Dat het een mooie zondag werd was al snel duidelijk toen Melvin afgelopen zondag, 28 juni 2020, zijn mailbox openende. Na het succesvol te hebben voltooid van het examen dat maar liefst 72 uur in beslag nam, mag Melvin Boers van de firma Rootsec B.V. zich officieel een Offensive Security Web Expert noemen. In het onderstaande verslag deelt Melvin zijn ervaring met het behalen van zijn OSWE-certificering. Deze certificering wordt aangeboden door Offensive Security, en staat bekend als een hels en rigoureus examen. Des te meer respect voor Melvin!
De weg naar de uiteindelijke certificering begon voor mij allemaal bij Rootsec B.V. Onder begeleiding van Emil Pilecki begon ik met het doornemen van de volledige manual. Dit heb ik meerdere malen gedaan waarbij ik mezelf constant uitdaagde met de oefeningen die ons gegeven werden. Toen ik deze manual toch echt wel had uitgespeeld besloot ik mijn vaardigheden elders te gaan testen. Zo begon ik met het deelnemen aan CTF (Capture the Flags) evenementen, voornamelijk de web-challenges. Daarnaast ging ik samen met een vriend aan de slag met CVE-hunting. Dit houdt feitelijk in dat je een open-source applicatie download en op zoek gaat naar kwetsbaarheden. Dit doe je door de code te controleren, maar ook door het uitvoeren van verschillende aanvallen. Tegelijkertijd bleef ik constant mijn kennis verbeteren door het lezen van een flink aantal boeken zoals The web application hackers handbook versie 2, SQL-injection attack and defense en OWASP source code analysis. Alles bij elkaar heeft dit ervoor gezorgd dat ik met redelijk wat vertrouwen het examen aanging.
“In totaal heb ik slechts 6 tot 8 uur geslapen”
Maar dat het niet echt lekker ging op de eerste dag (totaal 72 uur waarvan 48 uur hacken en 24 rapporteren), dat is een understatement. Aan het einde van de dag had ik namelijk nog steeds 0 punten. En zoals u zich kunt voorstellen, was dit niet genoeg voor een voldoende. Op de eerste dag heb ik werkgelijkwaar van alles geprobeerd maar het mocht niet baten, ik was nog geen stap verder aan het begin van de tweede dag. Ging ik deze OSWE-certificering wel behalen? Maar gelukkig veranderde dit allemaal redelijk snel en begon ik eindelijk resultaten te zien. Na twee volle dagen hard werken, met slechts 6-8 uur slaap in totaal, had ik over de twee dagen 100 punten behaald. Wat ik zoal moest doen? Naast het hacken van twee machines moest ik ook een complete exploit schrijven. Een exploit die van niks naar remote execution ging. Voor mij persoonlijk was dit de grootste uitdaging. Ik heb mezelf nooit als een geweldige programmeur gezien. Maar door een combinatie van schelden, schreeuwen en heel veel trial and error was het me dan toch gelukt.
Het laatste gedeelte van het examen bestond uit het schrijven van een rapport. Dit vond ik persoonlijk minder lastig. Het hielp dat ik ervoor had gezorgd dat mijn screenshots en notities goed geordend waren, waardoor ik gemakkelijk alles kon rapporteren. Vrijdagavond om 21:00 was ik klaar en stuurde ik het rapport op. Toen begon het wachten. Maar ik kan u vertellen dat er niets beter is dan wakker worden en lezen dat je geslaagd bent voor iets waar je 72 uur, bijna non-stop, aan gewerkt hebt. Ik ben heel trots dat ik nu officieel een Offensive Security Web Expert ben. Natuurlijk gaat mijn dank uit naar iedereen die mij geholpen heeft in de afgelopen periode. Heel mooi om te zien dat een bedrijf als Rootsec bereid is om echt te investeren in ‘jong talent’.
Wilt u gebruik maken van de nieuwe kennis die Melvin heeft opgedaan voor, bijvoorbeeld, het uitvoeren van een penetratietest of een ander soort assessment? Neem dan vandaag nog contact met ons op voor een vrijblijvend gesprek.