O certificado do INE (Web Application Penetration Tester) avalia os conceitos teóricos e práticos no que toca a pentest de aplicações web. Em 10h, o formando deverá ser capaz de invadir x aplicações e responder corretamente às 50 questões que lhe são colocadas, grande parte de escolha múltipla, e outra parte de resposta direta.
O certificado destina-se a profissionais como penetration testers, profissionais de segurança de aplicações web, bug bounty hunters e desenvolvedores web, e visa dotar estes profissionais das skills necessárias e conhecimento para planear e fazer penetration testing profissional e a fundo de aplicações web, de forma a poder, de forma eficaz, identificar, explorar e mitigar vulnerabilidades em aplicações web modernas.
De uma forma geral, são estes os temas abordados: introdução ao teste de aplicações web, obtenção de informação, proxies web, falhas do OWASP TOP 10 como XSS, SQL injection, ataques comuns, ataques de ficheiros e de recursos, pentest a gestores de conteúdo (CMS) e codificação (encoding & filtering).
De forma a tirarem maior partido não só do tempo como também das aplicações que estejam em jogo, o primeiro passo será começarem a adquirir o hábito de tomada de notas seja em que qualquer editor ou mesmo IDE for. Quanto mais enumerarem o ambiente em si, mais hipóteses terão de concluir o exame com sucesso. Outro fator bastante importante é guardar o output das ferramentas que utilizarem; nem que criem uma pasta no ambiente de trabalho do exame com o nome "Exam" e metem aí tudo o que for relevante e o que resultar dos scripts que usarem, pois acreditem que esta informação vai ajudar imenso a responder a grande parte das questões. Depois da análise feita, é uma questão de "vasculharem" o output com o grep ou outra ferramenta de leitura.
Se à primeira vista se depararem com uma aplicação que está a tornar-se algo mais difícil de explorar do que esperavam, podem fazer "pin" à questão relativa a essa aplicação para depois mais tarde poderem rever.
Feita a análise inicial (portas, banners), segue-se a exploração em si com base na informação que os banners nos dão. Desta forma, vai facilitar-vos o trabalho e a busca de exploits para as versões se apontarem a versão do tech stack que estiver em cada porta ao lado da mesma, porque a uma determinada altura começa a ficar confuso não dar nome às coisas para depois distinguir a que IP pertence uma determinada aplicação e quantas e quais portas tem esse IP.
Têm toda a liberdade de correr ferramentas automatizadas e que já vêm incluidas na máquina do exame, como o nikto, sqlmap, wpscan, joomscan, etc., ferramentas essas que são também abordadas no próprio curso do INE. Saibam usar essas ferramenas a vosso favor e não para ficarem ainda mais confusos com a informação que já têm. Experimentem uma primeira abordagem e depois façam outra análise a partir de outra perspetiva ou com outra ferramenta, nunca sabem o output que vão obter com uma ferramenta diferente.
De resto, habituem-se a usar e abusar do BurpSuite como o vosso principal proxy, aprendam as principais funcionalidades, aproveitem o Repeater, o Decoder e interseções de pedidos e resposta aos mesmos (especial atenção a esta última). Para vos facilitar a primeira fase e para terem uma espécie de sitemap já gerado, corram os varredores de diretório com a opção do proxy/replay-proxy ativa, que dessa forma todo o tráfego vai passar pelo proxy e poderão depois manipular mais facilmente os pedidos à aplicação.
Neste exame também estão muito presentes as credenciais por defeito, por isso não encontrarão grandes dificuldades a explorar serviços conhecidos, como o joomla e até wordpress; enumerem versões, utilizadores, plugins, quanto mais informação a esse nível mais fácil depois se torna responder às questões que vos forem colocadas. Não compliquem o que é simples.
Para finalizar, não se esqueçam de usar tools de cracking como o hashcat, assim como rever as hashes mais conhecidas, sendo que vos são facultadas wordlists de base, principalmente as seclists, que vos serão extremamente úteis na fase de exploração.
Boa sorte para ti que estás aí desse lado. Independentemente do teu nível de conhecimento, vais com certeza reaprender algumas coisas e repensar parte da tua metodologia em web app hacking.