - лютый приват, однако весьма много чего в открытом доступе нет и подобные знания и чужой опыт можно получить только из персонального общения с практикующими специалистами в том случае, если они настроены этим делиться. Что, как правило, является большой редкостью.
Так же плюсом по моему мнению является коллективное погружение в тему и обретение новых полезных знакомств на этом фоне.

Теперь о минусах. Нижеизложенное - строго мое субъективное мнение.
Название курса "С НУЛЯ" не совсем соответствует действительности. В теме курса есть пожелание поступающим освежить в памяти учебник 9-11 класса. Ок. Но то, что ожидает юного падавана в ходе курса, выходит далеко за пределы учебника. Выше в отзывах уже упоминали, что крайне желателен практический опыт программирования. В противном случае (да и то - допустимо исключительно на первых порах) процесс превращается в тупую копипасту кода без понимания сути происходящего.
Я оказался не настолько подготовлен в этом плане, в связи с чем по ходу курса, чем дальше тем чаще и тем больше времени мне пришлось уделять поиску и освоению каких-то вещей, подробно в курсе не освещаемых но без которых дальше двигаться нельзя. По итогам я больше учил какие-то смежные вещи а не занимался непосредственно по теме курса.
Курс построен таким образом, что следующая тема открывается только после решения тасков по предыдущей. При этом время на весь курс ограничено. Должен упомянуть что сначала все страдали от того что следующая тема будет доступна только через неделю а предыдущую уже все решили и делать нечего и че это такое и бла бла бла но дальше все изменилось для меня в обратную сторону. При условии того, что мне пришлось перефокусироваться на изучение каких-то смежных тем, я банально не успеваю дойти до конца хотя бы в части теории, не говоря уже про решение контрольных тасков.
По итогам у меня сложилось впечатление что курс вроде как бы и "с нуля" для тех кто совсем не в теме (но тогда нужно с нуля и кучу всего попутного давать, а многие важные вещи упомянуты вскользь либо вообще опущены) а с другой - те, кто уже в теме базово, вряд ли прозреют и найдут в курсе нечто, из ряда вон выходящее и совершенно для них новое. Ну не мануалы же читать как метасплойт заводить и пейлоады на сервер грузить.
Про кураторов.
К сожалению столкнулся с тем, что в доступе оказалось всего 2 человека, готовых более-менее оперативно вести диалог со студентами. С учетом того, что одновременно "в процессе" находится пара десятков обучающихся со своими вопросами от совсем идиотских (как мои ) до более-менее адекватов, а еще помимо поддержки курса есть работа, личная жизнь и время на отдых, можно представить себе КПД кураторов. В общем, вместе с принципом не подсказывать напрямую а давать легкие, как дуновение ветерка, пинки в нужную сторону (не раздуплил - сам дурак), тема помощи со стороны кураторов для меня осталась нераскрытой. Возможно, просто не повезло )
Ну а принцип прохождения курса я все же считаю самым жирным минусом. По сути для меня это оказалось некой платной площадкой CTF, с несколькими категориями задач, сопровождаемых довольно краткими советами методичками по решению. При этом время доступа ограничено и возможности отложить одну тему, на которой запнулся, дать мозгам отдохнуть и заняться другой темой, нет возможности в принципе. Кто не успел, тот опоздал.
Я, честно сказать, впервые столкнулся с такой ситуацией, когда я вроде бы полностью предоплатил продукт, но получить его целиком не могу. Это как я пришел бы в автосалон, оплатил автомобиль в кассе а мне потом сказали "ну вы все оплатили, молодец, но мы вам его не отдадим потому что вы на нем ездить не умеете". Ну и что? Вот хочу я просто его иметь и все. Как хочу так и распоряжаюсь. Хочу - езжу, хочу в гараже держу, хочу - в речке утоплю. Моя машина, что хочу то и делаю. Так и с курсом. Да, я переоценил свои возможности в данный момент и не вытягиваю этот курс как рассчитывал. Но почему я не могу просто положить его к себе в папочку на рабочем столе и осваивать когда найдет вдохновение или я обрету достаточный уровень? Даже без доступа к площадке практических занятий. Как-то так.

В заключение все же еще раз спасибо codeby за проделанную работу над курсом, уверен что он пригодится и понравится многим.

 

[Сергей Попов]

Но почему я не могу просто положить его к себе в папочку на рабочем столе и осваивать когда найдет вдохновение или я обрету достаточный уровень? Даже без доступа к площадке практических занятий.

Мы не продаем информацию. Многократно писали, что у нас надо учиться. Нельзя просто заплатить деньги и получить материалы.
Необходимо дополнительное время, не успеваете, напишите мне и решим вопрос.
Нет необходимости в дополнительном времени - напишите мне и мы обсудим манибэк.

К сожалению столкнулся с тем, что в доступе оказалось всего 2 человека

Есть такое, не рассчитали, что летом люди обычно отдыхают и не набрали дополнительных инструкторов.

 

[zakrush]

Тут наверное это зря писать, но отзыв сверху меня вообще не удивил. ИМХО много преувеличений и разочарования.
Про программирование:
Я его не знал. Во время курса начал параллельно питон почитывать. Из всех заданий только одно помню на программирование. Остальное в методичке построчно разбиралось (PHP инъекции)
Про время:
Все сдавшие ночами не спали и пытались решить таски. Ближе к концу курса, когда уже принципы поймешь и опыт получишь задания на 25-50 баллов будут решаться за 2-3 часа. Если не ограничить во времени то в итоге так и не изучишь ни чего. При постановке целей надо ставить дату достижения цели. Это факт. Растягивая курс, и уроки + садясь когда придет "вдохновение" можно вообще не закончить курс. Т.к. происходит забывание материала и все по новой, и вдохновение может не приходить месяцами пока не сядешь выполнять таски.
Про подсказывания инструкторов:
Если бы дошел до конца, понял бы, что если прямо сказали ответ, ты бы его забыл, или упустил какой-то момент, который как оказалось был важным. (со мной такое было: при выполнении говорили полностью что делать, а на экзамене оказалось, что вот тут-то небольшая деталь и ускользнула от меня).

 

[explorer]

Все сдавшие ночами не спали и пытались решить таски.

В яблочко!!!

 

[b3raza]

Вот краткий отзыв по результату завершения курса

1. Общее впечатления
Курс понравился. Тема пентеста веб-приложений раскрыта полностью.
В интернете можно найти огромное количество информации по темам курса, но важна актуальность и структурированность этой инфы.
В этом и заключается одно из достоинств курса: сведения об векторах атак и техниках удачно подобраны и разбиты на главы.
После изучения каждой складывается понимание общей картины и в случае недостатка информации - понятно куда копать.
Самая главная часть курса - практические задания. Тут всё здорово: различный уровень сложности, интересные вводные, пасхалки

Неприятный момент - нелинейное возрастание сложности в практических заданиях. Когда добираешься до границы своих знаний и примеров из уроков - утыкаешься в стену.
Но только так происходит реальное обучение. Just try harder!

2. Что необходимо знать перед началом курса.
Минимальный набор: уверенное пользование командной строкой Unix, поиск и чтение (Английский) инфы в сети, базовое понимание принципов работы Web-технологий.
Знание PHP, JS и SQL сэкономит вам некоторое время, но можно разобраться по ходу.

Изучение уроков не займет много времени, но оно вам потребуется для прохождения практики. Точных цифр назвать не получится - всё индивидуально.
Как уже говорилось выше: задачи нужно решать по максимуму. Только это даст реальное понимание изучаемого.

3. Напутствие на будущее поступающим и готовящимся по курсу.
Важный момент - при решении заданий записывайте всю полученную информацию. Имея полную картину, заметить ключ гораздо проще.
Вслепую перебирать все пейлоады - не самый лучший путь. Лучше разобраться в работе веб-приложения и используемых языках: зная как оно работает изнутри поиск отмычки становится довольно тривиальной задачей.

4. Благодарности.
Спасибо всей команде Codeby за отличный курс! Отдельное спасибо Sinner67 за консультации по изучаемым темам!!!

 

[Tihon49]

Может быть есть смысл сделать маленький вводный курс дающий минимум. ЯП'ы, БД - это понятно, можно на udemy за недорого подтянуть, а вот какие-то специфические навыки уже давались бы в этом мини-курсе. Я к тому, что было бы круто если студенту дали чёткое задание освоить это и это, сдать аттестационный тест, и если прошёл тест, то велкам к оплате курса. Если тест не пройден - сорян, братан, ты ещё слабоват, приходи позже.

ИМХО

P.s. смутило что серые и даже красные шляпы пишут в комментах что им было сложно, местами не понятно. Это ж главные кулхацкеры форума, или нет?! Если им сложно, то куда я вообще лезу, со своим купленным премиумом! ))))

 

[Сергей Попов]

Может быть есть смысл сделать маленький вводный курс дающий минимум

Команда работает над бесплатным вводным курсом, который облегчит прохождение курса WAPT и сертификацию.

 

[Dallas system]

Мой отзыв на WAPT:

Послевкусие.
Результатами обучения я остался более чем доволен. Курс стоит своих денег. Многие полученные навыки позволили по-новому взглянуть на эксплуатируемые системы. Лишний раз напомнил себе, что все делают люди, а люди - это самая большая дырка в информационной безопасности.
Полномасштабно судить о комплексности курса мне в настоящий момент тяжело, как относительно малоопытному участнику. Тем не менее, курс ответил на многие мои вопросы, найти ответы на которые я сам ленился или не справлялся.
Не стоит полагать, что курс сделает из вас сразу "супергероя", но однозначно может стать отличной отправной точкой к захвату мира.

Для кого курс?
Если вы интересуетесь пентестом, имеете некоторую базу знаний в ИТ, но не знаете с чего начать, курс прямо для вас. Он позволит структурировать свои знания и дополнить теоретические и инструментальные пробелы.
Для успешного прохождения курса отлично пригодятся знания в устройстве сетей, методов передачи данных в них, порядке работы операционных систем и прочая схожая тематика. Потребуются навыки программирования на уровне чтения/написания кода (речь скорее о наиболее популярных языках верстки и скриптинга). Полезным будет опыт прохождение соревнований типа CTF, коих предостаточно для свободого посещения. И, надеюсь, вы умеете анализировать данные, этого будет предостаточно.
Пробелы в знаниях не значат, что вы не справитесь с курсом. Просто будте готовы почитать. Много почитать.

Пожелания для организаторов:
Умение пентестера вести структурированный отчет о проводимых процедурах, документирование процесса - достаточно важно. Обратить на это внимание учащихся, на мой взгляд, стоит.
Методическая литература составлена емко, но требует переодического пересмотра и переиздания как в целях актуализации, так и в целях устранения опечаток и мелких неточностей.
Своевременное информирование студентов об отвалившихся серверах может спасти этих самых студентов от "нервного срыва"))) хотя студент должен сам уметь понимать, что происходит по ту сторону сети.

Для сомневающихся: вашей главной движущей силой будет умение самоорганизовываться (что вообще полезно при самообразовании). Найдите в своем расписании время для ознакомления с материалами (их достаточно много). Не стоит недооценивать мощь поисковиков в этом вопросе. Курс есть как свершившийся факт и, возможно, будет корректироваться периодически, а инструменты и базы знаний для пентестеров развиваются ежедневно.

Спасибо организаторам курса.
May the fourth be with you

 

[Alex538]

Добрый день.

Отзыв о курсе.

Курс хорош.
И не важно, какая у вас подготовка, вы вполне можете начать изучать новое для себя направление. Было бы желание.
Материалов по теме предоставляется достаточно для решения простых и средней сложности задач.
Все, что не понятно - Гугл помогает в любое время суток.
Еще есть инструкторы, что немаловажно. Иногда напишешь им вопрос - и ответ всплывает в голове сам.

По задачам:
1. легкие задачи разобраны в видео и методичках;
2. задачи средней сложности требуют больше внимательности (иногда повторного прочтения методички;
3. сложные задачи - методичка + Гугл (иногда + инструктор).

Замечания (IMHO):
Мне не понравились "мотиваторы" в некоторых задачах.
Иногда в постановке задачи ваш русский язык отличался от моего.
В курсе нет упоминания о необходимости самостоятельного логирования действий.

Резюме:
Я получил от курса все, что хотел. Пожалеть о потраченных деньгах и времени даже мысли не возникало.
Курс дал мне понимание сути веб-пентеста и опыт (пусть небольшой).
Не надо думать, что если вы прошли курс и сдали экзамен, то учиться больше нечему.

 

[Semen]

Приветствую товарищи, коллеги, будущие студенты. Данный курс - Пушка. Это просто кладязь информации для тех кто начитает свой путь в этой сфере. Главный фишка - принцип 80/20, то есть 80% практики и 20% теории.

Приобрел данный курс еще когда была приставка "с нуля" и проходя я понял, возможно ребята погорячились), но пройти его и сдать финальный экзамен все же удалось. Получил море эмоций и впечатлений, даже немного понервничал (из за нехватки некоторых базовых знаний). Поэтому базовые знания в программировании, sql и клиент-серверной архитектуры обязательны. Без них может быть тяжеловато, но если есть усидчивость, внимательность и самоорганизация, то все в ваших руках. Схалявить тут уж точно не получиться, придется учиться и похлеще чем в институте) если не готовы ломать свой мозг несколько месяцев подряд, то даже не стоит приступать. Покупая данный курс вы должны четко понимать зачем вам эти знания и готовы ли вы их получать, потому как изучать будете самостоятельно, и никто не будет гнать вас палкой.

Все в ваших руках!!! и голове))

Курс помог нащупать вектор развития в пентесте, дал понять свои сильные и слабые стороны.

Пожелание для организаторов: поработать над предоставлением информации в методичках,
как подметил Alex538

Иногда в постановке задачи ваш русский язык отличался от моего.

P.S. Наконец-то добрался до того чтоб оставить отзыв. Всем мир удачи в обучении, и да прибудет с вами магия ИБ.
Команде Codeby отдельная благодарность, желаю дальнейшего развития вашей школе. Буду брать еще курсы.

 

[ShiawasenaHoshi]

+++ это реальный вызов. Иногда победу приходилось вырывать зубами) Чувствовал, что мой мозг действительно работает.
+ для меня, как новичка в инфосеке, темы раскрыты очень подробно
+ наличие методичек очень удобно
+ очень круто, что я не один и даже здорово, что есть возможность пофлудить в компании единомышленников )
+ видосики на первых порах позволяют въехать
+ доска почета - дополнительный соревновательный стимул
+ инструкторы дают минимальные подсказки, чтобы не отобрать опыт.

- неудобно, что нужно специально таск останавливать после двух часов, заново подключаться и снова запускать
- наличие орфографических ошибок в методичке (у меня русский далеко не идеальный, но я все равно их вижу)

Курс очень крутой. Жду анонса курса по бинарным уязвимостям и WAPT Extreme ) Тянет продолжать )

 

[SoloSubtle]

У нас было две виртуалки, 75 сканеров, 5 браузеров, пара веб-прокси и целое множество вордлистов всех сортов и расцветок, глицин, а также несколько десятков открытых вкладок и две дюжины гайдов и читшитов. Не то чтобы это был необходимый запас для начала учебы, но, если начал учится пентесту, становится трудно остановиться. Единственное, что вызывало у меня опасение — это отсутствие сна. Ничто в мире не бывает более беспомощным, безответственным и порочным, чем зомби, которые почти не спят. Я знал, что рано или поздно мы перейдем и на эту дрянь.


Ну ближе к делу

Первое, о чем хочу сказать - вас ждет 4.5 месяца, когда ваш мозг будет работать почти на пределе (если вы конечно раньше не занимались чем-то похожим и не решали ctf)

Второе что, наверное, волнует многих раздумывающих над поступлением это стоимость - она вполне оправданна, если вы твердо решили начать развиваться в сфере пентеста и веб-уязвимостей.

Теперь о навыках перед поступлением. Я был далек не только от сферы ИБ, но и от сферы IT в общем, поэтому мастхэв навыки приобретал в экстренном порядке незадолго до поступления: беглое изучение протоколов и того как работает веб и интернет, с неделю потратил на html, краш курс командной строки и использования линукс, 1.5-2 недели на основы php. Сейчас понимаю, что сэкономил бы себе неделю, если бы подучил еще SQL. Ну да ладно, тут уже достаточно отзывов, чтобы понять, что нужно подтянуть перед стартом.

Касательно времязатрат: у меня уходило времени примерно 25-30 часов в неделю. Думаю, это та цифра, на которую можно ориентироваться большинству поступающих.

И ни в коем случае не думайте, что у вас впереди еще много времени! Поверьте, это не так. Лично мне кажется, что решить все задания в курсе за 4.5 месяца, если эта тема для вас новая - практически нереально, поэтому старайтесь успеть решить как можно больше - по-настоящему навык растет именно на заданиях с высокими баллами.

Выражаю благодарность всем, кто создавал и принимал участие в создании этого курса, он получился очень крутой и хардкорный. Отдельная благодарность @sinner67 за подробнейшее объяснение тех вещей, которые мне были непонятны и многие другие подсказки, в том числе касательно инструментария и его настройки.

 

[qwerty_man]

Всем привет!

Перед тем как пойти на данный курс, я рассматривал множество других курсов, и остановился на WAPT. На мой взгляд, это самый сильный курс рунета, если рассматривать его практическую сторону.

Немного напишу о себе. До WAPT у меня не было никакого опыта в CTF Writeups. Я занимаюсь web-разработкой (от верстки, до разработки приложений на Laravel), буквально последние пару лет начал заниматься поддержкой в области безопасности сайтов (в основном это расследование инцидентов после взлома, восстановление работоспособности). Еще раз, на момент начала курса у меня были только общие знания о процессе взлома, в основном я видел только последствия.

Итак, курс составляет 4,5 месяца, для меня этого оказалось более чем достаточно, несмотря на то, что из-за внезапного дедлайна, я не притрагивался к курсу практически весь март. Совмещать курс с работой вполне реально, даже если случаются завалы - наверстать упущенное время вы сможете.

Касательно содержания курса - есть более подробный обзор от @clevergod. Я напишу вкратце. Вас будет ждать больше 50-ти тасков различной сложности:

Если вы будете учиться, решить базовые таски, необходимые для перехода на следующий уровень у вас не составит труда. Я решил все таски, чего и вам советую, так как без самых сложных сдать экзамен будет проблематично. Кстати, о самом экзамене. Я наивно полагал, что раз мне удалось решить всю практику, то и экзамен у меня в руках. Я очень ошибся. У меня ушло около 14-ти часов, чтобы набрать необходимое количество баллов для сдачи экзамена. В итоге, на этом и остановился. Какие-то таски даже не успел толком начать. Был и самый печальный таск, на который я потратил кучу времени, нашел уязвимость, проэксплуатировал ее, но флага так и не нашел. Так что, если доберетесь до экзамена - будьте аккуратны и готовьтесь быть во всеоружии

Что вам будет необходимо для комфортного прохождения курса:

1) Знания основных команд Linux. Если за плечами только Windows на уровне пользователя - лучше еще подготовиться. Как минимум, необходим уровень продвинутого пользователя Linux;
2) Клиент-серверные приложения. Основы, принципы работы и пр.
3) PHP/Python. Не нужно быть гуру данных языков, но без основ программирования не получится. Циклы, условия, переменные и пр. В нескольких тасках за 100 приходилось писать свои скрипты для автоматизации, иначе бы пришлось потратить нереальное количество времени.
4) Знания и понимание основ SQL-запросов. Иначе, раздел SQL-инъекций просто не пройти.
5) Английский. Лично у меня базовый уровень (что-то между A и B), безусловно это низкий уровень, но мне хватило. Дело в том, что гуглить придется очень-очень много и лучше это делать на английском. Все CTF-статьи, Cheat Sheets, которые будут полезны - на английском и их нужно хотя бы понимать.
6) Исходя из предыдущего пункта - навыки "гуглежа". Умение качественно построить поисковой запрос - будет большим преимуществом. Повторю, не смотря на то, что у вас будут методички и видео, дополнительно читать придется очень и очень много (конечно, если у вас цель пройти курс от начала до конца).

Чего на мой взгляд не хватило и можно было бы доработать:

1) Более подробного разбора таких инструментов как Metasploit, SQLmap, Nessus, OpenVAS, Zenmap. В курсе рассматриваются эти инструменты, правда совсем немного. Но, это может быть и плюсом, самостоятельное изучение тонких настроек этих инструментов даст больший эффект.
2) Больше общей информации. Может стоит где-нибудь закреплять информацию о крайней дате доступа к теоретической части курса, практической, дате сдачи экзамена (например в общем чате).
3) Теоретический материал достаточно качественный, но иногда встречаются орфографические и синтаксические ошибки.
4) Есть несколько тасков, где решить практику без подсказки инструктора крайне сложно. Rockyou например (кто в теме - тот поймет ). Опять же, может быть и плюсом, так как общаться с инструкторами можно и нужно, а иногда и просто необходимо (у меня выявились технические проблемы с тасками раздела XSS, из-за которых я не мог получить флаг, все решилось максимально оперативно после общения с инструктором).
5) Система подсказок. Зачастую подсказки, которые берешь в практической части слишком поверхностные. Сам факт взятия подсказки вроде бы ни на что не влияет, и в принципе можно было бы закрыть на это глаза. Но. Есть экзамен, в котором подсказка стоит аж 1600 заработанных кровью и потом баллов и, если подсказка примерно такая же как в практике - будет ну очень обидно ее взять (в экзамене подсказки не брал именно по этой причине).

В заключение, большое спасибо всей команде и создателям курса. Отдельное спасибо @sinner67, UrfinJuice, которые всегда были готовы помочь и ответить на все, порой довольно глупые вопросы

WAPT - отличный практический опыт, необходимый для различных площадок типа HackerOne, HackTheBox и т.д. И впечатления. 24 часа экзамена будет трудно забыть

 

[quattro]

Команда работает над бесплатным вводным курсом, который облегчит прохождение курса WAPT и сертификацию.

думаю над поступлением на 5 июня и хочу немного подготовится.
знаком с КС
командной строкой хоть и не владею, но почитаю маны к июню и что-то вспомню.
в программировании мой максимум это попытки скрипт-кидди)))
английский тоже очень сильно хромает, но вот она и мотивация учить
html и css не знаю (смогу изменить шрифт, фон, ну и погуглить как сделать еще что-то)
но вообще не знаю php и sql (ткните плз что почитать, что бы не бояться БД)

может быть имеет смысл пообщаться с кем-нибудь из кураторов сейчас, что бы оценили уровень знаний и выявили темные пятна)))

 

[tri3r]

Наверное у каждого кто задумывался о прохождении этого курса возникали вопросы. Как видите, у меня тоже:

Если я бы мог сейчас ответить самому себе тогда, я бы написал: "Курс действительно хороший. Он дает возможность применить твои усилия и время в правильном направлении".
Давайте разберемся подробнее. На начало курса у меня:

• был опыт web разработки. Это, конечно, несомненный плюс, так как понимание системы упрощает нахождение лазеек в ней же. Во время прохождения курса мне приходилось писать несложные скрипты только несколько раз
• было общее понимание web уязвимостей. Благо я прошел курс от PortSwigger перед началом WAPT
• не было опыта работы с Kali инструментами, penetration testing методологиями
• не было большого опыта в UNIX администрировании

При ежедневном режиме занятий обучение у меня заняло около 3 месяцев. Общая система очков очень мотивирует делать задания как можно скорее чтобы не потерять свою позицию в рейтинге. Хотя это и ни на что в конечном итоге не влияет. Задания былы разного уровня сложности. Некоторые можно было сделать даже не читая методичку, другие - только через пару дней, и то, не без помощи добрых людей При подготовке к курсу особое внимание нужно уделить SQL. Без этих знаний прохождение курса займет сильно больше времени. Были так же темы, которые по моему мнению, могут быть улучшены. Это "Client attacks" и "Privilege escalation". По "Клиентским уязвимостям" сервера были не очень стабильными, поэтому пришлось потратить много времени чтобы сдать задания с этой темы. Задания с "Privilege escalation" показались слишком легкими, хотелось бы добавить парочку посложнее. Так же не было эксплуатации windows серверов, хоть в методичке и была теоретическая часть по этой теме. Во всем остальном задания были на высоком уровне.
Экзамен был логичным завершением курса. Еслы вы сделали все задания и повторили все перед сдачей, то можно смело идти в бой.

Что мне дал курс?

• методичный подход в проведении пентеста
• практические знания эксплуатации веб-уязвимостей и поднятия привилегий
• понимание куда развиваться дальше в направлении ИБ
• новые знакомства и хороших товарищей без которых этот курс был бы не так ценен

Спасибо всем причастным к созданию и администрированию курса. А также тем с кем мы вместе боролись в этом увлекательном и нелёком сражении под названием "WAPT".

 

[larchik]

Всем привет.
Пока свежи впечатления, оставлю отзыв о прохождении курса WAPT от Codeby.

Начитавшись отзывов предыдущих студентов, а так же пройдя путь от первого до последнего таска в лаборатории WAPT, я был морально готов идти на пересдачу экзамена через 3 месяца.

Курс дался тяжело. Для меня сложности начались с самой первой главы обучения.
В одном задании нужно было определить город, в котором располагается офис компании. Я изгуглил весь интернет, задействовал все подходящие дорки, зарегался на куче сайтов, чтобы найти зацепки, исследовал кэш поисковиков, изучал исходники html-страниц, использовал hint — это все не дало мне никаких результатов. Я психанул и перешел к следующей главе обучения, решив оставить этот таск на потом. И когда, спустя долгое время, я вернулся к этому заданию, то обнаружил, что решение лежит на поверхности. За эти 25 баллов я ликовал больше, чем в иных заданиях за 100 ))

В главе про активный фаззинг для меня настоящим открытием стала утилита wfuzz! В моем личном рейтинге эта утилита теперь занимает первое место. Даже не знаю, можно ли жить без нее.

SQL-injection — базовые задания решаются легко, и решаются руками быстрее, чем вы будете запускать sqlmap. Но последние задания рассчитаны на повышение скилла и никакой sqlmap там не поможет. Я, наконец-то, на собственном опыте ощутил кайф от процесса, когда руками извлекаешь данные в слепой инъекции. Самое последнее задание в разделе sqli «Обойди с обратной стороны» я так и не смог решить. В дальнейшем это аукнулось на экзамене.
За время прохождения этого раздела, да и до сих пор, часто обращался к статьям @explorer.

Очень понравились таски на XXE. До прохождения курса о данной атаке я знал только в теории и никогда не применял на практике. В одном из заданий этой главы я нашел уязвимость и вроде бы реализовал ее, но никак не мог найти флаг. Внезапно удалось добыть флаг, не задействовав XXE, и даже с повышенными привилегиями. Когда увидел имя флага, снова посетовал на свою невнимательность (как в задании в пассивном фаззинге).

Про задания в CMD почему-то ничего не помню, решил все.

SSTI — это еще одно открытие для меня. Базовые задания решаются легко, но дальше меня ждала засада. Несколько дней ушло на решение «Welcome to the BlindWorld» за 75 баллов, и потом я много раз возвращался к этому таску, но так и не смог его победить. Зато с относительной легкостью решил следующее задание на 100 баллов ( тут пришлось много гуглить и много экспериментировать, но оно того стоило).

В главе про PHP примерно такая же история. Задание на 75 баллов мне было не по силам (LevelUpWAFbypass), но на 100 баллов далось быстро.

Так же мне понравились задания на XSS. Всегда относился к этим атакам легкомысленно и никогда не пробовал их эксплуатировать. Но оказалось, что ловить чужие куки — это тоже интересно и эффективно. К сожалению, не успел в этом разделе решить два задания, хотя в обоих был близок к финалу (к вопросу о том, хватить ли вам четыре с лишним месяца на курс).

Все остальные задания, на мой взгляд, проще предыдущих. Были таски на повышение привилегий в linux, тут я тоже узнал и освоил новое для себя.

Теперь о курсе в целом.
Мне сравнивать не с чем, курс WAPT для меня был первым в таком роде и он мне очень понравился. Суть курса не в материалах, которые предоставляют для обучения, а в лаборатории, где можно прокачать свои навыки.
Придется много гуглить и усваивать много новой информации. Придется тратить много часов на один таск (я на некоторые задания тратил по несколько дней).
Придется хотя бы один раз разбираться в коде, так что те, кто хочет идти на курс с абсолютного нуля, имейте ввиду.
Иногда приходится обращаться к инструкторам (большое спасибо @UrfinJuice).

Как я уже писал, я готовился к тому, что буду пересдавать экзамен. Но набрать необходимые баллы я успел до того, как меня повалил сон ) На экзамене, к сожалению, я не смог получить доступ к одному из заданий, а так может быть набрал бы чуть больше баллов. Но я его все равно сдал, чему очень рад )
На курс идти стоит, если уже есть какие-то знания о web, linux, программировании. Курс точно не с нуля.

Большое спасибо всей команде Codeby за курс. Я получил за эти 4 месяца больше, чем за все предыдущие годы.

 

[ripmandin]

Пишу по еще неостывшим воспоминаниям о курсе WAPT.

… Полночь. Мысль в голове: «Сижу за этим компом уже 12 часов к ряду, у меня всего 3 часа, чтобы набрать эти !%$!%$! заветные баллы, без которых экзамен не будет сдан, но уже все возможные варианты перепробованы, а остались самые сложные таски". Нервоз, мигрень и щепотка уныния….

Но до этого момента, в начале 2020 года я полон решимости влиться в сферу информационной безопасности, в частности пентеста. Мне уже еще 32 года работаю в социально-финансовой сфере и АБСОЛЮТНО никак по своей профессиональной деятельности не связан ни с сетевым администрированием, ни с веб-программированием, вообще ни с чем, кроме высшего образования, связанного с микроэлектроникой.

После исследования рынка обучения на тему пентеста пришел к выводу, что курс WAPT от Codeby может дать наилучший результат, однако, почитав отзывы понял, что необходимо иметь базовые знания и навыки работы с программами, которых у меня не было от слова совсем. Поэтому начать решил с курсов Codeby “Python для пентестера”, т.к. и пентест и вроде как питон, который сейчас используется почти в любой сфере. (но речь не о нем, хотя курс по питону – очень помог и помогает до сих пор).

… 1 час ночи. Таски (это задачи по-нашему) не решаются и от постоянного перескакивания между ними слились в один комок боли. Делаю перерыв и перехожу от беспорядочного тыкания пейлоадов куда можно и куда нельзя к методичной отработке каждого поля веб-страницы. От ряби между окнами Методички-CherryTree-Google начинает болеть правый глаз, а в голове жгучая боль усиливается от перегревающегося мозга за прошедшие 13 часов. Но продолжаю: подбор эксплоитов, фазинг логин/пароля и поиск подходящей SSTI или SQL инъекции….

После обучения Python’у, кроме знаний и хоть какой-то уверенности в своих силах я получил 25% скидку на все программы обучения Codeby. Этот факт, а также скорое увеличение цены за курс подтолкнули меня к приобретению этого курса примерно за 26т.р. Согласитесь где вы видели подобные цены за курс по пентесту?

В начале учеба казалось легкой, т.к. времени было много, а первые задачи решались за пару часов. Однако с 3-4 недели обучения началась жара, которую я не смог вынести и прилично отстал по успеваемости от лидеров нашего курса. Обучение проходит в виде изучении теории (методичка + видео) и практики в виде CTF-тасков. Во время обучения есть несколько наставников у нас было кажется 3, но общался я в основном с одним (@UrfinJuice– салют!, спасибо тебе за всё) ответы были довольно оперативными и по делу. Учеба проходила временами непросто, были затыки на недели, особенно тяжело дались php-инъекции и системные уязвимости.

… Не смотря на дикую усталость засыпал я долго - в уме решал невзятые таски и пытался продумать куда еще можно было бы копнуть чтобы взломать систему... 9:44 утра - узнаю, что экзамен сдан. Радости моей не было предела, особенно зная свою плохую привычку не доводить дел до конца. Это как закрыть очень сложную зачетку и сессию одновременно и все это до Нового года =))

Сдача WAPT – думаю будет знаменательным в моей жизни событием, за которое я очень благодарен, во-первых команде Codeby которая кропотливо делала таски, методички, видео, наставляла и вдохновляла, а во-вторых талантливых ребят, учившихся со мной на потоке, которые заставляли не опускать руки. Желаю вам успешно сдать экзамен!

Несколько хинтов для сдачи экзамена и вообще по жизни:

1. Во время обучения документируйте все что вы делали: описание хоста, сработавшие пейлоады, выбранные эксплоиты, прочие комментарии. Рекомендую Cherrytree, бумага конечно на всю жизнь, но времени на нее уходит много.
2. На экзамен дается ровно 24 часа, поэтому начинайте с того времени когда вы сможете сразу вступить в бой, т.е. днем если конечно вы не вампир живете ночной жизнью.
3. Не тратьте много времени на сложные таски, даже если они принесут много баллов, лучше сделать сначала те что попроще (даже если те не решились с наскока), иначе рискуете и большой не осилить, и маленькие завалить.

Если у вас есть цель, то вы обязательно к ней придете, если конечно для вас это будет полезно. Ни возраст, ни первоначальные знания и навыки не преграда - вопрос лишь во времени. Оглянувшись на начало года, когда я не знал ни одной команды bash, что такое proxy и какими бывают шеллы, к концу года я сдал не самый простой (если не самый сложный в СНГ) экзамен по веб-пентесту WAPT.

Погрузившись с головой в тему инфобеза передо мной открылась ИНФОБЕЗДНА, но я понял, что не один - рядом ребята которые создали и развивают этот форум.

Уверен, что в скором времени и я смогу помочь людям полученными на этом курсе знаниями.

 

[g00db0y]

Отзыв о курсе

Я проходил курс «WAPT» летом 2020 года.

Структура курса выстроена логично и понятно, начиная с поиска информации об атакуемом хосте, заканчивая повышением привилегии на целевом сервере.

Сложный материал подавался структурированно и легко для понимания. Такие непростые для понимания SQL, PHP, CMD инъекции, а также XXE, SSTI были подробно расписаны, что помогало решать таски не вставляя команды из инструкции, а осознано понимать суть и эксплуатацию уязвимости. В случае каких-либо трудностей всегда была возможность обратиться к кураторам, которые терпеливо помогали, но без откровенных подсказок, а подводили к нужному вектору, и за это им отдельное спасибо!

По завершению последнего этапа, необходимо было сдать экзамен, который получился очень достойным, он сполна демонстрирует профессиональный уровень. С первого раза экзамен я не сдал, мне не хватило 4 балла в категории повышенной сложности. К счастью, через 100 дней можно повторить и пересдать экзамен. За это время я еще раз пересматривал задания, оттачивал свои навыки, повышая свой уровень, и со второй попытки я все-таки сдал экзамен.

В завершении, хочу поблагодарить создателей курса, за возможность получить профессиональные навыки, и за таски с повышенной сложностью, которые требовали более разностороннего подхода к оценке/анализу уязвимостей, применения знаний и навыков, полученных от изучения предыдущих тем, систематизации и обобщения полученных знаний и умений.