eWPT

• Pentesting
• certificaciones
• eLearnSecurity Web Application Penetration Tester

Información general de la certificación

La eWPT (eLearnSecurity Web Application Penetration Tester) es una certificación 100% práctica centrada en la evaluación de seguridad de aplicaciones web modernas. Evalúa la capacidad del candidato para identificar, explotar y reportar vulnerabilidades reales en entornos controlados similares a escenarios de producción.

• Orientada a pentesting web realista, no a preguntas teóricas.
• Examen basado en laboratorio hands-on con múltiples aplicaciones.
• Enfoque en metodología, pensamiento crítico y explotación manual.
• Ideal como paso previo a eWPTX / eCPPT / OSWE.

Versiones y evolución

• eWPT (v2)
  Centrada en fundamentos sólidos de seguridad web, OWASP Top 10, autenticación, sesiones y lógica de negocio.
• eWPTX (New 2024)
  Versión avanzada con mayor profundidad en:
  • Ataques complejos a APIs
  • Autenticación moderna
  • Explotación encadenada
  • Escenarios realistas tipo bug bounty
• eWPTX Certification (New 2024) - INE Security
• eWPT -

Alcance técnico evaluado

• Reconocimiento y mapeo de aplicaciones web
• Análisis de superficie de ataque
• Identificación de vulnerabilidades comunes y avanzadas
• Explotación manual sin depender exclusivamente de scanners
• Post-explotación a nivel aplicación
• Elaboración de informes técnicos claros y reproducibles

vulnerabilidades y técnicas clave

OWASP Top 10 y más allá

• Inyección SQL (clásica, blind, time-based)
• Cross-Site Scripting (reflejado, almacenado, DOM)
• Cross-Site Request Forgery (CSRF)
• Broken Authentication
• Broken Access Control (IDOR, privilege escalation)
• Security Misconfiguration
• File Inclusion (LFI/RFI)
• Command Injection
• Server-Side Template Injection (SSTI)
• Deserialización insegura

Autenticación y sesiones

• Análisis de flujos de login
• Bypass de autenticación
• Manipulación de cookies y tokens
• JWT attacks (algoritmo none, weak secrets)
• Session fixation y hijacking

Lógica de negocio

• Flujos no documentados
• Bypass de validaciones del lado cliente
• Race conditions
• Abuso de funcionalidades legítimas

APIs y servicios web

• REST APIs
• Falta de autenticación/autorización
• Mass assignment
• Enumeración de endpoints
• Abuso de métodos HTTP

Metodología de pentesting web aplicada

• Recolección de información pasiva y activa
• Enumeración de rutas, parámetros y funcionalidades
• Identificación de vectores de ataque
• Explotación controlada
• Validación de impacto
• Documentación clara de hallazgos

Herramientas comúnmente utilizadas

• Burp Suite (Proxy, Repeater, Intruder)
• OWASP ZAP
• sqlmap (uso controlado y validación manual)
• ffuf / wfuzz
• nikto
• curl / httpie
• Navegador con extensiones de análisis
• Herramientas personalizadas y scripts propios

Reporting y documentación

El reporte es parte fundamental de la evaluación.

• Descripción clara de la vulnerabilidad
• Evidencia reproducible
• Impacto técnico y de negocio
• Pasos de explotación

• Recomendaciones de mitigación

• GitHub - anontuttuvenus/eWPT-Report-Template: Exam Report Template - eWPT

Recursos de estudio y preparación

Notas y guías comunitarias

• GitHub - dev-angelist/eWPTv2-Notes: INE/eLearnSecurity Web Application Penetration Tester (eWPTv2) Notes
• GitHub - CyberSecurityUP/eWPT-Preparation
• GitHub - Certs-Study/eWPT-Web-Application-Penetration-Tester
• eWPTv2-Notes/ewpt-cheat-sheet.md at main · dev-angelist/eWPTv2-Notes · GitHub

Estrategias de preparación

• Practicar laboratorios web vulnerables
• Reforzar OWASP Top 10 con explotación manual
• Entrenar lectura de código cuando sea posible

• Documentar cada laboratorio como si fuera un cliente real

• Pass the eWPT Exam in 2023 Using Free Resources

Relación con otras certificaciones

• Prepara para eWPTX
• Base sólida para eCPPT
• Complementaria a OSCP (enfocada específicamente en web)
• Muy alineada con mentalidad bug bounty

Temario eWPT (Web Application Penetration Tester)

1. Procesos y Metodologías de Penetration Testing Web

Descripción de metodologías de análisis y pruebas de aplicaciones web

• Uso de guías estándar y mejores prácticas (como OWASP WSTG)
• Planeación y alcance de pruebas
• Enfoque sistemático de testing
• Evaluación de riesgo y priorización

2. Recolección de Información y Reconocimiento

Objetivos de información previa a pruebas activas

• Reconocimiento pasivo y activo
• Técnicas de OSINT aplicadas a aplicaciones web
• Descubrimiento de dominios, subdominios e IPs
• Análisis de metadatos de servicios y servidores
• Enumeración de endpoints y parámetros implicados
• INE Security - eWPT
• Guía OWASP WSTG

3. Análisis e Inspección de Aplicaciones Web

Comprender la estructura y tecnologías de la aplicación

• Detección de tecnologías backend y frameworks
• Identificación de componentes públicos y privados
• Búsqueda de directorios ocultos y rutas no expuestas
• Evaluación de métodos HTTP y su correcta implementación

4. Evaluación de Vulnerabilidades en Aplicaciones Web

Identificación y explotación de fallos comunes y misconfiguraciones

• Credenciales por defecto y contraseñas débiles
• Bypass de autenticación
• Exposición de información sensible
• Chequeo de configuraciones del servidor web
• Análisis de control de acceso

5. Pruebas de Seguridad en Aplicaciones Web

Pruebas activas de vulnerabilidades concretas

• Directory Traversal
• Fallos en carga de archivos (file upload)
• Local File Inclusion (LFI) y Remote File Inclusion (RFI)
• Gestión de sesiones y cookies inseguras
• Explotación de componentes desactualizados
• Fuerza bruta en formularios de autenticación
• Inyección de comandos del sistema operativo

6. Explotación Manual de Vulnerabilidades Comunes

Prácticas de explotación sin depender únicamente de herramientas automáticas

• Cross-Site Scripting (Reflejado y Persistente)
• SQL Injection (todas las variantes)
• Vulnerabilidades en CMS (WordPress, Joomla u otros)
• Extracción de datos y credenciales de bases de datos
• Otras inyecciones (XPath, NoSQL, dependiendo de versión y actualización)

7. Pruebas de Seguridad de Servicios Web/API

Netflix de servicios y puntos de ataque en servicios web modernos

• Enumeración de servicios y endpoints
• Autenticación y autorización en APIs
• Manipulación de formatos JSON/XML
• Testing de web services SOAP/REST (según disponibilidad del entorno)

8. Temas Adicionales de Relevancia (complementarios)

(Estos pueden estar en el entrenamiento del curso aunque pueden variar según versión)

• Arquitectura de aplicaciones web (MVC, SPAs, microservicios)
• Mapeo y superficie de ataque
• Vulnerabilidades de lógica de negocio
• Vulnerabilidades del lado cliente (CSRF, clickjacking, CORS, HTML Injection)
• Técnicas de evasión de filtros y encoding/decoding

9. Reporting y Documentación de Hallazgos (implícito en examen práctico)

La presentación de resultados es parte clave de la certificación

• Documentar vulnerabilidades con evidencia reproducible
• Evaluación de impacto técnico y de negocio
• Recomendaciones de mitigación
• Redacción de informes claros y concisos
• Plantilla de report eWPT

Recursos y Tools para eWPT (2025)

Herramientas de Pentesting Web (actualizadas 2025)

Lista de herramientas populares, útiles para preparar y realizar pentesting web (dinámico y manual), integrables en ejercicios tipo eWPT.

• Burp Suite – Suite líder para pruebas de aplicaciones web con proxy, scanner, repeater e intruder. Incluye edición Community y Professional.
  Burp Suite

• OWASP ZAP (Zed Attack Proxy) – Herramienta open‑source con escaneo activo y pasivo, fuzzing y scripting para automatización/manual.
  OWASP ZAP

• sqlmap – Escáner automático para detectar y explotar inyecciones SQL.
  sqlmap

• w3af – Framework para escaneo y explotación de vulnerabilidades web con GUI y CLI.
  w3af

• Nikto – Escáner de servidores web para versiones antiguas, configuraciones débiles y fallos conocidos.
  Nikto

• Nessus – Escáner de vulnerabilidades general con detección de fallos web y priorización de riesgos.
  Nessus

• Nmap – Escáner de redes utilizado para reconocimiento inicial y enumeración de servicios web.
  Nmap

• Astra Pentest – Plataforma de pentesting continuo para aplicaciones web y APIs.
  Astra Security

• Invicti (ex‑Netsparker) – Escáner automatizado de aplicaciones web y APIs con validación de exploits.
  Invicti

• Acunetix – Scanner comercial para vulnerabilidades OWASP Top 10 y testing de APIs.
  Acunetix

• Dradis Framework – Plataforma colaborativa para gestión de hallazgos y reporting de pentesting.
  Dradis

• OpenVAS / Greenbone – Escáner de vulnerabilidades open‑source con soporte web.
  Greenbone OpenVAS

Recursos de Aprendizaje y Preparación

Recursos online y cursos vigentes hasta 2025 para reforzar práctica y teoría enfocada a eWPT.

• PortSwigger Web Security Academy – Laboratorios gratuitos y guiados sobre vulnerabilidades web reales.
  Web Security Academy

• INE Security – eWPT – Página oficial de la certificación y contenidos relacionados.
  eWPT INE

• Udemy – Web Application Pentesting – Cursos prácticos centrados en Burp, ZAP, SQLi y XSS.
  Udemy Web App Hacking

Recursos de Estudio / Teoría

Textos, guías y repositorios útiles para profundizar conceptos clave evaluados en el examen.

• OWASP Web Security Testing Guide (WSTG) – Referencia principal para metodología de testing web.
  OWASP WSTG

• OWASP Top 10 (2021–2025) – Principales riesgos de seguridad en aplicaciones web.
  OWASP Top 10

• Repositorios comunitarios eWPT

  • eWPTv2 Notes
  • eWPT Preparation
  • Certs Study – eWPT

Automatización y Técnicas Complementarias

Herramientas y enfoques modernos que complementan el testing manual.

• ffuf – Fuzzer rápido para enumeración de directorios, parámetros y APIs.
  ffuf

• wfuzz – Fuzzing avanzado de parámetros y rutas web.
  wfuzz

• httpx – Enumeración y validación de servicios HTTP.
  httpx

• ProjectDiscovery Tools – Conjunto moderno para reconocimiento web (nuclei, subfinder, httpx).
  ProjectDiscovery

Consejos de Setup y Flujo de Trabajo

Recomendaciones prácticas orientadas al examen eWPT.

• Usar Kali Linux o entorno similar con proxy configurado desde el navegador.
• Priorizar testing manual con Burp Repeater antes de automatizar.
• Mantener diccionarios y payloads actualizados para fuzzing.
• Documentar cada hallazgo como si fuera un informe real.
• Utilizar una plantilla de reporte clara y reproducible.

Guía práctica eWPT – Labs por niveles y Casos de Uso

Nivel 0 – Fundamentos Web y Entorno

Objetivo: dominar el funcionamiento básico de aplicaciones web y el entorno de testing.

Labs recomendados

• PortSwigger Web Security Academy – Fundamentals
  • HTTP basics
  • Request/Response
  • Cookies y sesiones
  • Same-Origin Policy
• OWASP Juice Shop (local)
  • Instalación y navegación básica
  • Identificación de funcionalidades

Casos de uso

• Interceptar tráfico HTTP/HTTPS con Burp
• Modificar headers y parámetros simples
• Identificar endpoints ocultos mediante navegación manual
• Comprender flujos de autenticación básicos

Nivel 1 – Reconocimiento y Enumeración

Objetivo: mapear la superficie de ataque de una aplicación web.

Labs recomendados

• PortSwigger – Information Disclosure
• OWASP Juice Shop
  • Score Board (reconocimiento)
• DVWA (Low / Medium)

Casos de uso

• Enumeración de rutas y archivos sensibles
• Descubrimiento de parámetros GET/POST
• Identificación de tecnologías backend
• Uso de ffuf / wfuzz para descubrimiento controlado
• Análisis de robots.txt, sitemap, backups y comentarios

Nivel 2 – Vulnerabilidades Web Clásicas

Objetivo: identificar y explotar vulnerabilidades OWASP Top 10.

Labs recomendados

• DVWA (Medium / High)
• PortSwigger Labs
  • SQL Injection
  • XSS (Reflected / Stored / DOM)
  • CSRF
  • File Path Traversal
• bWAPP

Casos de uso

• Explotar SQLi manualmente sin automatización
• Robar sesiones mediante XSS
• Acceder a archivos del sistema con LFI
• Abusar de formularios sin protección CSRF
• Validar impacto real de cada vulnerabilidad

Nivel 3 – Autenticación, Sesiones y Control de Acceso

Objetivo: romper mecanismos de autenticación y autorización.

Labs recomendados

• PortSwigger – Authentication & Access Control
• OWASP Juice Shop
  • Broken Authentication challenges
• Hack The Box – Web Challenges (Easy/Medium)

Casos de uso

• Bypass de login mediante manipulación de parámetros
• Fuerza bruta controlada en formularios
• Session fixation y session hijacking
• IDOR y escalada horizontal/vertical
• Análisis de JWT (claims, firmas, expiración)

Nivel 4 – Lógica de Negocio y Vulnerabilidades Avanzadas

Objetivo: identificar fallos no evidentes ni automatizables.

Labs recomendados

• PortSwigger – Business Logic Vulnerabilities
• OWASP Juice Shop
  • Logic flaws
• Custom labs (apps de prueba)

Casos de uso

• Abuso de flujos de compra
• Bypass de validaciones del lado cliente
• Race conditions
• Uso indebido de funcionalidades legítimas
• Encadenamiento de vulnerabilidades

Nivel 5 – APIs y Servicios Web

Objetivo: evaluar seguridad en APIs modernas.

Labs recomendados

• PortSwigger – API Testing
• OWASP API Security Top 10 Labs
• Postman / Burp API testing

Casos de uso

• Enumeración de endpoints REST
• Broken Object Level Authorization (BOLA)
• Mass Assignment
• Manipulación de JSON/XML
• Testing de métodos HTTP no documentados

Nivel 6 – Explotación Manual y Post‑Explotación Web

Objetivo: ir más allá del bug y demostrar impacto real.

Labs recomendados

• Hack The Box – Web Challenges (Medium/Hard)
• VulnHub (máquinas web‑centric)

Casos de uso

• Obtener RCE desde una vulnerabilidad web
• Web shell y persistencia
• Acceso a base de datos y extracción de información
• Pivoting desde aplicación web
• Pruebas de impacto realista

Nivel 7 – Simulación de Examen eWPT

Objetivo: reproducir condiciones reales del examen.

Labs recomendados

• OWASP Juice Shop (full run)
• HTB / TryHackMe – máquinas web completas
• Laboratorios propios auto‑alojados

Casos de uso

• Reconocimiento completo sin pistas
• Identificación y explotación de múltiples vulnerabilidades
• Priorización de hallazgos
• Gestión del tiempo
• Documentación en formato profesional

Reporting orientado a eWPT

Objetivo: comunicar hallazgos de forma clara y evaluable.

Prácticas recomendadas

• Describir cada vulnerabilidad con contexto
• Incluir requests/responses relevantes
• Explicar impacto técnico y de negocio
• Proveer pasos de reproducción claros
• Proponer mitigaciones realistas

Lab de reporting

• Tomar cualquier lab completado
• Elaborar un reporte completo como si fuera el examen
• Usar una plantilla tipo eWPT

Progresión recomendada

• Nivel 0 → 1: comprensión del tráfico web
• Nivel 2 → 3: dominio de OWASP Top 10
• Nivel 4 → 5: mentalidad avanzada y APIs
• Nivel 6 → 7: preparación directa para examen