สรุปประสบการณ์สอบ Web-RTA
ข้อสอบรอบนี้ยากพอสมควร ผมนั่งทำตั้งแต่ 5 โมงเย็น ถึง ตี 4 ต่อเนื่องยาว ๆ ต้องค่อย ๆ แกะโจทย์ทีละจุดและใช้สมาธิพอสมควร
สิ่งที่ได้จากรอบนี้
โจทย์บังคับให้ใช้ความรู้หลายด้านร่วมกัน ไม่ได้มีแค่จุดเดียวที่พอเดาได้ แต่ต้องไล่เชื่อมกันทั้ง:
- SQLi
- XXE
- SSRF
- JWT
- และเทคนิค web exploitation อื่น ๆ
หลายข้อใช้เวลาลองหลายรอบ กว่าจะได้แนวทางที่ไปต่อได้ แต่พอผ่านแต่ละจุดก็เห็นชัดเลยว่าตัวเองเข้าใจการโจมตีเชิงเว็บมากขึ้น
เครื่องมือที่ใช้
- ffuf ใช้ช่วยหา path และ endpoint ที่ซ่อนอยู่
- Burp Suite ใช้ดัก request, แก้ค่า และ replay เพื่อทดสอบทีละเคส
หลังจบ
รอบนี้ได้ทั้งผลสอบและประสบการณ์ตรง ได้ฝึกคิดแบบ attacker มากขึ้น และได้สกิลใหม่เพิ่มจริง ๆ จากการลงมือทำต่อเนื่องหลายชั่วโมง
เหนื่อย แต่คุ้มมาก