После успешной сдачи OSCP и CRTP, я начал поиск вакансий в сфере пентестинга и заметил, что большинство работодателей ищут веб- и моб-пентестеров. Хваленый и суперпопулярный OSCP очень слабо покрывает направление веб-пентеста, а CRTP - это все про AD.
После неудачного поиска работы я решил дальше учиться, чтобы подтянуть свои навыки в вебе и в будущем заняться баг-хантингом. Несмотря на мой список сертификатов (OSCP, CRTP, PNPT, PJPT, CompTIA A+, Network+, Security+), меня так никуда и не позвали на собеседования :) Без подходящего опыта работы и знакомств пробиться оказалось очень сложно, поэтому я решил делать упор на специализацию в вебе и получить опыт в баг-хантинге.
Я люблю получать сертификаты, так как это подтверждение моих з��аний. Иначе после прохождения обучения очень сложно доказать работодателю при просмотре резюме, что я что-то действительно знаю.
После небольшого исследования мой выбор пал на два сертификата: Certified Web Exploitation Specialist (HTB CWES) от HTB и Burp Suite Certified Practitioner (BSCP) от PortSwigger.
Ранее, во время подготовки к OSCP, я проходил различные обучающие модули от HTB (AD, SQLi и прочее). Мне тогда контент очень сильно зашел, поэтому я решил взяться именно за этот сертификат.
Для получения этого сертификата нужно выполнить три условия:
Пройти все обучающие материалы по пути Web Penetration Tester path.
Сдать экзамен и набрать минимум 80 баллов из 100.
Написать профессиональный отчет.
Обучение
Важный момент: чтобы вас вообще допустили к экзамену, нужно закрыть все обучение на 100% и решить тестовые задания (skills assessment) в конце каждого модуля. Без этого доступ к экзамену закрыт.
Всего порядка 20 модулей. Сложность варьируется от легкой до средней. Весь материал представлен в виде текста, никаких видео или презентаций здесь нет. Пару раз у меня возникали сложности с задачами, но подсказки в интернете и официальном Discord-канале HTB выручают.
К самому контенту вопросов вообще нет: всё четко, ясно и по делу. Видно, что некоторые модули писали опытные пентестеры - они иногда делятся историями из реальной практики, что очень круто.
Список всех модулей можно посмотреть на сайте HTB Academy, выбрав Web Penetration Tester path.
Минусы подготовки
Главный минус, который я бы отметил - это очень малое количество практики. Да, в конце каждог�� модуля есть задания, но когда ты их решаешь, ты уже заранее знаешь, какую уязвимость искать. Это сильно облегчает работу.
На реальном же экзамене тебе просто дают приложение, которое нужно взломать, и ты сам должен догадаться, на что его тестить. Было бы отлично, если бы в конце всех модулей добавили одну большую лабу с несколькими приложениями для имитации экзамена. Также не помешал бы общий список отдельных машин для дополнительной тренировки. В общем, практики для нормальной подготовки мне показалось очень-очень мало.
Экзамен
Сразу отмечу большой плюс - ничего бронировать заранее не нужно. Можно в любой момент зайти на платформу и нажать кнопку старта. На всё дается 7 дней: в это время входит и доступ к лабе, и написание отчета. Дополнительного времени на отчет не выделяют, так что это нужно учитывать.
В экзамене будет несколько приложений, где нужно собрать user и root флаги. Обычно для взятия одного флага требуется одна уязвимость или цепочка из двух. Часто для эксплуатации нужно сделать что-то «экстра» или применить какой-то «трюк», до которого нужно догадаться. Хотя бывали и флаги, которые брались чисто «по учебнику», как в заданиях после модулей.
В целом сложность была на уровне skills assessment, местами чуть сложнее. Я собрал все флаги на 4-й день, после чего сел за отчет.
Из минусов я бы выделил длительность - 7 дней это реально много. Мне пришлось подгадывать под новогодние праздники, чтобы не брать отпуск на работе, а это сомнительное удовольствие. Морально тяжело сидеть за задачами, когда все вокруг отдыхают. Мне кажется, количество дней и задач можно было бы сократить.
Также важно понимать: без дополнительного опыта в решении сторонних задач (помимо тех, что есть в модулях) сдать экзамен будет очень тяжело. Только теории из обучения может не хватить.
Из плюсов отмечу очень стабильную среду - всё работало четко, без лагов и вылетов, что для таких долгих экзаменов критично. Некоторые задачки мне действительно понравились своим исполнением.
Хватает ли обучения?
Главный вопрос: «Хватает ли модулей для прохождения?» И да, и нет. Технике эксплуатации в модулях учат отлично, но, как я говорил, на экзамене часто нужны «трюки», которых в обучении нет. До них придется доходить своим умом.
Написание отчета
Для успешной сдачи недостаточно просто собрать флаги - нужно сдать профессионально написанный отчет. Многие советуют отнестись к этому серьезно: бывали случаи, когда люди проваливали экзамен именно из-за слабого репорта. Это не просто walkthrough, а полноценное описание каждой уязвимости: ее импакт, баллы по CWE и CVSS, методы митигации и подробное step-by-step решение. Шаблон отчета HTB предоставляют, так что примерно понятно, что они хотят там видеть.
Я писал свой отчет в Sysreptor - это специальный софт, который сильно облегчает жизнь. Прога помогает грамотно все оформить в фирменных цветах HTB, сама делает оглавление и структуру. Например, если нашли SQL-инъекцию, просто нажимаете «add new finding», выбираете SQLi из списка, и у вас создается готовая глава. Там уже частично заполнены причины появления уязвимости, баллы CVSS/CWE и методы исправления. Вам остается только добавить свои шаги эксплуатации.
Важный нюанс по Sysreptor: облачная версия у них платная. Но можно бесплатно развернуть серверную часть у себя на VM, а заходить через веб-панель со своей Kali или основной машины. Я советую установить и запустить его заранее, до начала экзамена, чтобы не тратить время. У меня, например, Sysreptor не запустился на Kali, пришлось накатывать Ubuntu и разворачивать там. В итоге я потратил часа полтора только на установку и настройку, что во время экзамена лишний стресс.
Сам отчет я написал примерно за 5-6 часов. Потом лег спать и утром на свежую голову всё перепроверил. Проверка отчета у HTB занимает до 20 бизнес-дней.
UPD: Свой отчет я сдал 7 января в обед, а уже 9 января вечером пришел положительный ответ. Итого проверка заняла чуть больше двух дней.
Стоимость
Теперь о финансовой стороне вопроса. На текущий момент (на��ало 2026 года) есть разные пути, как оплатить обучение и экзамен. Я бы выделил два из них:
Годовая подписка (Silver Annual): Она стоит $490. В нее входит полный доступ к «Web Penetration Tester path» и один ваучер на экзамен. Это самый простой вариант - купил и забыл.
Покупка через внутреннюю валюту (кубики): Если не хочется отдавать всю сумму сразу, можно покупать кубики и открывать модули по одному. Весь путь Web Penetration Tester требует 1410 кубиков. 1000 кубиков стоят примерно $100, так что все модули обойдутся около $150. Плюс нужно будет отдельно купить ваучер на экзамен - он стоит $210. Итого выйдет около $360.
Все детали по тарифам всегда можно проверить на их странице биллинга.
Мои советы:
Заметки. Обязательно ведите подробные конспекты. В обучающих модулях часто встречаются мелкие детали, которые могут стать прямой подсказкой на экзамене. Записывайте всё, чтобы потом быстро найти через поиск.
Проходите Skills Assessment дважды. Перед тем начать экзамен, прорешайте финальные задания модулей еще раз. Также советую перечитать теорию, чтобы свободно в ней ориентироваться. Во время экзамена вы 100% будете возвращаться к тексту модулей в поисках идей.
Нужна доппрактика. Как я уже говорил, одних модулей может быть мало. Опыт решения машин на основном ресурсе HTB будет бесценным. Некоторые советуют пройти трек Bug Bounty Hunter. Я сам его не проходил, так что ничего не могу сказать.
Фильтруйте рекоменда��ии. Например, я проходил путь CPTS от IppSec - для этого экзамена он практически бесполезен. Вам нужны машины, где требуется ручная работа, а не просто поиск готового эксплоита под старую версию приложения.
Список машин для подготовки Как я уже говорил, практики в модулях маловато, поэтому я бы посоветовал прорешать несколько машин на основной платформе HTB. Их немного, но это точно лучше, чем ничего, и они помогут набить руку в мануальной эксплуатации:
Union
Soccer
Delivery
Shoppy
BountyHunter
Cronos
Итог
В целом, могу рекомендовать данный сертификат - он хорош в плане контента и много чему научит. Что касается популярности: в вакансиях я его почти не встречал, однако многие практикующие пентестеры его знают и даже требуют наличие этого сертификата.
Надеюсь, мой обзор был полезен! Если остались вопросы по подготовке к CWES или просто хотите пообщаться - добавляйтесь в LinkedIn!
