Preparación

Esta certificación está orientada al hacking web, nos dará unas bases muy fuertes y completas sobre este tipo de activos, sus vulnerabilidades y como explotarlas.

Bug Bounty Hunter

Existe un learning path en HacktheBox en su apartado Academy HTB .

Si aún no tienes cuenta en HackTheBox te dejo mi enlace de referido: https://referral.hackthebox.com/mz9ceuq

Accediendo a tu cuenta, asegúrate de estar en Academy HTB.

En el Dashboard, en el menú lateral, se encuentra la sección de Paths, al desplegarla, habrá dos opciones, hay que seleccionar Job Role Paths.

Encontraremos los diferentes paths destinados a roles o puestos que se pueden encontrar en el sector de la ciberseguridad, en el caso de esta certificación escogeremos el de Bug Bounty Hunter.

Al lado del título nos aparece la dificultad, las secciones, los cubos que ganaremos y los días que se suele tardar en completarlo. En la parte inferior junto a los botones de acción aparecerá el coste en cubos del path, porque cada módulo se desbloque con cubos, que es la moneda interna de la plataforma.

En mi caso tenía cubos disponibles por haber completado ciertas máquinas, hay módulos del curso que al completarlos también nos proporcionan cubos, pero no nos alcanzarán para comprar todos los módulos.

El curso tiene módulos orientados a cada tipo de vulnerabilidad web, a diferentes técnicas y metodologias. Cada módulo tiene tanto parte teorica como práctica para poner a prueba los conocimientos que vas adquiriendo.

Precios

Hasta que no se completa el learning path al 100% no se puede comprar el voucher para el examen, así que habrá que hacerse con una suscripción para tener cubos para todos los módulos y después pagar el voucher.

La mejor estrategia bajo mi punto de vista y la que voy a realizar es comprar la mensualidad Platinum (58€/mes + 21% IVA = 70,18€/mes) para completar todos los módulos. De primeras no alcanzarán los cubos para desbloquear todos los módulos, pero al ir completando, se reciben más cubos y se pueden utilizar para desbloquear el resto.

El voucher del examen cuesta un total de 217,80€, hasta que no hayas completado al 100% el learning path no puedes comprarlo.

Para el examen tienes 2 oportunidades y el voucher es válido durante 1 año:

Learning Path

Dentro del learning path de Bug Bounty Hunter, existen 20 módulos que cubren diferentes temas. Desde funcionamiento del back-end web hasta diferentes tipos de vulnerabilidades.

Al final de cada módulo hay un Skills Assessment, que es un laboratorio en el que tienes que aplicar todo lo aprendido en el módulo para encontrar flags y respuestas a preguntas que te hacen.

Tenéis las guías para cada uno de ellos en el apartado de WRITEUPS.

Funcionamiento del examen

El examen tiene una duración de 7 días. Está enfocado para dedicarle el mismo tiempo que le dedicarías a tu trabajo.

También consta de un informe, para el que la propia plataforma de HackTheBox, te proporciona una plantilla: https://www.hackthebox.com/blog/certification-templates

En la corrección se proporciona feedback del informe que se redacta. La puntuación de la "parte técnica" requerida para aprobar es de 80 sobre 100.

Una forma de redactar un buen informe, sería ir tomando apuntes de todo lo que realicemos durante el examen para que al finalizar el apartado técnico, cuando tengamos que redactar el informe, no nos lleve tanto tiempo y se nos haga lo más fácil posible.

Al tener que redactar un informe, a parte de apuntar que estamos haciendo, recomendaría realizar capturas de pantalla de todo el procedimiento.

Extra - Máquinas para prepararse el examen

Si sois como yo que os gusta ir sobre seguro, a veces incluso de más, os adjunto un listado de máquinas preparadas por J4ckie0x17 en Vulnyx, orientadas al examen de CBBH:

En el nombre de cada máquina está enlazado el writeup que he subido de cada una de ellas.

AnteriorCBBHSiguienteWRITEUPS

Última actualización