Paolo Perego
Paolo Perego Specialista di sicurezza applicativa e certificato OSCE e OSCP, amo spaccare e ricostruire il codice in maniera sicura. Sono cintura nera di taekwon-do, marito e papà. Ranger Caotico Neutrale, scrivo su @codiceinsicuro.

Alcune lezioni dal primo tentativo fallito per l'OSWE

Alcune lezioni dal primo tentativo fallito per l'OSWE Photo by Nemesia Prodution on Unsplash
408 parole - Lo leggerai in 2 minuti

Come da tradizione, siamo al post dopo il primo fallimento per la certificazione OSWE. Era successo per OSCE e ancora prima per OSCP. Lo so, lo so… ci sono mille tradizioni molto più liete che non fallire un esame almeno una volta.

Non so cosa succeda ogni volta, se la tensione, la durata dell’esame, la paura dell’ignoto… ma tant’è lo scorso weekend mi sono fermato ad una misera flag su quattro. Questa volta le macchine all’esame sono solo due, quindi si è estremamente focalizzati e non ci sono molte “side quest” da fare per raggranellare punti. O lo sai, o non lo sai… e io non lo seppi.

Salvate il soldato Paolo

35 punti su 100 disponibili. Bottino magro al punto che non ho neanche consegnato il report. Ho solo riordinato gli appunti presi nell’analisi del codice delle app a disposizione e poi mi sono lasciato questa cosa alle spalle.

Questa volta non ho fatto uso di energy drink… pochissimo caffé e tante pause. Attenzione, ricordatevi che è un esame proctored quindi dovete avvisare chi vi “controlla” che state per prendere un break. Tranquilli, la cosa non vi porta via tempo, solo ricordatevi di dirlo.

Io e me

Sono incazzato. Le tante novità di questo 2021, lo studio, SUSE e il pensiero di riprendere con regolarità vlog e podcast mi hanno completamente defocalizzato. Non mi sono esercitato a dovere e questa è tutta una mia responsabilità. Citando una battuta di Never Back down: no matter what happens, control the outcome. It’s on you.

Si riparte quindi dallo studio e dall’esercizio, lezione principe di chi ha preso sotto gamba un esame e non ha giustificazioni.

La cosa poi incredibile è che avrò analizzato quel codice allo sfinimento e sapere di aver visto la linea contenente le altre vulnerabilità senza averle individuate è un po’ frustrante.

Cosa ho imparato

  1. Create un piano per studiare la vostra applicazione
  2. A volte ci sono vulnerabilità che vi portano in rabbit hole… siate pronti a riconoscere quando una strada non è percorribile
  3. Non abusate con la caffeina ma fate molti break
  4. Leggete codice. Tanto codice.

Off by one

Sinceramente non ho ancora deciso quando riproverò. Potrebbe essere luglio come dopo l’estate. Sicuramente è un corso che vale i soldi spesi e ti fa capire come la comprensione del codice sorgente di un’applicazione sia un passo obbligato per chiunque voglia occuparsi di sicurezza offensiva.

#tryharder

Vuoi aiutarmi a portare avanti il progetto Codice Insicuro con una donazione? Fantastico, allora non ti basta che premere il pulsante qui sotto.

Supporta il progetto

comments powered by Disqus
Codice Insicuro, blog di Cyber Security, sviluppo sicuro, code review e altro.   Non perdere neanche un post, iscriviti ora alla mailing list