Certified Bug Bounty Hunter

𝄞 Introduction

Le 20 mai 2024, j’ai obtenu ma certification CBBH.

𝄞𝄞 Qu’est-ce que la CBBH ? ?

La certification Certified Bug Bounty Hunter (CBBH) de HackTheBox est une certification qui offre une solide base dans les différentes techniques de hacking web utilisées pour exploiter des vulnérabilités dans les applications web, telles que le Cross-Site Scripting (XSS), le Local File Inclusion (LFI), le Server-Side Request Forgery (SSRF), le Cross-Site Request Forgery (CSRF) etc.

Cette certification s’adresse à un public varié, allant des débutants aux professionnels de niveau intermédiaire. Pour les débutants, la CBBH commence par les fondamentaux, expliquant le fonctionnement du web, l’utilisation de proxy comme Burp Suite ou OWASP ZAP, et bien d’autres choses. Elle permet d’acquérir une compréhension approfondie et structurée des concepts essentiels du hacking web.

Pour ceux qui possèdent déjà des connaissances de base, certains modules de la certification sont suffisamment avancés pour approfondir leurs compétences. Ces modules couvrent des techniques complexes, comme la manière de contourner divers filtres de sécurité et d’exploiter des vulnérabilités de manière plus sophistiquée.

𝄞𝄞 La formation

Au niveau du contenu des cours on peut les retrouver ici HTB dans “Related job-role-path”

On va avoir au total 20 modules :

• Web Requests
• Introduction to Web Applications
• Using Web Proxies
• Information Gathering - Web Edition
• Attacking Web Applications with Ffuf
• JavaScript Deobfuscation
• Cross-Site Scripting (XSS)
• SQL Injection Fundamentals
• SQLMap Essentials
• Command Injections
• File Upload Attacks
• Server-side Attacks
• Login Brute Forcing
• Broken Authentication
• Web Attacks
• File Inclusion
• Session Security
• Web Service & API Attacks
• Hacking WordPress
• Bug Bounty Hunting Process

L’ensemble de ces modules est découpé en sections. Chaque module permet d’acquérir une bonne connaissance des différentes attaques possibles sur une application web, ce qui est particulièrement utile lors des compétitions de CTF ou des sessions de bug bounty pour tester diverses techniques. Les cours sont bien structurés, avec des exercices réguliers pour mettre en pratique les concepts appris dans chaque section, et des évaluations de compétences “skills assessments” pour valider la compréhension du module.

Certaines modules sont plus approfondies, comme par exemple le module sur l’injection de commande, que j’ai trouvé particulièrement intéressant et bien détaillé. Ce module plonge profondément dans les techniques et les stratégies pour exploiter cette vulnérabilité, contourner certain filtre assez poussé etc.

D’autres modules, en revanche, servent davantage d’introduction. Par exemple, le module sur les attaques contre les services web et les API (Web Service & API Attacks) se limite à démontrer comment utiliser certaines attaques telles que XSS, LFI, SSRF, et XXE sur des endpoints d’API. Bien que ce module ne soit pas très poussé, il offre une vue d’ensemble utile pour comprendre comment ces vulnérabilités peuvent s’appliquer dans un contexte API.

𝄞𝄞 L’examen

L’examen dure 7 jours et pour le valider, deux conditions doivent être remplies :

• Obtenir au moins 80 points sur 100
• Soumettre un rapport en anglais

Pendant l’examen, vous avez un certain nombre de sites web à pirater. Chaque endpoint contient un “user flag” et un “root flag”. Chaque flag rapporte entre 5 et 15 points. Vous devez donc accumuler suffisamment de flags pour atteindre au moins 80 points. Pendant l’examen, vous êtes autorisé à consulter vos cours, accéder à internet, utiliser votre propre machine avec le VPN de HackTheBox pour attaquer l’infrastructure, ou utiliser la Pwnbox.

À plusieurs reprises, en raison de problèmes de VPN, j’ai dû jongler entre ma machine et la Pwnbox, mais je pense que c’était dû à ma connexion plutôt qu’au réseau de HackTheBox.

Le rapport

HackTheBox fournit un modèle de rapport que vous pouvez utiliser comme base. Pour que le rapport soit validé, il est essentiel qu’il soit bien structuré et comporte plusieurs captures d’écran. L’idée est qu’un débutant doit pouvoir reproduire exactement ce que vous avez fait pour trouver les flags.

Personnellement, dans mon rapport, j’ai inclus des captures d’écran de tous les flags que j’ai trouvés, expliqué en détail comment j’ai exploité chaque vulnérabilité, et donné des conseils de remédiation. Mon rapport final faisait 50 pages.

HackTheBox peut prendre jusqu’à 20 jours ouvrables pour vous donner les résultats. J’ai reçu mes résultats au bout de 6 jours, par un mail m’informant que j’avais validé la certification.

𝄞 Conclusion

J’ai trouvé les cours HackTheBox très intéressants. Ils m’ont permis d’apprendre de nombreuses choses utiles et de revoir certaines bases pour les solidifier. L’examen en lui-même était stimulant. Il est tout à fait possible de réussir l’examen en suivant simplement les modules et en prenant des notes tout au long de l’apprentissage. Cependant, il est toujours conseillé de s’entraîner également sur d’autres plateformes afin d’augmenter ses chances de réussite et d’approfondir ses connaissances.