Введение и мотивация
Сразу обозначу: это не райтап. Тут не будет пошагового разбора экзамена, спойлеров по машинам или каких-то секретных техник. Это скорее мой личный взгляд на HTB CWES (Certified Web Exploitation Specialist): почему я вообще туда пошёл, как проходило обучение, что чувствовал на экзамене и какие выводы для себя сделал.
Отдельный интересный вопрос — как вообще всё это успевать, когда у тебя работа, семья, дети и собака, которой тоже почему-то всегда что-то нужно именно в тот момент, когда ты сел спокойно позаниматься. Думаю, многим эта история знакома. В моём случае всё держится только на планировании и на том, что я стараюсь относиться к обучению не как к чему-то дополнительному по остаточному принципу, а как к важной части своего развития. Не всегда получается идеально, конечно, но без системы такие вещи у меня бы просто не взлетели.
Если говорить честно и не быть лицемером, моя основная мотивация довольно простая — это деньги 😂. Деньги через рост в карьере, через опыт и усиление как специалиста. Чем ты сильнее в профессии, тем больше у тебя возможностей: интереснее проекты, выше стоимость на рынке, больше вариантов для роста. У меня нет красивой истории про призвание, мечту всей жизни или про то, как я с детства шёл именно к этому. Мне просто нравится становиться сильнее в том, что я делаю, и видеть, как это даёт результат.
Отдельно меня в своё время хорошо замотивировал мой товарищ и коллега. Он очень сильный специалист и при этом хорошо зарабатывает. В какой-то момент он поделился со мной своим роадмапом развития, и мне этот подход очень откликнулся. Не в плане слепо повторять, а в плане посмотреть на путь человека, у которого это уже сработало, и взять оттуда то, что подходит лично мне.
При этом шёл я сюда не ради сертификата как такового, а именно ради знаний. Сертификат — это круто, спору нет, но для меня это всё-таки бонус, а не главная цель. Сейчас бесплатного материала в интернете очень много, и это реально классно. Огромный респект ребятам-самоучкам, которые сами собирают себе программу, копают темы, фильтруют мусор и шаг за шагом во всём разбираются. Это сильный путь.
Но лично мне ближе другой формат. Я люблю, когда обучение выстроено системно, поэтапно, шаг за шагом. Когда тебя не кидает хаотично между темами, а ведут по нормальному маршруту: от базы к более сложным вещам. Мне так удобнее, спокойнее и, если честно, эффективнее. Поэтому в какой-то момент я и решил пройти CWES — не ради строчки в профиле, а чтобы получить именно такой структурный опыт.
Почему вообще выбрал CWES
На момент старта у меня уже был опыт в веб-пентесте, но хотелось не просто дальше ковырять отдельные темы, а пройти через более цельный и системный трек. Чтобы не было истории, когда ты что-то знаешь, что-то уже щупал на проектах, но в голове всё равно некий бардак.
Плюс мне было интересно посмотреть, как HTB выстроили обучение именно в этом направлении. Всё-таки одно дело — бесплатные материалы и случайные заметки, другое — когда ты идёшь по собранной программе и можешь нормально оценить, что она тебе дала на выходе.
Как прошло обучение
Обучение мне понравилось. Причём понравилось реально сильно.
В своё время я проходил материал от PortSwigger, но CWES у меня зашёл лучше. Думаю, здесь роль сыграло сразу несколько факторов. Во-первых, я проходил его уже не в начале карьеры, а с определённым опытом за плечами. Во-вторых, сам формат обучения мне оказался ближе.
Учебный трек прошел довольно быстро. Подписку купил перед НГ, как раз впереди были новогодние каникулы и все дни просидел за обучением. Все обучение заняло около месяца. По ходу трека были темы, которые для меня оказались новыми. Были и такие вещи, которые я раньше уже встречал, но здесь они стали намного понятнее и лучше уложились в голове. Отдельно понравилось, что после курса у меня остался нормальный конспект, что-то прикладное: заметки, подходы, идеи, на которые потом можно быстро опереться в работе. И вот это, наверное, один из главных плюсов курса лично для меня: знания не остались где-то внутри платформы. Я реально начал применять часть вещей в проектах.
Что важно понимать про экзамен заранее
Экзамен здесь — это не просто история на пару вечеров. К нему надо нормально готовиться в том числе по времени.
Он длится 7 дней, и в этот срок входит не только сама техническая часть, но и написание отчёта. Это важный момент, который лучше сразу держать в голове. Потому что семь дней звучат как большой запас, а по факту время уходит быстро: где-то тупишь, где-то упираешься, где-то перепроверяешь себя, а потом ещё нужно всё нормально оформить.
Есть бесплатная пересдача и советы от платформы по подготовке, но тут есть важный нюанс: если на первой попытке не сдать отчёт вообще, даже пустой, то пересдача сгорает, и советов тоже уже не будет. Это тот момент, о котором лучше узнать заранее, а не постфактум.
Первая попытка и эмоции
С первого раза я экзамен не сдал.
Собрал примерно половину флагов. И это быстро меня приземлило. Это очень полезный опыт, хотя в моменте, конечно, приятного мало. Экзамен довольно быстро показывает, что повторять учебные сценарии недостаточно. Некоторые машины реально требуют сменить угол зрения. Не идти по шаблону, а остановиться и подумать, что ты, возможно, смотришь не туда или мыслишь слишком прямолинейно.
Ну и, конечно, внимательность. Это вообще база!!! Иногда всё упирается не в отсутствие знаний, а в какую-то пропущенную мелочь, из-за которой ты тратишь кучу времени совсем не туда.
Перед экзаменом очень легко себя накрутить. И здесь мне, кстати, помог совет того самого товарища, о котором я писал в начале. Он предложил относиться к экзамену чуть проще: не как к драме всей жизни, а как к игре. С кайфом, по приколу, с интересом — называйте как угодно. Смысл в том, чтобы не придавать экзамену слишком сакральное значение. Это важно, да, но это не событие, после которого вся жизнь делится на до и после. Когда смотришь на это так, становится проще держать голову холодной, меньше зажиматься и просто работать.
Это были 7 дней очень плотного фокуса и полного погружения в процесс. Проверяешь гипотезы, упираешься, откатываешься, пробуешь по-другому, снова смотришь, снова думаешь. И что мне ещё понравилось: несмотря на стресс, сам экзамен оставил скорее хорошие впечатления. Было тяжело, но те эмоции, который получаешь с каждым найденным флагом не передать словами.
Стоит ли оно того
Если смотреть по-честному, то главный результат для меня — это не сам сертификат, а то, что обучение реально дало пользу.
Я получил системный трек по вебу, нормальный конспект, лучшее понимание ряда тем и вещи, которые потом начал использовать в работе. Для меня ценность была именно в процессе и в результате с точки зрения навыков. А уже сверху на это лёг сертификат как итог всей этой истории.
На мой взгляд, да — если вам близок именно такой формат.
Если вы спокойно и уверенно умеете учиться полностью самостоятельно, собирать материалы по кускам, строить себе программу и не теряться в объёме информации, то, возможно, и без такого курса можно прекрасно расти. И это, повторюсь, сильный путь.
Но если вам, как и мне, проще и эффективнее идти по структурированному маршруту, где материал выстроен последовательно, то в этом плане CWES мне показался очень хорошим вариантом.
Что дальше?!
Сейчас я прохожу следующую, уже более хардовую ступень по вебу на HTB — CWEE (Certified Web Exploitation Expert).
Там уже более сложные техники и больше упора на white-box подход. Для меня это выглядит как логичное продолжение и хороший шаг в сторону того, чтобы в будущем двигаться к OSWE.
Заключение
По итогу могу сказать просто: обучением я остался доволен.
Да, первую попытку экзамена я не закрыл. Да, местами было тяжело. Да, экзамен хорошо проверяет не только знания, но и внимательность, выдержку и умение не рассыпаться, когда что-то долго не получается.
Так что если вам нужен не просто сертификат, а именно системный и поэтапный трек по вебу, то CWES, на мой взгляд, вполне заслуживает внимания.
Если вы сейчас тоже учитесь, готовитесь к сертам или просто хотите стать сильнее в профессии — успехов вам. Не выгорайте, не загоняйте себя лишней важностью и кайфуйте от процесса. Остальное приложится!
Мой личный телеграм канал: t.me/failauth
ссылка на оригинал статьи https://habr.com/ru/articles/1026188/