อยากเป็น Pentester ต้องทำอย่างไร ?

3 min readJul 15, 2021

เปิดหัวมาแบบนี้ คงเรียกแขกได้เยอะ หรือเปล่า … ❔

เอาตรง ๆ เลย ผมจะมาเล่าให้ฟัง ว่า ความชอบในการเจาะระบบ กับการเจาะระบบเป็นอาชีพ มันต่างกันคนละโลกเลยนะ

ก้าวแรกที่จะเข้ามาสายนี้ เริ่มจากการตัดสินใจไปสอบ OSCP แทนที่จะเป็น CEH หรือ COMPTIA SECURITY+ เพราะเข้าใจว่าง่ายเกินไป ไม่เหมาะกับเรา

สิ่งที่พลาดอย่างแรกเลย คือ นั่งอ่าน Sheet ของ OFFSEC (ผมสอบตอน Version เก่าปี 2020) แทบไม่ได้ประโยชน์อะไรเลย

สิ่งที่พลาดอย่างที่สอง คือ การใช้ Kali VM ของเก่า ไปสอบ ซึ่งจะเจอ exploit บางอย่างที่ใช้ไม่ได้ (อัพเดทตอนสอบยิ่งพัง เพราะ version ใหม่เกิน) แนะนำใช้ตัวล่าสุดที่เค้ามีให้โหลดก่อนสอบ และ อย่าไปอัพเดท

สิ่งที่พลาดอย่างที่สามคือ OSCP LAB นั้นมีแต่ exploit เก่า ๆ ไม่เหมือนกับการสอบ ถึงทำได้ทุกข้อก็แค่นั้น ได้แต่โวยวายกับตัวเอง

สุดท้ายสอบผ่านรอบที่สาม เสียค่าซ่อมไปบานตะไท… 💸 😩

การสอบ OSCP เป้าหมายคือการ root ระบบ ทั้ง 5 และเขียน REPORT เพื่อสรุปว่าสามารถเจาะระบบผ่านช่องโหว่ไหน ด้วยวิธีขั้นตอนอย่างไร ความเสี่ยงระดับไหน และสามารถปิดช่องโหว่ได้อย่างไร

ซึ่งตอนก่อนมาทำงานแนวนี้ คิดในใจว่า อยากจะเจาะระบบอย่างเดียว แต่ เอาจริง ๆ งานอีกครึ่งหนึ่งคือการทำ REPORT !!!!!!!!! ซึ่งสำคัญพอๆ กัน

โดยตัว REPORT เนี่ยจะบอกถึงรายละเอียดช่องโหว่ ความยากง่ายในการเจาะระบบด้วยช่องโหว่นี้ ขั้นตอนการโจมตีอย่างละเอียด และสำคัญที่สุดคือวิธีการปิดช่องโหว่

งาน Pentest ที่ได้รับมา จะแยกเป็นสองประเภทใหญ่ๆ

การทดสอบเพื่อยึดครองระบบให้มากที่สุด การทดสอบประเภทนี้ ส่วนใหญ่จะไม่มีหลักตายตัว ให้ทำอย่างไรก็ได้ให้ไปถึงเป้าหมาย ภายในจำนวนวันที่กำหนด จะยึดกี่เครื่องก็ได้เพื่อไปให้ถึงเครื่องปลายทาง เช่น AD หรือ ระบบที่มีความสำคัญต่อองค์กรต่าง ๆ (ช่องโหว่ใน REPORT จะน้อย และจะมีเฉพาะความเสี่ยงระดับสูง ไปถึงวิกฤติ)
การทดสอบเพื่อหาช่องโหว่ทั่วไป (งานหลัก) ต้องหาช่องโหว่ตาม OWASP ทั้ง API/WEB/MOBILE แล้วแต่งานที่ได้รับเลย เน้นพบช่องโหว่ครบถ้วน … ซึ่งงานนี้แหละที่มีมาบ่อย ๆ (เคยเจอระบบเดียว ช่องโหว่ผิดฯ OWASP ครึ่งร้อยเลยก็มี ผิดจนคิดเสียว่าเขียนใหม่ทั้งหมด กับแก้ช่องโหว่ เขียนใหม่หมดอาจจะไวกว่า)

Pentest เป็นงานที่น่าเบื่อ?

ลองคิดภาพที่ต้องทดสอบอะไรซ้ำ ๆ ทุก ๆ page / parameter / fill จนครบ 1 เว็ป แล้วต่อมาก็ทำแบบเดิมซ้ำ ๆ ไปอีกกับเว็ปหรือแอปใหม่ แล้วต้องทำแบบนี้ทุกวัน ทุกวัน เป็น loop นรกดูสิ

ตัวอย่าง loop นรก (Checklist) https://github.com/tanprathan/OWASP-Testing-Checklist/blob/master/OWASPv4_Checklist.xlsx

นั่นคือสิ่งที่ผมอยากจะบอก ก่อนที่น้อง ๆ หรือใครๆ จะลองก้าวเข้ามาในทางสายนี้

จะมาสายนี้ยากไหม ?

ถ้าเทียบกับ สาย system / network แล้ว ผมว่า security ยากกว่านิดหน่อย (นิดหน่อยจริง ๆ)

ต้องมีทักษะการอ่านเขียน Coding ประมาณนึง (ถ้าจะเอาแค่พอทำงานรอด แต่ถ้าจะเอาแบบเก่ง ๆ ยอดคน ก็ต้องเขียนได้ขั้นเทพ เลย)

ต้องมีทักษะภาษาอังกฤษ บ้าง เอาจริง ๆ น้อง ๆ ที่ผมรู้จักหลายคนก็ไม่ได้เก่งอังกฤษมากขนาดนั้นนะ แต่ก็เจาะระบบจนระบมมาก็เยอะ

ข้อเสียของสายนี้ อย่างนึงคือการสอบ CERT ถ้าพวก SANS คือโคตรแพง แทบจะเอาค่าสอบไปสอบ VCP (System) + CCNP (network) ได้สองตัวเลย

อ่าวเขียนมาตั้งนานยังไม่เริ่มเลยว่าจะต้องทำอย่างไร วนออกทะเลเยอะจริง ๆ

น้อง ๆ หลายคนอาจมีคำถามว่า

1. ต้องเรียนสายไหนดี ถึงจะมาทางนี้ได้ ?

คำตอบ: จริง ๆ สมัยผมมันไม่ได้เปิดกว้าง เหมือนสมัยนี้นะ (สมัยนั้นคือไม่มีงานแนวนี้เลย เพิ่งจะมาบูม ๆ กันก็ไม่กี่ปีนี้เอง มหาลัยก็เพิ่งจะมารู้ตัวผลิต เพราะตลาดแรงงานเริ่มจ้างกัน จะผลิตก่อนก็ไม่ได้ จะตกงานกันหมด) แต่ถ้าเอาความเป็นจริง คือมีหลายๆ คนที่มีความสามารถ แต่ไม่ได้จบตรงสาย ไม่ได้จบเกี่ยวกับคอมเลยด้วยซ้ำ แต่มีความสามารถมาทำงานนี้ได้เยอะแยะ เต็มไปหมด ใครตกงานมาลองได้นะ งานเยอะจริง เพียบๆ ล้น ๆ ตลาดต้องการตัว

2. จะเริ่มอย่างไร

คำตอบ: เริ่มจากใจรักก่อน ชอบแนวนี้ ชอบศึกษาอะไรใหม่ๆ เวลาเห็น exploit ใหม่ๆ แล้วตกใจ อยากทำได้บ้าง และก็อย่างที่บอกก่อนหน้าต้องชอบทำ REPORT ด้วยนะครับ

3. ต้องใช้ความรู้ด้านไหนเป็นพิเศษไหม

คำตอบ: เอาตรง ๆ จากใจ สมัยนี้มีคนเยอะแยะที่สามารถเจาะระบบได้ คือใช้ TOOL เป็นก็สามารถเจาะระบบได้ละ (เด็กป.2 ก็ทำได้) แต่คนพวกนี้คงมาทำงานนี้ไม่รอดนะครับ ความเข้าใจก็สำคัญ ถ้าเริ่มจากใช้ Tool เป็นแล้วไปหาความรู้ได้ก็น่าจะดี เล่าเรื่องตัวเองแล้วกัน สมัยนึงผม hack WPA wifi สมัยนั้นไม่มีโพยภาษาไทยเลย ต้องไปนั่งอ่านเว็ปนอก ตามหา chipset RTL สำหรับ usb wifi ใช้กับ backtrack (คือ OS ยุคบุกเบิกก่อน KALI) หาได้แล้วก็ต้องมานั่ง complied driver ใช้ กว่าจะสำเร็จ กว่าจะ crack รหัสผ่านได้ จะเห็นว่าเริ่มมาจากความอยากรู้อยากเห็นล้วน ๆ แล้วความรู้ก็ตามมาเอง ดังนั้น หากคุณชอบเรียนรู้ มาเลยครับ เหมาะกับการเดินทางสายนี้มาก

4. ควรลง course เรียนไหม เห็นมีเยอะเลย

คำตอบ: หาความรู้เองน่าจะดีกว่า แต่ถ้าจะลง course ขอดู Cert OSCP ก่อนนะ หรือถ้าคนสอนมี cert ตัวใหญ่กว่านี้ยิ่งดี แสดงถึงความโหดขิง ๆ (รีบเรียกอาจารย์เลยนะ เผื่อได้ส่วนลด)

5. การทำงานนี้มีกฎหมายคุ้มครองต่างกับ hacker ทั่วไป

คำตอบ: เพราะต้องได้รับอนุญาตจากเจ้าของระบบก่อนทดสอบ เลยเหมาะกับคนที่ชอบเจาะระบบ เพราะได้ทดสอบแบบ REAL WORLD โดยที่ไม่ติดคุกติดตะราง ก่อนผมมาทำงานแนวนี้ก็เช่นกัน กฎหมายออกแล้ว ได้แต่นั่งทำใน LAB ล้วน ๆ ไม่ได้รู้สึกภูมิใจเลย

สรุป หากอยากทำงานสายนี้เริ่มจากใจรักก่อน อยากรู้ อยากลอง สามารถทำอะไรซ้ำ ๆ ได้โดยไม่เบื่อไปก่อน และที่สำคัญที่สุดคือ ต้องทำ report เก่งด้วยครับ (ห้ามขาดเลย) ถ้าดูแล้วสนใจ อยากทำงานแนวนี้ inbox มาที่เพจได้เลยครับผม 🙏 🙏