Retex --:--:--

Certified Web Exploitation Specialist

Hack The Box — Red Team

Retour d'expérience

Qu'est-ce que la CWES ?

La certification CWES est un examen qui évalue les compétences en Bug Bounty et en Pentest Web. Son ancien nom, au moment où je l'ai passée, était CBBH (Certified Bug Bounty Hunter), mais elle s'appelle désormais Certified Web Exploitation Specialist.

Format de la formation

La formation est disponible sur Hack The Box (HTB) et se compose de 20 modules en anglais. Chaque module aborde les concepts de deux manières : théorique et pratique. On y apprend à repérer, exploiter et corriger différentes vulnérabilités.

Pour la partie pratique, HTB fournit une Pwnbox avec tous les outils nécessaires. Cependant, je vous conseille vivement d'utiliser Exegol à la place : en cas de bug sur la Pwnbox, vous ne perdrez ni l'historique de vos commandes ni votre avancée.

Le principe est simple : on reçoit une IP cible et des questions à la fin de chaque leçon pour reproduire l'attaque et récupérer un flag. C'est dynamique, académique, et pour quelqu'un comme moi qui adore la pratique, c'était vraiment très satisfaisant. Trouver un flag, un mot de passe ou une information demandée procure un vrai sentiment d'accomplissement. À la fin de chaque module, un Skill Assessment vient évaluer les compétences acquises. Si le cours a bien été compris, c'est exactement dans la continuité de ce qui a été vu durant le module.

Difficulté et parcours personnel

C'était ma première certification, donc je manquais de confiance au départ. J'ai pris mon temps et passé beaucoup d'heures à bien comprendre chaque attaque. J'étais plus à l'aise sur les injections XSS ou les IDOR que sur l'upload de fichiers, par exemple.

Pour contexte, au moment où je l'ai passée, j'étais étudiante en cybersécurité depuis un an, je pratiquais sur Root-Me et j'avais participé déjà fait plusieursprojets cyber dans mon école. J'avais donc une base solide avant de commencer. La certification reste selon moi accessible aux débutants, mais elle demandera davantage de temps et de pratique.

Préparation

Une fois tous les modules terminés, (j'avais tout pris en note sur Notion) je me suis ensuite fixé un planning de machines sur les semaines restantes avant l'examen :

  • Semaine 1 : UnderPass, Teacher, Sense, Academy, Shoppy
  • Semaine 2 : Craft, Access, Previse, Photobomb, Postman
  • Semaine 3 : Registry (notée Medium mais plutôt Hard) et Dog

N'hésitez pas à consulter les writeups si ça vous intérresse !

Déroulement de l'examen

L'examen m'a coûté 215 $ et donne droit à deux essais. En cas d'échec, on dispose de 14 jours pour le repasser sans frais supplémentaires. L'examen dure 7 jours : au lancement, on reçoit une IP cible et l'objectif est de trouver 10 flags. Les 5 premiers se trouvent à travers différents dashboards, puis il faut partir de là pour chercher les 5 suivants (un peu comme un flag root sur les machines de lab).

Pour valider, il faut obtenir au minimum 8 flags sur 10 et rédiger un rapport technique en anglais. HTB fournit un template, mais conseille également celui de SysReptor pour la CBBH. J'ai personnellement utilisé SysReptor en version web afin que tout soit sauvegardé en ligne plutôt qu'en local (j'ai trop peur de perdre mon avancée si quelque chose plante). L'outil est disponible ici : labs.sysre.pt

J'ai commencé la certification un matin et trouvé environ 2 flags par jour. Au bout du 5ème jour, ayant atteint le minimum requis, j'ai entamé la rédaction du rapport. En réalité, je notais tout au fur et à mesure dans mon Notion (captures d'écran, déroulé de l'attaque), donc la rédaction finale se résumait à assembler le texte, les images et les commandes dans le bon ordre. Je m'étais dit qu'après la rédaction je tenterais d'obtenir les deux derniers flags, mais la fatigue en a décidé autrement, j'ai donc soumis mon rapport en avance :)

Mes petits conseils

  • Prenez des captures d'écran de vos flags.

    Si la machine cible doit être rechargée, les flags changent et vous ne pourrez pas justifier dans votre rapport que le flag soumis est bien le même que celui obtenu.

  • Faites des pauses.

    Les deux premiers jours, j'étais très stressée (c'était mon premier examen de ce type) et j'avais mal au dos et une fatigue intense. Une fois le stress retombé, j'ai compris que cet état ne servait à rien. Les jours suivants, avec des pauses régulières, tout s'est beaucoup mieux passé.

  • Passez à autre chose quand vous bloquez.

    S'acharner sur une vulnérabilité qu'on n'arrive pas à exploiter ne mène nulle part et augmente le stress inutilement. Par exemple, j'avais bloqué sur une vulnérabilité que je n'arrivais pas à exploiter : je l'ai mise de côté, j'y suis revenue le lendemain matin bien reposée, et je l'ai exploitée facilement. La fatigue et le stress nous enferment dans nos idées — une pause et un regard neuf font souvent toute la différence.