4 plattformar för dig som vill träna på att penetrationstesta

Vi får ofta frågor om tips och råd för att bli en bra penetrationstestare. Vårt främsta råd är alltid att du behöver ha ett stort intresse för teknisk säkerhet. Men det finns förstås även saker du kan göra rent praktiskt för att utveckla dina faktiska kunskaper. Här listar vi fyra plattformar som Sentors egna penetrationstestare själva använder och rekommenderar för dig som vill öva på att hacka, oavsett om du är nybörjare eller redan har koll på grunderna.

TryHackMe

TryHackMe är en bra plattform för dig som är relativt ny inom penetrationstestning och vill lära dig de fundamentala grunderna för praktisk hacking. Plattformen erbjuder många bra utbildningar i 20-60 timmarsmoduler, i allt från programmering och webbapplikationer till Active Directory och buffer overflows.

Med tydliga guidelines och praktiska övningar hjälper verktyget dig att enkelt och snabbt kunna utveckla dina kunskaper inom de olika områdena, så att du senare kan ta dig an mer avancerade utmaningar.

En annan fördel med TryHackMe är att du får mycket valuta för pengarna, då månadskostnaden för den är relativt låg och ännu lägre för studenter. Det finns även många kurser som är helt kostnadsfria. Nackdelen med plattformen är att den är just ganska simpel, utan avancerade maskiner och få som kan hackas från start till root.

PortSwigger

PortSwiggers verktyg Burp Suite är en plattform för att öva på penetrationstester av webbapplikationer. Plattformen är pedagogiskt uppbyggt och fokuserar på lärande i egen takt med många av de vanliga OWASP top 10-sårbarheterna som grund för övningarna. Fastnar du i de individuella sårbarheterna finns det bra hjälp att få i form av anvisningar.

Enligt pentestare hos oss på Sentor är PortSwiggers innehåll motsvarande - eller till och med bättre - än mycket av det som många utbildningar på yrkeshögskolor och universitet erbjuder i sina kurser. Att plattformen dessutom är gratis att använda är förstås ett stort plus.

HackTheBox

HackTheBox är en populär plattform som lämpar sig bäst för dig som redan har koll på grunderna inom hacking. Verktyget ger tillgång till oerhört många maskiner att hacka, däribland den så kallade TJNULL-listan med lådor som är värdefulla för dig som strävar efter att klara en OSCP-certifiering.

Plattformen bygger till stor del på gamification, vilket gör den kul att använda om du gillar spel och tävling. Till skillnad från exempelvis TryHackMe saknar den dock bra instruktioner och ett tydligt utbildningstänk, utan fungerar snarare som en lekplats där du kan testa olika tekniker och ”hacks”. Många av maskinerna är heller inte särskilt verklighetstrogna, med moment och lösningar som vanligtvis inte förekommer i en verklig miljö.

Plattformen kan användas gratis, men då begränsat, eller som en abonnemangstjänst som ger dig tillgång till fler maskiner och en så kallad “pwnbox” som HackTheBox själva hostar.

Proving Grounds

Offensive Securitys plattform Proving Grounds ger dig tillgång till privata maskiner för att öva penetrationstester på webbapplikationer samt Linux- och Windows-maskiner, från enumerering till root. Innehållet är riktiga sårbarheter som även kan hittas i verkligheten med praktiska övningar för att exploatera dem. Fastnar du i jakten efter sårbarheter kan du få både ledtrådar och tips på tools och metodik.

Precis som HackTheBox är Proving Grounds en bra förberedelse inför OCSP:n, då lådorna håller samma nivå som de fem lådorna i examineringen.

Plattformen erbjuder olika typer av abonnemangsalternativ, både kostnadsfria och mot betalning för en eller flera användare. Nivån varierar från nybörjarnivå till mer avancerad, men trots att plattformen ger dig viss stöttning på vägen kan övningarna vara ganska kluriga och svårlösta. Proving Grounds passar därför bäst för dig som redan har grundläggande kunskaper inom hacking.