OSWE: White-Box Hacking

L’esame OffSec Web Expert (OSWE) è noto per la sua metodologia white-box. Non si “scansiona” semplicemente una webapp per trovare vulnerabilità potenziali, si legge il codice, si comprende e si trovano i difetti per forgiare l’exploit perfetto. Niente di irraggiungibile con la giusta preparazione tecnica ed esperienza.

AWAE/OSWE/WEB-300

Chiariamo prima di cosa stiamo parlando. L’OSWE (Offensive Security Web Expert) è la certificazione, mentre AWAE (Advanced Web Attacks and Exploitation, noto anche come WEB-300) è il corso che ti prepara per l’esame.

• AWAE Advanced Web Attacks and Exploitation: Questo corso è il cuore della preparazione. Ti insegna a identificare vulnerabilità complesse in applicazioni web eseguendo analisi white-box, ovvero analizzando il codice sorgente. L’obiettivo non è solo trovare il bug, ma anche sviluppare exploit affidabili e riutilizzabili.

• OSWE OffSec Web Expert: È la certificazione di OffSec ottenuta superando l’esame proctored di 48 ore (+24h di report) che testa la tua abilità nella ricerca e exploiting di vulnerabilità web, tramite l’analisi del codice sorgente e l’analisi dinamica dell’app. È la prova che sei in grado di andare oltre il testing superficiale.

🧪 Fai Pratica

Se ne avete la possibilità, comprate il corso ufficiale AWAE (WEB-300) di OffSec e seguite la loro metodologia. Se, come me, avete avuto accesso limitato, ad esempio, solo 3 mesi di lab (tra l’altro startato ad inizio agosto poco prima di andare in ferie 😩), le guide, i lab e le risorse elencate in questo post vi saranno utili per preparare al meglio l’esame, anche senza il percorso ufficiale completo.

🔴 SQL Injection

• Lab: SQL Injection
• Case Studies & Risorse:
  • RCE with SQL Injection - MSSQL
  • Pre-Auth Takeover of OXID eShops
  • SQL Injection to LFI to RCE - MySQL
  • From SQLi to SHELL (I and II) - PentesterLab
  • Having Fun With PostgreSQL
  • Blind Postgresql Sql Injection Tutorial
  • SQL Injection Cheat Sheet - PentestMonkey
  • SQL Injection Cheat Sheet - PayloadAllTheThings
  • Exploiting H2 SQL injection to RCE

🔴 Insecure Deserializzation

• Lab: Insecure Deserialization
• Case Studies & Risorse:
  • Serialization - A Hidden Threat
  • [Paper] Deserialization Vulnerability
  • Analyse Binary Serialization Stream
  • Black Hat USA 2017: Friday the 13th: JSON Attacks
  • Exploiting Node.js deserialization bug for Remote Code Execution
  • YAML Deserialization Attack in Python

🔴 Server-Side Template Injection (SSTI)

• Lab: Server-Side Template Injection (SSTI)
• Case Studies & Risorse:
  • [Portswigger Research] Server Side Template Injection
  • [Video] SSTI : RCE For The Modern Web App - albinowax
  • Server Side Template Injection
  • Jinja2 template injection filter bypasses

🔴 XML External Entity (XXE)

• Lab: XML External Entity (XXE)
• Case Studies & Risorse:
  • A Deep Dive into XXE Injection
  • From XXE to RCE: Pwn2Win CTF 2018 Writeup
  • Blind XXE to RCE
  • Apache Flex BlazeDS XXE Vulnerabilty
  • WebLogic EJBTaglibDescriptor XXE

🔴 Cross-Site Scripting (XSS)

• Lab: Cross-Site Scripting (XSS)
• Case Studies & Risorse:
  • AtMail Email Server Appliance 6.4 - Persistent Cross-Site Scripting
  • Chaining XSS, CSRF to achieve RCE
  • Code analysis to gaining RCE
  • Magento 2.3.1: Unauthenticated Stored XSS to RCE
  • Mybb 18.20 From Stored XSS to RCE

🔴 Arbitrary File Upload

• Lab: File Upload
• Case Studies & Risorse:
  • [Paper] File Upload Restrictions Bypass
  • Shell the web - Methods of a Ninja
  • Popcorn machine from HackTheBox
  • Vault machine from HackTheBox

🔴 Server-Side Request Forgery (SSRF)

• Lab: Server-Side Request Forgery (SSRF)
• Case Studies & Risorse:
  • Server-Side Request Forgery Vulnerability in Directus
  • Bug Bounty Story: Escalating SSRF to RCE on AWS
  • Black Hat USA 2017: A New Era of SSRF

Altre Vuln

• Prototype Pollution
• Cross-Site Request Forgery (CSRF)
• OS Command Injection
• Path Traversal

🧠 Fai una Pausa

Quando sei esausto, puoi sempre spegnere il pc, buttarti sul divano e leggere o guardare video dallo smartphone (meglio un tablet per i video di IppSec se non vuoi perdere la vista):

• Leggi/rileggi The Web Application Hacker’s Handbook: Finding and Exploiting Security Flaws (2nd Edition).
• Leggi report reali di Bug Hunting: Hackerone Reports
• Leggi writeup di analisi statica del codice:
  • Shell Systems writeups
  • Steve Seeley writeups
• Guarda questa playlist YouTube di IppSec di walkthrough leggendari.

🖨️ Cheat-Sheet

L’esame OSWE è proctored e l’uso di AI o chatbot è vietato. Quindi, a meno che non scrivi codice quotidianamente, potrebbe risultarti difficile scrivere gli exploit da zero, sotto pressione, senza aiuti esterni. Anche finire su Stack Overflow per scoprire come si printa un “Hello, World!” in Python è abbastanza frustrante.

Consiglio: prepara i tuoi cheat-sheet con gli snippet di codice, o trovane di già pronti tipo questo: OSWE cheatsheet from rizemon

🏁 Conclusione

Onestamente, gli esami di OffSec li ho sempre trovati un po’ stressanti. La modalità proctored e il tempo limitato mettono oggettivamente ansia, ma devo dire che, rispetto all’OSCP, affrontare temi web con l’OSWE su cui ero più preparato e trattandosi del mio secondo esame con loro, mi ha permesso di essere più rilassato.

L’OSWE non è solo un esame tecnico, è una prova di resistenza, metodologia e abilità nel problem-solving white-box. Richiede disciplina nel leggere il codice e creatività nel trasformare i singoli bug in exploit funzionale. In generale comunque, consiglio a tutti il corso WEB-300 (AWAE). Per me è ben fatto, ricco di risorse, ma soprattutto ti dà accesso ai lab dove puoi esercitarti su chain di vulnerabilità reali e pratiche. Poi mi è capitato più volte di chiedere e ricevere supporto sul canale Discord di OffSec e l’ho trovato funzionale, ben gestito e utilissimo, specialmente quando ti serve qualche hint per andare avanti durante il corso.

In ogni caso, se hai bisogno di approfondire alcuni temi prima dell’esame, spero che questo post sia d’aiuto.