Review - Practical Junior Web Tester (PJWT)

03/02/2025

word count：1636

estimated reading time：9minute

Holi, esta entrada me hace mucha ilusión y es un pequeño logro para mí. Hace mucho tiempo atrás que quería rendir esta certificación y por fin lo hice, además de haber podido aprobar al primer intento, es simplemente maravilloso.

Creo que es la primera review de esta certificación en español. 🫡

Te dejo la siguiente experiencia y mini review.

Me disculpo si hay alguna falla ortográfica o la redacción no es la mejor, pero al momento de escribir este artículo estoy algo emocionado.

Banner

Contexto

Al momento de publicar la entrada, me di cuenta de que le cambiaron el nombre a la certificación, por lo que tengo entendido, solamente cambia el nombre y no afecta al examen. https://certifications.tcm-sec.com/pwpa

Sin entrar mucho en detalle, la Practical Junior Web Tester [PJWT] es una certificación ofrecida por TCM Security (TCMs) la cual tiene un enfoque 100 % en Pentesting Web. Cabe destacar que es una certificación Entry-Level (Principiante) y esta evalúa la capacidad que tienes para auditar o llevar a cabo una prueba de penetración web.

Tiene un tiempo total de 4 días, los cuales están divididos en 2 días para la ejecución de pruebas y finalmente 2 días para documentar los hallazgos y pruebas, informe en general.

Con un valor de $249 dólares, la certificación por lo que ofrece y la misma calidad de la cert me parece un buen precio y asequible, a diferencia de otras (si bien para el CV no es tan relevante y conocida, pero con respecto a conocimientos deja una buena base).

Resumen:

1 intento de rendición.
1 reintento gratuito en caso de fallar.
4 días en total, 2 de pruebas y finalmente 2 para el informe.
Laboratorio local.

¿Por qué esta cert y no otra?

Bueno, la primera razón del porqué TCM Security, fue por el siguiente artículo que leí hace algunos años: https://deephacking.tech/pnpt-review-practical-network-penetration-tester/, desde ese entonces me pico un bichito de probar a TCM, además de haber visto varios videos y directos de esta empresa; me gusta mucho el dinamismo y la manera de explicar que tienen. Sé que aún no respondo del todo la pregunta del título, pero tranquilos, ya voy a ello.

Por motivos laborales, me volvió la pasión por Web. Tenía en mente hacer una certificación en esta área, principalmente como un desafío personal, ya que sentía que me estaba estancando en lo técnico y no avanzaba mucho. Por lo cual fue el momento perfecto para retomar los estudios desde cero y hacer las cosas bien. Además, una personita importante para mí, me comentó que, aunque mi progreso era bueno, podía haber sido mucho mejor por el tiempo que llevaba y las capacidades que yo tenía. Desde esa conversación me di cuenta y recién atiné más, algo que tenía presente hace bastante tiempo, pero no hacía nada para cambiarlo. 😑

Luego de eso, comenzó mi búsqueda de una certificación y de la nada me topé con un video de TCM donde mostraban el lanzamiento de esta certificación. Me vi el video y me llamó mucho la atención, entonces busqué alguna review encontré varias en inglés (las cuales pondré al final de este artículo que me ayudaron a decidirme finalmente por esta certificación) y todas las que leí tenían un muy buen feedback y quedaron encantados con la cert. Y realmente ese fue el motivo del porqué de esta certificación xD. Quizás me faltó añadir una cosita más, no tenía ganas de hacer ninguna cert de la empresa ⠊⠝⠑

Curso & Laboratorio

Una vez que compras el váucher de la certificación, este viene con un curso llamado “Practical Bug Bounty“. Y una checklist con los pasos previos al examen. No entraré mucho en detalle con el curso, pero cumple bastante bien.

Respecto a los laboratorios en el curso, te proporcionan una imagen de Docker. La cual contiene una aplicación web que trae múltiples laboratorios con tópicos relacionados a vulnerabilidades vistas en el curso y ahí poder practicar cada vulnerabilidad (pensando en hacer algún Writeup de un lab).

Día del examen

Bueno, comenzamos con el día. Iniciamos sesión en la plataforma de exámenes de TCMs, obviamente. Y le damos al examen. Una vez iniciado, tenemos la típica advertencia de que no podrás pausar el tiempo y bla-bla. Luego de eso, proporcionan un documento tipo RoE, el cual tiene el alcance, escenario, objetivos, scope, criterios de evaluación y aprobación, restricciones y poco más. La conexión es a través de VPN.

Al principio estaba demasiado nervioso, fui buscando cositas típicas como XSS, Broken Auth, tonteras así. Iba saliendo todo bien, hasta que me estanqué por varias horas y no logré encontrar muchas cosas [en ese momento tenía 4 hallazgos]. Pasaban las horas y nada, por lo cual decidí darme un descanso, respiré y fui a comer. Volví dos horas después y ahí fue donde cometí mi segundo error: darle el enfoque CTF. Y lo mismo, no lograba sacar nada y me estaba poniendo ansioso y me venían pensamientos:Ah, voy a reprobar esta wea, me apuré mucho en rendir el examen, no estoy listo y cosas así.

Ya era bastante tarde, por lo que decidí apagar todo y retomar al día siguiente.

Bueno, no toqué el examen por toda la mañana y recién comencé luego del almuerzo. Esta vez siguiendo mi mismo enfoque anterior, y pasaban las horas y nada de nada. Hasta que decidí seguir los consejos del curso y el mismísimo WSTG. Me ayudó y ya estaba encontrando más cosas y abordando de mejor manera la aplicación, si bien aún nada del otro mundo por lo menos lograba avanzar. Luego de algunas horas, me di cuenta de vulnerabilidades que tenía a simple vista y no había visto, jiji. Ya casi al final del término del examen, hice algunas pruebas adicionales, logrando identificar un par de vulnerabilidades y tenía un poco más del mínimo para poder aprobar.

Hecho esto, vuelvo a mirar el RoE de la actividad y me doy cuenta de que no había logrado explotar algunas vulnerabilidades que mencionaban en el documento y me sentí algo triste (y que al día de hoy todavía sigo pensando, jaja) Ya con las pruebas hechas, comienzo con la documentación. Yo soy una tortuga para documentar, me demora demasiado y literal. Terminé el informe a 5 minutos del plazo para entregar el documento, jajaja fue una absoluta desesperación, lo bueno es que lo logré entregar.

Como mencioné anteriormente, seré sincero y no logré explotar todas las vulnerabilidades, pero, aun así, estoy muy satisfecho con mi resultado y haber podido aprobar con más del mínimo. El informe me habrá quedado con un total de 45 páginas (si mi memoria no falla). Adicionalmente, me gustaría volver a hacer el examen, ya que siento que lograría encontrar muchas más vulnerabilidades y el enfoque correcto para efectuar las pruebas.

Reporte

Para el informe tenía dos cositas en mente: hacerlo desde cero con Google Docs o utilizar sysreptor. Al final me decidí por sysreptor, cree una vm en mi proxmox.

proxmox

container

Hice un nuevo estilo, pero luego me dio flojera, por lo cual utilicé una plantilla lista, y modifiqué la tipografía, paleta de colores, etc. (Tengo un problema grave con esas cosas xD)

Como experiencia personal, te recomiendo adelantar esta parte, tener todo preparado, es decir, resumen ejecutivo, marcos de trabajo, criterios, etc. (También plantillas de hallazgos, yo no lo hice y sufrí). Cuando tengas un hallazgo, recomiendo documentar al tiro o, por lo menos, tomar capturas de pantalla y pegar en el documento.

Tengo pendiente publicar la template (no piensen que es algo del otro mundo, simplemente una bonita paleta de colores y tipografía, entre otras cosas, hacen una gran diferencia) del reporte. Por si lo quieren utilizar, posiblemente lo suba a mi GitHub o al blog. Adjuntaré la portada de la plantilla.

Una vez que me digne a terminar los detalles, actualizaré esta entrada y pondré el enlace.

Opinión personal

Esta certificación me pareció bastante buena y me sorprendió totalmente la calidad del ambiente durante el examen. No tuve ningún tipo de problema (la única queja entre comillas es que se demoraba un poquito en iniciar la primera vez y me puse nervioso xd, reiniciar, es entendible).

Otro punto que me gustó, es que no era poner la primera carga útil que te salía en PayloadsAlltheThings o similares y funcionaba. Había ciertos filtros que, si bien no eran del otro mundo, añadían una cierta dificultad y dinamismo al explotar las vulnerabilidades. Además, no bastaba con reportar únicamente vulnerabilidades altas o críticas. Las buenas prácticas y vulnerabilidades de mucho menor impacto [nulo] también se consideraban como criterios válidos para aprobar, lo cual fomenta un enfoque más completo, podría ser y cercano al mundo real (como mi especialidad, cabeceras de seguridad [xD]).

No existen los flags y no era ir de lleno a explotar vulnerabilidades (a pesar de que igual me lo tome como CTF, hasta que tuve que cambiar el énfasis para cubrir de mejor manera el aplicativo y poder aprobar).

Luego de rendir esta certificación, me he desenvuelto de mejor manera en mis actividades y he mejorado la calidad de mis hallazgos tanto a la hora de identificar, entender y reportar.

Consejos

Dentro de las cositas que puedo comentar para que puedan abordar de mejor manera la certificación son las siguientes:

Tener una buena metodología.
Además del curso, practicar en PortSwigger/TryHackMe.
Organizar muy bien el tiempo.
No confiarse.
Tomar descansos y despejarse.
Salir a caminar / tomar aire fresco.
Comer y beber agua (en mi caso Coca Cola Zero 👻).
Documentar los hallazgos al momento de encontrar algo.
Tomar notas sobre el funcionamiento de la aplicación o similar.
Tener lista la estructura del informe y avanzar con cositas, como tabla de hallazgos, criterios, etc.

Quizás me olvidé de alguno, pero con estos consejos es más que suficiente.

Fin

Espero que te haya gustado esta review y sea de utilidad para alguno, con esto me despido y nos vemos en una próxima entrada.