Hidde Smit, pentester bij Pinewood, heeft het zogeheten Offensive Security Web Expert (OSWE)-certificaat van Offensive Security behaald. Deze is gericht op het pentesten van webapplicaties. Smit claimt de tweede Nederlandse pentester met zo’n certificaat te zijn. Computable spreekt hem over de certificering.
Wat houdt het OSWE-certificaat in?
‘Voor het OSWE-certificaat moest ik een examen afleggen (zie onderstaand kader. Red.). Hierin moest ik een kwetsbaarheid in de code vinden. Met dit certificaat bewijs ik dat ik de code achter de kwetsbaarheden begrijp. Hiervoor beschik ik over vaardigheden in code reviewing, het herkennen van exploit chains en het schrijven van complexe proof of concept (poc)-code.
Voor mijn werk als pentester bij Pinewood betekent dit dat ik beter in staat ben in te schatten welke mogelijke kwetsbaarheden er in een webapplicatie zitten, zelfs als ik geen directe toegang tot de achterliggende code heb, wat vaak zo is tijdens het pentesten.’
Welke inspanningen heb je verricht om dit certificaat te behalen?
‘Gedurende een maand lang heb ik dagelijks vier uur in het oefenlab van Offensive Security doorgebracht om de cursusopdrachten uit te voeren. Daarnaast las ik veel developer-documentatie van verschillende programmeertalen en heb ik me ingelezen in diverse onderwerpen op het gebied van code review en exploitatie van complexe exploit chains.’
Wat moet je doen om dit certificaat te behouden?
‘De certificeringen van Offensive Security zijn permanent. Echter behouden ze niet oneindig hun waarde. Zo was vroeger de certificering Offensive Security Certified Professional (OSCP) vrij exclusief, tegenwoordig heeft bijna iedere pentester deze certificering. Deze blijft denk ik nog wel populair, omdat het een brede basiscertificering is.’
Verschil
Wat is het verschil tussen het OSWE- en OSCP-certificaat?
‘Het OSWE-certificaat is een niche-certificering gericht op webapplicaties. Het is nog relatief onbekend, want het examen is nog maar net twee maanden beschikbaar. Het OSCE-certificaat legt de focus op het exploiteren van besturingssystemen en applicaties en toont de technische kennis van de pentester. De stap van OSCP naar OSWE is groot, maar ik raad iedere pentester die regelmatig webapplicaties test om OSWE te proberen.’
Wordt OSWE een populair certificaat?
‘Ja. De meeste pentesten worden nu uitgevoerd zonder toegang tot de achterliggende systemen en broncode. Toch vind ik het belangrijk om als pentesters inzicht te krijgen in de werking van de code en de achterliggende systemen. Hierdoor begrijp ik makkelijker hoe bepaalde processen verlopen en welke mogelijke kwetsbaarheden hierin kunnen zitten. Zelfs zonder directe toegang tot de code, wil ik kunnen inschatten wat de achterliggende werking van de webapplicatie is.’
Welke aanvullende certificeringen wil je nog behalen?
‘Ik beschik al over veel certificeringen (SSCP, CISSP, CEH, OSCP, OSWE) en ik houd altijd mijn ogen open voor nieuwe ontwikkelingen en relevante certificeringen. Een certificering is voor mij interessant als deze een directe verbetering van mijn werkzaamheden oplevert of als het een onderwerp betreft dat voor mij nog relatief onbekend is. Op dit moment weet ik nog niet wat mijn volgende stap wordt, maar ik sta open voor suggesties.’
OSWE-examen
Het zogeheten Offensive Security Web Expert (OSWE)-certificaat wordt uitgereikt door Offensive Security. Kandidaten moeten door middel van code review een onbekende kwetsbaarheid (zero day) in een webapplicatie vinden en exploiteren. Dit mag niet met ondersteuning van (geautomatiseerde) tools of code analyse tools. De kwetsbaarheid is geïntroduceerd in de code van een bestaande webapplicatie door Offensive Security en kan bestaan uit slechts één enkele regel code. Gedurende het examen wordt de kennis van verschillende programmeertalen getoetst.
De kwetsbaarheid dient uitgebuit te worden door het schrijven van een volledige proof of concept (poc)-code. De poc dient volledig geautomatiseerd de kwetsbaarheid uit te buiten en daarnaast de rechten te verhogen naar Root of Systeem rechten. Naast het praktijkexamen moeten kandidaten hun bevindingen uitwerken in een rapport.
Kandidaten krijgen het certificaat via een badge-systeem van Acclaim. Het wordt gekoppeld aan hun LinkedIn-profiel. Daarnaast krijgt elke kandidaat een certificeringsnummer, dit nummer kan gecontroleerd worden bij Offensive Security.
Er zijn zéker meer dan twee pentesters met dit certificaat