สวัสดีผู้อ่านทุกท่านครับ เมื่อช่วงต้นปีที่ผ่านมา ผมได้มีโอกาสไปสอบ GIAC Web Application Penetration Tester Certificate หรือ GWAPT นั่นเอง วันนี้ผมเลยอยากมาแชร์ประสบการณ์ เพื่อที่จะได้เป็นแนวทางในการเตรียมตัวล่วงหน้า เผื่อมีใครกำลังมีแพลนที่จะไปสอบเจ้าเซอร์ตัวนี้อยู่ครับ
ทำความรู้จักกับ GIAC Web Application Penetration Tester (GWAPT)
The GIAC Web Application Penetration Tester (GWAPT) certification validates a practitioner’s ability to better secure organizations through penetration testing and a thorough understanding of web application security issues. GWAPT certification holders have demonstrated knowledge of web application exploits and penetration testing methodology.
สำหรับ Certificate ตัวนี้ การสอบจะเป็นการวัดความรู้ความเข้าใจในเรื่องการทดสอบ Web Application Security เป็นหลักนะครับ ซึ่งออกให้โดย Global Information Assurance Certification (GIAC) และให้การรับรองโดย SANS Institute ครับ
นอกจากนี้ ยังมีอีกหลายคอร์สเรียนและ Certificate ที่น่าสนใจ เช่น
- SEC504: Hacker Tools, Techniques, and Incident Handling — GIAC Certified Incident Handler (GCIH)
- SEC560: Enterprise Penetration Testing — GIAC Penetration Tester (GPEN)
- SEC588: Cloud Penetration Testing — GIAC Cloud Penetration Tester (GCPN)
- SEC660: Advanced Penetration Testing, Exploit Writing, and Ethical Hacking — GIAC Exploit Researcher and Advanced Penetration Tester (GXPN)
ซึ่งแต่ละตัวก็จะมีเนื้อหาและวัตถุประสงค์ที่ต่างกันออกไปครับ
(ที่ยกมาเป็นเพียงบางส่วนเท่านั้น สามารถเข้าไปดูรายละเอียดคอร์สอื่น ๆ เพิ่มเติมได้ ที่นี่ครับ https://www.sans.org/cyber-security-courses/ )
สำหรับหัวข้อที่ผมนำมาแชร์ในครั้งนี้ มีดังนี้ครับ
- ค่าใช้จ่ายในการสอบ
- เงื่อนไขในการสอบและเกณฑ์ในการสอบผ่าน
- เนื้อหาที่ใช้ในการสอบ
- การเตรียมตัวสอบ
- สรุป
ค่าใช้จ่ายในการสอบ
- Certification Attempt ⇒ ค่าสอบจะมีราคา 979 USD หรือประมาณ 36,000 บาท โดยราคานี้จะไม่มี Material (หนังสือ) ให้ จะได้แค่ Exam Attempt สำหรับการสอบ 1 ครั้ง เท่านั้นครับ (สำหรับหนังสือที่ผมใช้ในการเตรียมสอบ ก็ได้รับสปอนเซอร์มาผู้ใหญ่ใจดี AKA เพื่อน ๆ ที่ไปสอบมาก่อนหน้าแล้วนี่แหละครับ)
Optional:
- Certification Attempt Retakes ⇒ ถ้าเราสอบไม่ผ่าน สามารถ Retakes ได้ แต่ราคาก็จะโหดนิดนึงครับ (เกือบเท่าสอบใหม่อีกครั้งเลยครับ T^T)
- Practice Test ⇒ เราสามารถซื้อข้อสอบเสมือนจริง มาลองซ้อมทำก่อนได้ครับ ซึ่งจะมีจำนวนข้อและมีการจับเวลาใกล้เคียงกับตอนสอบจริง ซึ่งผมทำแล้วรู้สึกว่าใกล้เคียงกับข้อสอบจริง แต่คำถามอาจจะไม่เหมือนเป๊ะ ๆ แต่ยังคงใช้ Concept เดียวกันในการตอบคำถามครับ
ผมมีแนบตารางค่าใช้ไว้จ่ายด้านล่าง หรือจะเข้าไปดูรายละเอียดเต็ม ๆ ได้ที่นี่เลยครับ https://www.giac.org/pricing/
เงื่อนไขในการสอบและเกณฑ์ในการสอบผ่าน
1. Proctored Exam
ในการสอบจะมีผู้คุมสอบ ซึ่งเราสามารถเลือกได้ว่าจะสอบที่ศูนย์สอบ ซึ่งศูนย์สอบก็มีอยู่หลายที่ใน กทม. เลยครับ ติด BTS ด้วย เดินทางสะดวก หรือถ้าใครไม่สะดวกเดินทางจะเลือกสอบ Online ก็ได้ แต่อันนี้จะมีขั้นตอนมากกว่านิดหน่อย เพราะต้องให้ผู้คุมสอบรีโมตมาติดตั้งโปรแกรมในเครื่องเราด้วยครับ
2. 82 Questions
ข้อสอบแบ่งเป็น แบบปรนัยหรือตัวเลือก (Multiple Choices) 75 ข้อ และแบบปฏิบัติ (Hands on) 7 ข้อ
3. Time limit of 3 hours
การทำข้อสอบ จะให้เวลาทำ 3 ชั่วโมง ซึ่งผมแนะนำให้แบ่งเวลาดี ๆ ไม่ควรทำเกินข้อละ 1 นาทีครึ่ง เพราะต้องเผื่อเวลาไว้ทำข้อสอบปฏิบัติด้วย
4. Minimum Passing Score of 71%
เกณฑ์ที่จะสอบผ่าน ต้องได้คะแนนเกิน 71% ถึงจะสอบผ่าน ซึ่งถือว่าไม่เยอะมาก กำลังพอดี ถือว่าพอมีโอกาสให้เรามั่วได้บ้าง (ฮ่าๆ)
5. Open-book exam
ในการสอบสามารถนำหนังสือ สมุดโน้ตที่ทำสรุปไว้เข้าห้องสอบได้ (แต่จะเปิดเจอไหมก็อีกเรื่องนึงนะครับ)
เนื้อหาที่ใช้ในการสอบ
สำหรับตัว material ที่ใช้ในการอ่านสอบ ผมจะอ่านจากหนังสือของ SANS เลย ซึ่งจะมีหัวข้อหลัก ๆ ดังนี้ครับ
- Interception Proxies
- ZAP (Zed Attack Proxy)
- Burp Suite
- Common Vulnerabilities
- SSL/TLS Misconfigurations
- Username Harvesting
- Password Spraying
- Authorization Flaws (Direct Object Reference)
- Command Injection
- SQL Injection
- Cross-Site Scripting (XSS)
- Server-Side Request Forgery (SSRF)
- Insecure Deserialization
- XML External Entities (XXE)
- Local and Remote File Inclusion (LFI / RFI)
- Cross-Site Request Forgery (CSRF)
- Logic Flaws
- Information Gathering
- Target Profiling
- Application Discovery
- Virtual Host Discovery
- Vulnerability Scanning
- Authentication and Authorization
- Session Management Flaws
- Automated Exploitation
การเตรียมตัวในการสอบ
หลังจากสมัครสอบ เราสามารถเลือกวัน เวลา สถานที่สอบ จากในเว็บไซต์ได้เลย ซึ่งต้องเลือกภายในระยะเวลา 4 เดือนหลังจากสมัครสอบแล้ว (สำหรับสายมูสามารถดูฤกษ์ยามก่อนเลือกวันได้นะครับ)
ส่วนวิธีในการเตรียมตัวสอบ นอกจากอ่านเนื้อหาในหนังสือ สิ่งที่ผมคิดว่าช่วยในการทำข้อสอบได้เยอะ คือ การทำ Index
การทำ Index หรือจริง ๆ ก็คือ สารบัญที่เราทำขึ้นมาเอง เพื่อเอาไว้อ้างอิงถึงเนื้อหาจากในหนังสือ เผื่อในกรณีที่เรากำลังทำข้อสอบแล้วไม่แน่ใจว่าคำตอบคืออะไร ซึ่งจะเป็นตัวช่วยให้เราสามารถเปิดหาได้อย่างรวดเร็ว ในส่วนของผมที่ทำไว้จะมีหน้าตาประมาณนี้ครับ
ส่วนไอเดียในการทำ Index สรุปแบบย่อ ๆ ก็คือ
- ลิสต์หัวข้อหลัก + หัวข้อรอง ที่อยู่ในหนังสือแต่ละเล่ม (อาจจะเขียนด้วยความเข้าใจของเราเองก็ได้ ว่าเป็นหัวข้อเกี่ยวกับอะไร) จากนั้นใส่ลงไปในตารางที่เราทำไว้
- ใส่เลขหน้า ของหัวข้อที่เราได้ลิสต์ไว้ ว่าอยู่หน้าที่เท่าไหร่ในหนังสือ เพื่อความรวดเร็วเวลารีบหาคำตอบ
- ปริ้น Index ที่เราทำแล้วแปะไว้ที่หน้าปกของแต่ละเล่ม (จริงๆแล้วในเล่มที่ 5 ของหนังสือก็มี Index ให้ แต่ส่วนตัวผมรู้สึกว่าหาค่อนข้างยาก)
วิธีที่ผมใช้ในการทำ Index จะมีอธิบายอย่างละเอียด อยู่ในวิดีโอ How to Pass Any SANS / GIAC Certification on Your First Try จากช่อง “The Cyber Mentor” ดูจากชื่อคลิปก็รู้แล้ว สอบผ่านชัวร์ ฮ่าๆๆๆ
ใครสนใจสามารถไปเข้าไปดูเพื่อเป็นแนวทางกันได้ที่นี่เลยครับ https://www.youtube.com/watch?v=LBGgLbiQ9lM&t=551s
ส่วนในช่วงก่อนวันสอบก็จะได้รับ Exam Appointment Confirmation E-mail ซึ่งก็จะมีรายละเอียดต่าง ๆ เช่น วัน เวลา และสถานที่สอบ และเอกสารที่ต้องใช้เพื่อแสดงกับเจ้าหน้าที่ อย่าลืมเตรียมไว้ให้พร้อม และห้ามลืมนำไปด้วย (สำคัญมาก ๆ ครับ)
วันสอบ
มาถึงวันสอบจริง ส่วนตัวผมเลือกเดินทางไปสอบที่ศูนย์สอบ ดังนั้นใครเลือกแบบผมต้องพยายามไปให้ถึงศูนย์สอบก่อนเวลา สัก 15–30 นาที และอย่าลืมนำหนังสือ สมุดโน้ตต่าง ๆ รวมถึง Index ที่เราได้ตั้งใจทำขึ้นมา จากนั้นก็ไปเริ่มทำข้อสอบกันนน…..
และอย่างที่ผมได้บอกไปตั้งแต่ช่วงแรกว่าการทำข้อสอบ จะให้เวลาทำ 3 ชั่วโมง แบ่งเป็นข้อสอบปรนัยและข้อสอบปฏิบัติ และที่สำคัญอย่าลืมแบ่งเวลาดี ๆ ตั้งสติ และรวบรวมความรู้ทั้งหมดที่ได้อ่านมา เพราะถึงเวลาทำข้อสอบจริง ๆ เราจะมีความกดดันเพิ่มขึ้นมา แต่อย่าไปหยองครับ เตรียมความพร้อมมาขนาดนี้ แถมใส่เสื้อสีมงคลมาพร้อมแล้ว ฮ่าๆ ลุยเลยครับ
หลังจากตะลุยทำข้อสอบมาอย่างหนักหน่วง หลังสอบเสร็จ จะมีให้เราทำแบบประเมินอีกนิดหน่อย จากนั้นก็จะมีการแจ้งผลคะแนนทางหน้าจอคอมพ์เลยว่าผ่านหรือไม่ผ่าน (แบบไม่ต้องรอลุ้นนาน) และหลังจากสอบผ่านก็จะมี E-mail Confirm ส่งกลับมาให้เรา (เย่~)
สรุป
ส่วนตัวผมคิดว่าเนื้อหาของเซอร์นี้ค่อนข้างดี เนื่องจากเป็นการปูความรู้พื้นฐานและเทคนิคต่าง ๆ ในการทดสอบ Web Application ซึ่งทำให้เรามีไอเดีย สามารถนำไปต่อยอดกับเทคนิคอื่น ๆ ได้อีก และข้อสอบค่อนข้างตรงกับใน Material ที่อ่านมา ส่วนข้อเสียก็น่าจะเป็นเรื่องค่า Retakes ที่ค่อนข้างแพงและตัว Material ไม่ได้รวมอยู่ในค่าสอบ แต่เมื่อตั้งใจจะไปสอบแล้วก็ต้องหาข้อมูลและแหล่งความรู้จนได้ครับ
สุดท้ายนี้ หวังว่าผู้อ่านและผู้ที่จะมีแพลนไปสอบเซอร์ตัวนี้จะได้แนวทางจากบทความนี้ไปปรับใข้กันครับ แล้วไว้เจอกันใหม่บทความหน้าครับ สวัสดีครับ
