สอบ OSWE ครั้งแรกและการเตรียมตัว ฉบับปี 2026
OSWE (OffSec Web Expert) เป็นใบรับรองจาก Offensive Security ค่ายเดียวกับที่ออก OSCP ซึ่งคนในวงการ Pentest น่าจะคุ้นหน้าคุ้นตากันดีอยู่แล้ว โดย OSWE มุ่งเน้นที่การทดสอบเจาะระบบแบบ White-box คือผู้สอบจะได้รับ Source Code ของ Web Application มา แล้วต้องหาช่องโหว่จากโค้ดเอง จากนั้นต้องเขียนและ Script โจมตีให้ได้ภายใน 47 ชั่วโมง 45 นาที แล้วส่งรายงานอีก 24 ชั่วโมง รวมทั้งหมดประมาณ 72 ชั่วโมง
ผมทำงานด้าน Web Application Penetration Testing มาสักพักแล้ว รู้สึกว่าส่วนใหญ่ที่ทำมักจะเป็น Black-box เลยอยากลองด้าน Code Review ด้วย OSWE จึงเป็นตัวเลือกที่ตรงที่สุดครับ
รายละเอียดของ OSWE
ราคา: ราคาคอร์สฝึกอบรมรวมถึงการสอบอยู่ที่ประมาณ $1,749 (ประมาณ 60,000 บาท) สำหรับการเข้าถึง Lab เป็นเวลา 90 วัน
เหมาะสำหรับ: ผู้ที่ทำ Web Penetration Testing มาสักพักแล้ว และต้องการพัฒนาทักษะ Secure Code Review รวมถึง Developer หรือ DevSecOps ที่อยากเข้าใจโค้ดของตัวเองในมุมมองของผู้โจมตี
เนื้อหาของคอร์ส WEB-300 ครอบคลุมหัวข้อต่าง ๆ เช่น:
- Blind SQL Injection แบบที่ต้องเขียน Script ดึงข้อมูลเองทั้งหมด
- Authentication Bypass หลายรูปแบบ ทั้ง Logic Flaw และ Token Forgery
- Server-Side Request Forgery (SSRF)
- JavaScript Prototype Pollution
- Insecure Deserialization ทั้ง .NET และ Python
- Server-Side Template Injection (SSTI)
- Cross-Site Scripting, CSRF และ Session Hijacking
- XML External Entity (XXE)
- Input Whitelist Bypass และ Weak Random Number Generator
- Remote Code Execution
โดยภาษา Source Code ที่ต้องอ่านได้ในคอร์สครอบคลุม Java, PHP, Python, Node.js, C# และ Go
โครงสร้างข้อสอบ
โครงสร้างของเครื่องที่ใช้ในการสอบ OSWE:
เครื่องจำนวน 2 เครื่อง แต่ละเครื่องมีเป้าหมาย 2 ขั้น:
- Authentication Bypass → ได้ local.txt 35 คะแนน
- Remote Code Execution → ได้ proof.txt 15 คะแนน
รวมเป็นคะแนนเต็ม 100 คะแนน โดยต้องทำให้ได้ 85 คะแนนเพื่อผ่าน
OffSec เตรียม Debug Machine ที่เหมือนเครื่องจริงทุกอย่างยกเว้นไม่มี Flag ให้ทดสอบ Exploit ก่อนรันกับเครื่องจริง
ขั้นตอนการเตรียมตัวก่อนสอบ
สำหรับผมทำ Web Pentest มาก่อนแล้ว เลยข้ามพื้นฐานไปได้บ้าง แต่ยังมีจุดที่ต้องเตรียมเพิ่มครับ
สิ่งที่ช่วยได้มากก่อนสอบ:
- อ่านเนื้อหา Lab ในคอร์สให้ครบก่อน เนื้อหาออกแบบมาสำหรับการสอบโดยเฉพาะ
- Pentester Lab ช่วยฝึกเรื่อง Secure Code Review
- ฝึกเขียนสคริปต์ให้คล่อง การสอบต้องเขียนสคริปต์เอง การเตรียม Template ไว้จะประหยัดเวลาได้เยอะ
- ฝึก Remote Debug แบบ Step-through กับโค้ดจริง ๆ ภายในเครื่องเป้าหมายให้ชำนาญ หรือใช้ X11 ก็ได้ครับ เพราะในการสอบจริงไม่สามารถดึงโค้ดออกมาข้างนอกได้ ทุกอย่างต้องทำบนเครื่องนั้นเลยครับ
- วันก่อนสอบให้เช็คอุปกรณ์ อินเทอร์เน็ต และเครื่องมือต่าง ๆ ให้พร้อม เตรียมบัตรประชาชนหรือ Passport สำหรับยืนยันตัวตนไว้ วางแผนเวลาพักและเวลานอนให้ดีครับ
เป้าหมายการสอบ
เป้าหมายคือ Single Exploit Script ตั้งแต่การเจาะผ่านระบบล็อกอิน (Authentication Bypass) ไปจนถึงการควบคุมเซิร์ฟเวอร์เป้าหมายได้จากระยะไกล (Remote Code Execution) โดยไม่ต้องอาศัยการโต้ตอบจากผู้ใช้งานใด ๆ ทั้งสิ้น
-
Before execution: สามารถตั้ง Netcat Listener หรือ Apache Webserver รอไว้ล่วงหน้าก่อนจะสั่งรันสคริปต์ได้
-
After execution: หากว่าได้ Reverse Shell สามารถเข้าไปเก็บ Flag และพิมพ์คำสั่ง ifconfig/ipconfig เพื่อแสดงหมายเลข IP ด้วยตัวเองได้ แต่ในกรณีที่ไม่ได้ Reverse Shell สคริปต์จะต้องดึง Flag มาแสดงด้วยครับ
ใน Control Panel เราสามารถกด Revert เครื่องโจทย์ได้ทุกเครื่องรวมกันสูงสุด 50 ครั้ง หลังจากเขียน Script เรียบร้อยแล้ว แนะนำให้ลอง Revert Machine ให้อยู่ใน State เริ่มต้น แล้ว Exploit 2–3 ครั้ง เพื่อให้แน่ใจว่ามันทำงานได้ปกติ
รายงาน
Report ผมใช้ตาม Template ของ OffSec เลยครับ
Link: OSWE Report Template
ก่อนส่งรายงาน ควรอ่านแนวทางการส่งรายงานให้ละเอียดก่อนเสมอ และสำหรับ OSWE โดยเฉพาะ Exploit Script จะต้องอยู่ในไฟล์ PDF ของรายงานด้วยครับ
Link: Submission Instructions
ข้อควรระวัง
- ห้ามใช้ AI หาข้อมูลระหว่างการสอบ
- ห้ามใช้ Source code analyzers
- ห้ามใช้ Automatic exploitation tools เช่น SQLMap
- ห้ามมีโทรศัพท์หรืออุปกรณ์อื่นบนโต๊ะ
- ต้องแจ้ง Proctor ทุกครั้งก่อนลุกออกจากที่นั่ง
สรุป
ข้อสอบเน้นการอ่านโค้ดและ debug เป็นหลัก โค้ดที่เจอมักซับซ้อนและมีทางให้หลงเยอะ หากตามเส้นทางโค้ดแล้วไม่พบช่องโหว่ ให้มองหาจุดอื่นต่อได้เลย แต่ถ้าลองหมดทุกทางแล้วยังไม่เจออะไร อาจแปลว่ายังอ่านโค้ดมาไม่ครบ ให้กลับไปวางแผนโครงสร้างใหม่ตั้งแต่ต้นครับ
สิ่งสำคัญที่อยากฝากไว้:
- เตรียม Template Code ตั้งแต่ตอนเรียน Lab เพราะในสอบต้องเขียน Exploit ที่รันทุกอย่างอัตโนมัติตั้งแต่ Authentication Bypass ถึง RCE
- Screenshot ทุก Step ระหว่างสอบ ช่วยได้มาก
- วางแผนการนอนให้ดี
- หยุดพักถ้าตันเกิน 1 ชั่วโมง
หลังจากส่ง Report จะใช้เวลาตรวจและแจ้งผลไม่เกิน 10 วันทำการ เคสของผมใช้เวลา 3 วันก็ได้รับอีเมลแจ้งมาว่าผ่านครับ
Source: https://credentials.offsec.com/f08c48d6-f320-4499-bd45-f5bf780b2e12
ถ้าหากมีข้อสงสัยเพิ่มเติมสามารถทักมาสอบถามได้ครับ
- Linkedin: Kongkit Chatchawanhirun
ขออนุญาตขายของนิดนึงนะครับ
ที่ Reconix ทีมของเรานำเทคนิคจาก OSWE และ Certifications ระดับสูงอื่น ๆ มาใช้ใน การทดสอบเจาะระบบ Web Application และ บริการ Secure Code Review ให้กับองค์กรในไทย ช่วยค้นหาช่องโหว่ในระบบก่อนที่แฮกเกอร์จะโจมตีครับ
บริการที่เกี่ยวข้อง
หากคุณสนใจทดสอบความปลอดภัยของ Web Application และ Source Code ขององค์กร สามารถดูบริการของเราได้:
- การทดสอบเจาะระบบ — บริการทดสอบเจาะระบบแบบครบวงจรสำหรับองค์กรในประเทศไทย
- Secure Code Review — ตรวจสอบ Source Code เพื่อหาช่องโหว่ก่อน Deploy ใช้เทคนิคจาก OSWE และ Certifications ระดับสูง
- บริการให้คำปรึกษาด้านความปลอดภัยไซเบอร์ — คำปรึกษาเชิงกลยุทธ์ด้านความปลอดภัยสำหรับองค์กร
ติดต่อเราเพื่อขอคำปรึกษาเกี่ยวกับการรักษาความปลอดภัยระบบเครือข่ายของคุณ
