1️⃣ Qué es

Burp Suite Certified Practitioner (BSCP) es una certificación de PortSwigger, con un examen online de 4 horas en el que se evalúa la capacidad de un pentester para encontrar vulnerabilidades en aplicaciones web. Sigue un enfoque de caja negra, es decir, no hay acceso al código fuente de la aplicación.
Cuesta 89€ y si suspendes, tienes que pagar de nuevo para volver a intentarlo.
El examen se divide en dos aplicaciones web. Para cada aplicación web hay 3 objetivos a completar:

  1. Acceder con cualquier usuario (no tiene porque ser carlos)
  2. Acceder como administrator
  3. Obtener el contenido del archivo /home/carlos/secret

Hay 6 objetivos en total que deben ser completados en su totalidad para aprobar. No hay margen de error. Si no completas todos los objetivos, suspendes. El tiempo se agota rápidamente si te detienes demasiado en un ejercicio.

Para aprobar el examen es necesario tener una buena base de conocimientos y mucha práctica.

En https://portswigger.net/web-security/certification/how-it-works, puedes encontrar más información sobre el examen.

2️⃣ Dificultad

Comparar la dificultad del examen con la de otras certificaciones es complicado, ya que cada una tiene sus características (enfoque, duración, etc.). Pero lo que tengo claro, es que no es un examen fácil, es bastante exigente y no es para principiantes. Hay que tener en mente que es posible fallar el examen. Me ha pasado a mí y a otros estudiantes. Es normal. No hay que desanimarse.

3️⃣ ¿Vale la pena?

No es una certificación que aporte mucho valor en el mercado laboral porque actualmente no es conocida. Pero creo que en un tiempo se convertirá en una certificación valorada, ya que PortSwigger es una empresa muy conocida en el mundo de la seguridad informática. Si te apasiona el hacking web, es una certificación que merece la pena.

4️⃣ Preparación

En https://portswigger.net/web-security/certification/how-to-prepare encontrarás una guía oficial de PortSwigger para preparar el examen. Lo mejor es seguirla al pie de la letra. Sin embargo, hay algunos puntos que no me parecen muy eficientes. Por ejemplo, en la guía se menciona que hay que resolver los laboratorios de nivel Practitioner o superior. Los laboratorios de nivel superior (Expert) no son útiles para el examen porque son demasiado complicados para lo que se requiere. Toman mucho tiempo y un gasto de energía que es mejor invertir en los laboratorios de nivel Practitioner.

Web Security Academy es el mejor recurso gratuito para prepararte para el examen. Proporciona una gran cantidad de laboratorios que te ayudarán a comprender las vulnerabilidades web, desde la detección hasta la explotación. Además, te enseña cómo usar Burp Suite, la herramienta de seguridad web más popular del mundo.

La academia incluye laboratorios misteriosos en los que no se te dice la solución. Ayudan mucho para el examen. La única recomendación que daría a otros estudiantes es que revelen el objetivo del laboratorio. En el examen, también se conocen los objetivos, por tanto, no es un spoiler y no perjudica tu preparación. Hay veces que no es obvio si tienes que disparar un alert, eliminar un usuario, borrar un archivo, etc. Lo importante es no ver la solución.

Estuve trabajando duro sin parar durante varias semanas resolviendo los laboratorios de la academia y tomando notas. En mis apuntes, además de escribir la resolución de cada laboratorio, escribí las formas más óptimas de detectar/explotar las vulnerabilidades lo más rápido posible, ya que la velocidad premia en el examen. También anoté los problemas a los que me enfrenté para no volver a caer en las mismas trampas. Los pequeños detalles son muy importantes.

5️⃣ Consejos para el examen

En el examen, hay ejercicios que no se ven en la academia. En mi opinión, la academia no te prepara para todo y llega un punto que seguir resolviendo ejercicios no ayuda. Para completar estos ejercicios que podrían bloquearte, la clave es la paciencia y la observación. Relájate, analiza la situación y piensa con calma. No te dejes llevar por la frustración. Muchas veces tienes la solución delante de tus narices y no la ves por no estar atento. Sigue intentándolo hasta conseguirlo.

También, quizás algunas partes del examen son demasiado «adivinatorias» (guessy). El siguiente vídeo del youtuber LiveOverflow ayuda a entender esto mejor.

Última modificación: 19 de octubre de 2022

Autor

Comentarios

Escribe una respuesta o comentario

Tu dirección de correo electrónico no será publicada.