Siber Güvenlik Portalı

  1. Anasayfa
  2. »
  3. Siber Güvenlik
  4. »
  5. eWPT Rehberi: Web Uygulama Güvenliğinde Uzmanlaşma ve Sınav Deneyimim

eWPT Rehberi: Web Uygulama Güvenliğinde Uzmanlaşma ve Sınav Deneyimim

Siber Güvenlik Portalı Siber Güvenlik Portalı - - 8 dk okuma süresi
376 0
Ewpt Sınav rehberi ppp

Bu yazımızda eWPT Rehberi: Web Uygulama Güvenliğinde Uzmanlaşma ve Sınav Deneyimim detaylı olarak ele alacağız. 

Merhaba, 8 Ocak 2025’te girdiğim eLearnSecurity Web Application Penetration Tester (eWPT) sınavını başarıyla geçerek sertifikayı almaya hak kazandım. Bu yazıda, eWPT sınavına nasıl hazırlandığımı, hangi kaynaklardan faydalandığımı ve sınav sırasında karşılaştığım zorluklarla ilgili deneyimlerimi bulabilirsiniz.

Güncellenen Sınav Formatı

eWPT Rehberi: Web Uygulama Güvenliğinde Uzmanlaşma ve Sınav Deneyimim

INE, eWPT sınavında raporlama zorunluluğunu kaldırdı ve yeni formatıyla artık yalnızca flag’leri iletmesi ve istismar sorularını cevaplamasını yeterli görüyor. Bu değişiklik süreci daha hızlı ve odaklanmış hale getirirken sertifikanın prestijini ve güvenilirliğini artırdı. Bu güncelleme ile INE sertifikalarına olan talebin hızla arttığı da gözlemleniyor. INE’de siber güvenlik sertifikaları arasında popülerliğini arttırıyor. 

Sınavı geçmeniz için %70 başarı oranı yakalamanız isteniyor yani 50 sorudan 35 soruyu doğru yapmanız gerekiyor. 35 soru aşağısında yaparsanız maalesef sınavı geçemezsiniz.


eWPT Rehberi Hazırlık Süreci

eWPT sınavının odak noktası olan web uygulama güvenliğine yoğunlaştım. Amacım, zafiyetleri tespit edebilme, istismar etmekti. Sınavın %25’lik kısmı, manuel olarak XSS, SQL Injection, RFI/LFI, API gibi güvenlik açıklarının istismarına odaklandığından, bu alanlarda yetkinliğimi artırmaya öncelik verdim.

Bu süreçte SQLMap, Burp Suite, ZAP, Nikto ve Nmap gibi araçları ileri seviyede kullanmayı öğrenmenizi tavsiye ediyorum. Sınavda bu araçların her biri çok önemli bir rol oynuyor. Otomasyon ve manuel test süreçlerini dengelemek için bu araçları nasıl etkili kullanacağınızı öğrenmeniz kritik bir avantaj sağlar.

Bir önerimde eğer manuel olarak zafiyetleri istismar edemiyorsanız sınava girmenizi önermiyorum, sınavda manuel zafiyetleri istismar etmeniz fazlasıyla isteniyor eksiğiniz varsa kendinizi geliştirmeniz ve acele etmemeniz önemli.

İlginizi çekebilecek yazı: eJPT Sınav Rehberi: Hazırlık Süreci, Araçlar ve Deneyimler


INE eWPT Hazırlık Kursu

Bu kursu satın almadım, ancak birçok kişi sınava yönelik kapsamlı bir eğitim sunduğunu belirtiyor. Eğer web uygulama güvenliği konusunda eksikleriniz varsa, kursu almanızı öneririm.

Ine Web Sitesi

Eğitim Detayları:

  • Zorluk: Profesyonel
  • Süre: 106 saat
  • Bölüm Sayısı: 12
  • Ders Sayısı: 10
  • Videolar: 175
  • Sınavlar: 126
  • Laboratuvarlar: 58

Pratik Platformlar

Hack The Box ve TryHackMe platformlarında çalışarak gerçek dünya senaryolarını uygulama fırsatı buldum. Easy ve medium seviyedeki makineleri birkaç kez çözerek deneyim kazandım. Özellikle web uygulama makinelerine yoğunlaşmanızı tavsiye ederim.

OWASP Kaynakları

OWASP Testing Guide ve OWASP Top 10 dokümanları, sınavın teorik ve pratik konularında oldukça faydalı oldu. Bu kaynakları detaylıca incelemenizi öneririm.


eWPT Rehberi: Web Uygulama Sınav Süreci

Sınav Genel Bilgileri

  • Süre: 10 saat
  • Soru Sayısı: 50
    • 11-13 Flag Gönderme Sorusu: Zafiyetlerin tespit edilip bayrakların gönderilmesi gerekiyor.
    • 37 Teorik Soru: Makine içindeki işlemlerle ilgili çoktan seçmeli sorular.
  • Sınavı tamamlama sürem 9 saat 30 dakika sürdü  ve bu süreyi doğru yönetmek sınav başarısında kritik bir rol oynadı.
  • Sınav Ücreti: 400 dolar.

Tek Sınavı Almak İçin Adımlar;

  1. Öncelikle https://checkout.ine.com/ sayfayı ziyaret edin.
  2. Daha sonra eEDA sınavını sepete ekleyin ödeme sayfasına gelin. (Sepette kısımdan ewpt ekleyeceğiz satın almayın !)

3- Add-ons kısmından aşağı gelip eWPT seçip ekleyin 399 dolar fiyatı. Daha sonra sepetteki eEDA çıkartın ve satın alma işlemine geçin. Sepette sadece eWPT kalması lazım. (399 dolar)

4- Satın aldıktan sonra profilde ki certifications kısmına gelip alttaki exam bölümünde sınavınızı bulabilirsiniz.


Sınav İçin Deneyim ve Tavsiyeler

Sınavın süresi uzun gibi görünse de, içerik yoğunluğu nedeniyle zaman yönetimi kritik öneme sahip.

  • Tüm IP adreslerini, portları ve dizinleri detaylı olarak not edin.
  • SQLMap, Burp Suite ve ZAP gibi araçları tarama ve bilgi toplama süreçlerinde mutlaka kullanın.

Ancak bazı zafiyetler bu araçlarla tespit edilemeyebilir. Örneğin, XSS veya SQL Injection gibi açıklar için manuel test yapmak çoğu durumda daha etkili olur.

Otomasyon araçlarıyla bulduğunuz zafiyetleri mutlaka manuel testlerle doğrulayın.


Sınavda Çıkan Konular ve Sınav Sistemi

Sınavda toplamda 50 soru yer alıyor. Bunların yaklaşık 37-38 tanesi teorik ve makineye yönelik çoktan seçmeli sorulardan, geri kalan 12-13 tanesi ise flag sorularından oluşuyor. Flag sorularında, belirli bayrakları/cevapları tespit edip boşluğa doğru cevabı yazmanız bekleniyor.

Sınavda bana 5 farklı IP adresi ve 21 port verildi. Her portun üzerinde farklı sistemler yapılandırılmıştı. Örneğin, bir IP adresindeki 8080 portunda WordPress çalışırken, başka bir IP adresinde aynı portta Tomcat ya da Joomla gibi sistemler yer alabiliyordu.

Zafiyet tespiti sırasında otomasyon araçları genellikle yeterli olmadı. Bu nedenle manuel analiz ve istismar yeteneklerinizi kullanmanız kritik bir önem taşıyor.

Örnek olarak:

  • XSS Açıkları (Reflected ve Stored): Bu tür açıkları tarama araçları ile tespit etmeniz çoğu zaman mümkün olmuyor. Manuel olarak doğru parametreleri deneyerek açıkları bulmanız gerekiyor.
  • SQL Enjeksiyonu: Otomasyon araçları bazı temel açıkları tespit edebilir ancak daha karmaşık durumlarda manuel müdahale ile doğru şekilde çözüm üretmeniz gerekebilir.

Sınavda başarılı olmak için, otomasyon araçlarına yalnızca bilgi toplama ve ön analiz için güvenmeniz gerekiyor, bulguları manuel doğrulama ve istismarla desteklemelisiniz. Bu yaklaşım kaçırılabilecek zafiyetleri tespit etme şansınızı artıracaktır.


Sonuç

eWPT Rehberi: Web Uygulama

eWPT, web uygulama güvenliği alanında uzmanlığınızı tescillemek için prestijli bir sertifikadır. Hazırlık sürecinde planlı ve disiplinli bir çalışma ile bu sınavı başarıyla geçebilirsiniz. Sınav, teknik bilgi kadar zaman yönetimi ve stratejik düşünme yeteneklerinizi de test edecektir.

Ben 50 sorudan 45 doğru yaptım doğru çalışma ve sistem ile çok rahat başarılı olabilirsiniz.

Ek Tavsiye: Sınav öncesinde tüm araçları ileri düzeyde kullanmayı öğrenin. Özellikle Burp Suite, SQLMap, Nikto, ZAP ve Nmap gibi araçların temel işlevlerini çok iyi kavrayarak sınavda zamandan tasarruf sağlayabilirsiniz.

Sınava girecek herkese başarılar dilerim. İyi çalışmalar..

İlgili Yazılar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir