¿Quieres introducirte en el mundo del Bug Bounty? ¿Te apetece perfeccionar tus habilidades sobre hacking web? Si tus respuestas son afirmativas, entonces este post te interesa.
Vamos a hablar sobre Portswigger Web Security Academy, un recurso totalmente gratuito, con el que podremos aprender y entrenar nuestras habilidades de hacking web y por supuesto aplicarlas al bug bounty.
Esta plataforma, lanzada por Portswigger, la empresa desarroladora de Burp Suite, consta de cerca de 200 laboratorios (actualmente) con sus correspondientes lecciones, en los cuales podremos aprender como encontrar diferentes categorías de vulnerabilidades web, explotarlas y como no, conocer como podemos evitarlas.
Cabe mencionar que Portswigger Web Security Academy está en constante actualización gracias a la labor que desempeña un equipo de expertos en hacking web, entre los que se encuentra Dafydd Stuttard, el autor de "The Web Application Hacker's Handbook" , un libro de referencia dentro del ámbito del hacking web.
Ahora, sin más dilación, procedamos a un pequeño viaje virtual por la plataforma, y así ver algunas de sus carácterísticas más llamativas.
Para entrenar hacking web gratis
La plataforma se divide en varios temas. Cada tema representa una vulnerabilidad sobre la que podemos aprender. La plataforma nos recomendará un path, en el que encontraremos los temas en un orden concreto dependiendo de la complejidad de cada vulnerabilidad. Este path es ideal para principiantes y tan solo es una propuesta, pues la plataforma da completa libertad a la hora de elegir sobre que tema entrenar.
Dentro de cada tema encontramos las lecciones y los Labs relativos a dicho tema. Las lecciones, con precisas explicaciones y acompañados de detallados ejemplos, nos servirán para comprender de forma teórica la vulnerabilidad sobre la que queramos aprender.
Por otra parte tenemos los Labs, en donde podremos poner en práctica lo visto en las lecciones y así afianzar lo aprendido, ya lo dice el refrán "la práctica hace maestros" y en el ámbito de la ciberseguridad este dicho se ajusta como anillo al dedo. Podemos encontrar Labs de distintos niveles de complejidad: Apprentice, Pratictioner y Expert. Además según los vayamos resolviendo, la plataforma irá guardando nuestros progresos e iremos subiendo de nivel.
Lo más destacado de los Labs es, que según los expertos, se ajustan a la perfección a entornos reales, es decir, las vulnerabilidades que podamos encontrar y explotar en los Labs, las podremos encontrar con bastante fidelidad en entornos reales. Otra ventaja interesante es que el entorno de los Labs se despliega al momento y sin necesidad de configurar nada.
Si un laboratorio se nos resiste siempre tendremos la resolución paso a paso, aunque, eso si, no está nada mal (de hecho es muy interesante) que nos tengamos que "dar algunos cabezazos contra la pared" intentando resolverlo ya que esto será lo que nos enseñe a pensar y a la postre resolver el ejercicio. (Además que en un entorno real no tendremos la solución al lado)
Un detalle muy interesante es que todos los temas están en constante actualización, con el fin de acercarse siempre lo máximo posible a la realidad. A menudo podremos comprobar como va apareciendo nuevo contenido en la web.
Por otra parte, como comentaba antes, esta plataforma pertenece a los desarrolladores de Burp Suite, una herramienta de la cual es muy recomendable tener ciertos conocimientos en el mundo de la ciberseguridad. Si no sabes de que te hablo, o simplemente te suena pero nunca la usaste, no te preocupes, ya que con la resolución de los labs conseguirás adquirir cierta destreza con la herramienta, ya que se usará bastante dado que Burp Suite es como una navaja suiza para el pentester.
Sin duda, Portswigger Web Security Academy se trata de un recurso muy a tener en cuenta para aprender hacking web, el hecho de ajustarse tan bien a los entornos reales es un valor muy interesante y hace que sea muy recomendado por expertos del hacking web y del bug bounty. Además, el añadido que sea completamente gratuito y nos permita aprender como,cuando y donde queramos, lo hacen sumamente atractivo y recomendable.
Más info: Portswigger Web Security Academy