Oops!! I’m not born to be but I can be a Pentester ^^ (แนะแนวการทำงาน pentester)
เกริ่นก่อนว่าบล็อคนี้เป็นแค่การแชร์ประสบการณ์ความรู้สึกของ junior คนนึงเท่านั้นหลังเข้ามาทำงาน และหวังว่าบล็อคนี้จะเป็นประโยชน์ให้กับกลุ่มคนที่สนใจและอยากเริ่มต้นทำงานเป็น pentester
ก่อนเริ่มอ่านบล็อคนี้ อยากให้ลองจินตนาการเขียนลงกระดาษก่อนว่า pentester ในมุมที่เราเข้าใจคืออะไร แล้วหลังจากอ่านบล็อคนี้จบแล้ว คำตอบยังตรงกันไหม
Background ของผู้เขียน ก่อนได้มาทำงานเป็น pentester
- ไม่ได้จบสายคอมนะ จบวิศวอิเล็กทรอนิกส์และโทรคมนาคม
- หลังเรียนจบมีโอกาสได้งานเป็น web developer ราวๆเกือบ 2 ปีเต็ม
- เริ่มสนใจเรื่อง security หลังลองทำงานเป็น developer และมีโอกาสได้ทำงานอาสาเพื่อสังคมพวกกลุ่ม security community เลยค่อยๆซึมซับศัพท์จากคนรอบข้างไปเรื่อยๆ แล้วก็ลองเล่นแลปเอง
เห็น background แบบนี้คงรู้แล้วนะ ว่าเราเสมอกันจากคนที่ความรู้เป็น 0 ไม่รู้อะไรเลยเกี่ยวกับ security แล้วก็สามารถทำงานข้ามสายได้ทั้งที่ไม่ได้จบคอม คือวิศวะ อิเล็กฯ น่ะไม่ได้จับโค๊ดดิ้งมากเท่าไร ชั่วโมงบินไม่เท่าภาคคอมแน่นอน ทุกอย่างที่เกิดขึ้นหลังเรียนจบ ใช้คำว่าเรียนรู้ด้วยตัวเองและเข้าหาคนที่มีความรู้เพื่อเพิ่มโอกาสในการค้นหาข้อมูลเป็นแนวทางให้เราไปสู่เส้นทางค้นหาตัวตนว่าเราสามารถทำอะไรได้
Q&A คำถามแนะแนวอาชีพ
Q: มีโรงเรียนสอนในไทยไหม ?
A: การเรียนในระดับโรงเรียนในไทย ณ ปัจจุบันยังไม่เห็นที่ไหนบรรจุเข้าเป็นวิชาสอนแต่ในระดับของมหาวิทยาลัยมีในระดับป.โท ยกตัวอย่าง มหาวิทยาลัยมหิดล, มหาวิทยาลัยมหาสารคาม, มหาวิทยาลัยรังสิต เป็นต้น
Q: แนะนำคอร์สเรียนเกี่ยวกับ pentest ให้หน่อยได้ไหม ?
A: ถ้าแนะนำจะเน้นให้ไปเล่นแลปเกี่ยวกับเว็บมากสุดเพราะส่วนใหญ่งานที่จะได้ทำจะเป็นการหาช่องโหว่บนเว็บ
- Portswigger web security academy ตัวนี้มีทฤษฏีให้อ่านก่อนและแลปไล่จากง่ายไปยากค่อนข้างเยอะ โดยใช้ tool หลักแค่ Burp Suite สำหรับดักจับ request-response
- Secplayground แพลตฟอร์มของคนไทย มีทฤษฏีให้อ่านก่อนเริ่มแลปเป็นภาษาไทยและเมื่อทำจบแลปจะมีข้อมูลพวกข้อแนะนำการแก้ช่องโหว่ต่างๆให้ด้วย โดย tool ที่ใช้จะไม่จำกัดในหมวดของ web security อย่างเช่น การหาไฟล์ backup ที่อยู่บน web โดยใช้ gitdumper, Burp Suite, kali linux vm
-Pentesterlab อันนี้ก็มีทฤษฏีให้อ่านก่อนทำแลปเหมือนกันแต่เป็นภาษาอังกฤษ แต่ว่าเนื้อหาค่อนข้าง advance web pentest
-rootme เน้นเล่นไปทาง web server category มีทั้งแลปง่ายมากและยากปนๆกัน อันนี้ทฤษฏีก่อนเริ่มแลปจะเป็นลิงค์ให้ไปลองอ่านทำความเข้าใจเองหลายๆอัน
ปล.จริงๆมันมีแลปเจ้าอื่นที่มีเรื่อง web security อีกเยอะเพียงแต่ว่ามันอาจจะไม่ได้มีทฤษฏีให้อ่านก่อนเล่นแลปให้ทำความเข้าใจก่อนเหมือนอันที่แนะนำ
Q:การทำงานสาย pentest ต้องเรียนจบสาขาอะไร ?
A: ข้อนี้ไม่บังคับ แค่มีความรู้ที่เกี่ยวข้องหรือว่าสกิลถึง วัดที่สกิล เพราะตัวผู้เขียนไม่ได้จบสายตรงภาคคอม และก็เคยเห็นเพื่อนจบบัญชีมาก็มาทำได้ (ปล.ไม่ได้ความว่าทำงานข้ามสายจะเข้ามาทำสายนี้ง่ายนะ ย้ำ!!วัดที่สกิล) แต่ก็ควรมีความรู้พวก network, security, coding มาบ้าง อย่างเช่น javascript ทำงานยังไง OSI Layer กับ impact ที่เกิดขึ้น เรามองออกไหมว่าต้องใช้ tool ไหนให้เหมาะกับ layer นั้นๆ แล้ว Man in the middle ทำงานยังไง HTTPS คืออะไร ทำไมต้องมี secure flag ในเมื่อมี HTTPS แล้ว รู้จัก SSL Strip ไหม ตัว no-cache กับ no-store ต่างกันยังไง ถ้ามี no-store อย่างเดียวพอไหม แล้ว impact ของ no-cache คืออะไร เป็นต้น
คำแนะนำเพิ่มเติมถ้าเป็นศัพท์ security และข้อมูลข่าวใหม่ๆที่เป็นประโยชน์ ลองไปฟังจาก channel Chill Chill Security บน Spotify ได้ คำแนะนำเขาดีจริง><
Q:การทำงานเป็น pentest จำเป็นต้องมีใบ certificate อะไรไหม ?
A:ถ้าเริ่มต้นแบบ junior เลย คุณจะไม่มีเลยสักใบก็ได้ แต่ก็ย้ำอีกที ถึงแม้จะเป็น junior ก็ต้องมีสกิลเข้าไปอยู่ดี ในบางบริษัทอาจจะดู quality ว่าเคยเล่น Hackthebox มาอยู่ Rank ไหน หรือในบางบริษัทไม่ดูอะไรเลย ส่งแลปมาให้ทำก่อนสัมภาษณ์
พออ่านแบบนี้ บางคนอาจจะรู้สึกเหมือน certificate ไม่จำเป็น แต่ว่าเราจะรู้ได้ยังไงว่า security คืออะไร ถ้าเราไม่เคยสัมผัสอะไรมาก่อนเลย Certificate ตัวแรกที่ผู้เขียนลองคือ Comptia security+ เป็นแค่ cert. พื้นฐานสำหรับสาย security โดยรวม ไม่ได้ดีเด่นอะไรและเป็นสอบแบบทฤษฏี อยากแนะนำตัวนี้สำหรับคนที่สนใจและยังไม่รู้อะไรเลยเกี่ยวกับ security (ไม่แนะนำให้ไปลงคอร์สเรียนเพื่อสอบ เพราะมันจะไม่ได้อะไร ถ้าไม่ได้ใส่ใจให้ได้มาแต่ให้หาหนังสือที่เกี่ยวข้องกับ cert นี้อ่าน เพราะมันปูเยอะมากเรื่องของ network security คืออะไร web security คืออะไร และคำศัพท์ที่จำเป็นต่างๆเช่น threat agent, CIA คืออะไร คำว่า risk level และอื่นๆอีกมากมาย)หรือจะไปสอบ CEH ก็ได้แต่ค่าสอบแพงแถมไม่ได้ life time แบบ OSCP ต้องต่ออายุอีก แนะนำว่าถ้าไม่ได้เงินหนาก็รอให้บริษัทออกให้ดีกว่า แต่ secuity+ ค่าสอบไม่แพงใช้เป็น basic ความเข้าใจเริ่มต้นได้
ส่วน Ceritificate พื้นฐานในสาย pentest ที่เป็นที่ยอมรับคือ OSCP เพราะเป็นสอบปฏิบัติ แต่ตัวนี้จะเข้าไปทำงานก่อนแล้วค่อยยื่นเรื่่องขอให้บริษัทออกค่าสอบให้ได้ ส่วน cert. อื่นๆนอกจากนี้ก็แล้วแต่ความสนใจส่วนบุคคล แต่ Cert. OSCP นอกจากใช้ prove ตัวเองแล้วว่าเป็นคนมีสกิลระดับนึงในสายงานยังสามารถใช้เป็นเหมือนตัวสร้างความน่าเชื่อถือให้กับทีมเวลาเราไป pentest ให้กับลูกค้าด้วย
Q: ลักษณะงาน pentest เป็นแบบไหน ?
A: การทำงาน pentest คือไม่ใช่แค่การแฮกทั่วๆไปแบบที่ใครเข้าใจ แต่ว่ามันคืองานในลักษณะ consulting ที่เราเข้าไปช่วยดูความปลอดภัยให้กับแอพพลิเคชั่นต่างๆไม่ว่าจะ web application, mobile application, network, hardware แต่ส่วนใหญ่แล้วการทำงานที่เจอบ่อยๆจะเป็น web, mobile และ API
การทำงานในลักษณะ consult คือ เราต้องมองทุกอย่างที่มีโอกาสเป็นไปได้ สร้างขึ้นมาเป็น test case อาศัยความเข้าใจในเรื่อง security control ผสมกับความเข้าใจเรื่อง business flow ของแอพลิเคชั่นนั้นๆ
(security control คือพวก CIA ว่าทำยังไงถึงจะ Break confidential ได้คือแปลว่า user ที่ไม่มีสิทธิ์สามารถเข้าไปเห็นข้อมูลนั้นได้, Break Intergrity คือทำยังไงให้ user ที่สิทธิ์ต่ำสามารถแก้ไขข้อมูลได้หรือสิทธิ์ทั้วไปแต่ filed นั้นไม่ได้ให้แก้ แต่เราสามารถหาค่า parameter ที่อยู่ใน HTML Source code ไปใส่เพิ่มใน request เพื่อยิงตรงเข้า server ได้และข้อสุดท้ายคือ Break availability ทำยังไงให้ victim user ไม่สามารถเข้าใช้งานได้)
Test case ที่เป็นไปได้ มีโอกาสเกิดขึ้นได้มากน้อยแค่ไหน อะไรที่ business ไม่อนุญาตให้ทำแต่เราทำได้ ความเสี่ยงระดับไหนถ้ามันเกิดขึ้น impact ที่เกิดขึ้นน่าจะมาจาก senarios แบบไหนได้บ้าง และเจ้าของแอพพลิเคชั่นนั้นจะหาทางแก้ไขได้ยังไงเพื่อลดความเสี่ยงที่จะเกิดขึ้น ต้องสามารถเล่าอธิบายเป็น step by step ได้ว่าถ้ามีผู้ไม่ประสงค์ดีเข้ามา เขาจะทำอะไรกับฟังก์ชั่นนี้ได้บ้าง
ลักษณะงานที่ pentest ได้ส่วนใหญ่จะค่อนไปทาง Grey box ไม่ค่อยมี Black box มาให้เห็นเท่าไร ตัว Grey box คือทางเจ้าของแอพลิเคชั่นเขาให้มาหมดเลย manual document, list usernames สำหรับเข้าไปเทส, IP Address ที่ใช้งานและสโคปที่ลูกค้าต้องการให้ pentester ทำให้ (จุดนึงที่ต้องระวังคือห้ามทำเกินสโคปเพราะบางฟังก์ชั่นเขาอาจจะไม่ได้มีการ backup ข้อมูลไว้และใช้ทำงานไปพร้อมๆกันกับช่วงเวลาที่เราเทส เพราะงั้นถ้าเราทำให้แอพพลิเคชั่นเสียหายจนถึงขั้นใช้งานไม่ได้ ไม่ได้แปลว่าเราเก่งที่เราแฮคได้แต่แปลว่าเราทำงานไม่รอบคอบไม่ได้มีการคุยให้ละเอียดถึงสโคปงานที่สามารถทำได้ และข้อควรระวังต่างๆ)
จุดต่างของการทำงานจริงกับแลป security แฮคทั่วไป..
คืองานที่ทำจริง มันไม่มีคำใบ้ ไม่มีปลายทางที่แน่ชัดให้เราว่าเราต้องหาอะไร แบบพวก flag ต้องมาอยู่ใน desktop admin หรือ home user นะ มันไม่มีขั้นตอนที่แน่ชัดว่าเราต้องทำอะไร เช่น ในแลปเราอาจจะรู้เป็นสเต็ป เริ่มต้นก็สแกน network หาช่องเข้า เจอ port 80 ก็ลองหาที่อัพไฟล์แปลกๆพอเข้าไปได้ก็ไปหาช่องโหว่ต่างๆที่จะทำให้ยกระดับสิทธิ์ได้ แต่ว่าในการทำงานจริงในเรื่องของการยกสิทธิ์ที่เกิดขึ้นจะเป็นเรื่องของ role user แต่ละแบบบนแอพลิเคชั่นนั้นๆ และก็ช่องโหว่แบบ SQL, XSS, LFI, Command injection ที่เจอในแลปและมีโอกาสเจอในงานจริงได้ แล้วถ้าเกิดเว็บนั้นไม่มีช่องโหว่แบบ security แลปให้เห็นเลยล่ะ ไม่มีช่องให้อัพไฟล์ แถมข้อมูล input ต่างๆถูก html encode ไว้เรียบร้อย ไม่สามารถทำ XSS ได้ และเว็บมีการทำ pre-statement sql ไว้แล้ว inject ยังไงก็ไม่ผ่านต่อให้ใช้ automated tool แบบ sqlmap ก็ไม่เจอ แล้วเราจะทำอะไรต่อได้ จะสิ้นหวังคิดว่าตัวเองไม่เก่งไปเลยไหม เพราะ แลปที่เราเคยเจอมันมีแต่แบบนี้ เคสที่เป็นไปได้นอกจากที่เล่ามาจะเป็นเรื่องของ business logic และ impact ต่างๆที่สามารถเป็นไปได้ตาม OWASP pentesting guide
ยกตัวอย่าง Case 1
user1 สามารถ view+create ได้แค่ฟังก์ชั่น A, user2 สามารถ view+create ได้ทุกฟังก์ชั่น อันนี้คือแปลว่า user2 มีสิทธิ์ที่สูงกว่า user1 หรือ user2 อาจจะเป็น admin คนนึงก็ได้ เคสที่เป็นไปได้คือเราจะทำยังไงให้ user1 สามารถทำได้แบบ user2 ในเคสนี้คือ user1 จะกลายเป็น malicious user เมื่อไปกระทำการต่างๆในสิทธิ์ที่ตัวเองไม่สามารถทำได้แล้วทำให้ business เสียหาย อ่านตรงนี้อาจจะงงว่า user1 จะไปทำในสิทธิ์ของ user2 ได้ไง
ความเป็นไปได้ที่เกิดขึ้น..
-การจัดการสิทธิ์ที่ไม่ครอบคลุมเองของแอปพลิเคชั่น ที่พอส่ง link หน้าที่เฉพาะ user2 เข้าได้ไปให้ user1 ดู มันอาจจะขึ้นว่า no permission แต่ปราฏว่า user1 สามารถใช้ session ตัวเอง request ข้อมูลตรงจาก server ได้ค่าใน response ตอบกลับเป็น sensitive information ของหน้านั้นทั้งหมดแค่ UI ไม่ได้โชว์ผลลัพธ์ให้
ซึ่งความรู้พวกนี้ที่จะทำให้เรามอง test case ความเป็นไปได้ออกก็มาจาก on the job learning (pentest เป็นงานที่ต้องเรียนรู้อยู่ตลอดเวลา ถ้าเราติดทำเคสง่ายๆแล้ววันนึงเราจะรู้สึกเหมือนมันเป็นงาน routine แล้วถ้าเกิดแอพใหม่ไม่มีเคสง่ายๆให้ทำ เราจะรู้สึกตัวเองไร้ค่า เพราะงั้นงานนี้คืองานที่ห้ามหมด passion ในการเรียนรู้ตลอดเวลาและทีสำคัญที่สุดคือการหมั่นตั้งคำถามกับตัวเอง เพราะ test case จะเกิดขึ้นได้เมื่อเราเกิดความสงสัย และเป็นนักสังเกต)
ยกตัวอย่าง Case 2
มีหน้า login มาให้ 1 หน้า เราคิดว่า test case ที่จะเกิดขึ้นในเรื่องของ security มีอะไรบ้าง
ความเป็นไปได้ที่เกิดขึ้น..
-ตัวเว็บใช้ http หรือ https เป็นข้อสังเกตแรก
-Bruteforce ได้ไหม? มีกลไก ลิมิตการใส่ password ผิดรึป่าว?
-Hacker สามารถเดา username ในระบบได้ไหม พอเดา user ไปมั่วๆ ปราฏว่าคำเตือนมันขึ้นแตกต่างกัน อันนี้ก็เป็น test case ได้
-Hacker สามารถ bypass authentication ได้ไหมนะ? ลองด้วย sql bypass authentication เข้าไปโดยที่ไม่ต้องรู้ username, password เลยได้ไหม หรือเว็บนี้ใช้ LDAP ก็ลองใช้ command เช็คดูเริ่มต้นด้วย wildcard(*) แล้วก็ลองไปเรื่อยๆ *) ดูว่ามี error อะไรออกมาไหมแบบ sql ที่เราชอบเทสด้วย single quote (‘)
-Weak remember password รึป่าวนะ แบบ hacker ไปลองใช้เครื่องเหยื่อดู ปรากฏว่าแค่เปิดหน้าเว็บขึ้นมา พอพิมพ์ username จบ password ก็เด้งขึ้นมาให้เลย อันนี้ก็เป็น test case ได้เหมือนกัน
-การจัดการเรื่อง cookie session ปลอดภัยไหม length ยาวพอรึป่าว ใช้การ encode หรือ encrypt แล้วถ้า encrypt คือเป็นวิธีแบบง่ายมากอย่าง MD5 ที่ถอดได้รึป่าว
-cookie header มีอะไรบ้างตอนช่วงที่เรากำลัง logged in มี HTTP Only กับ Secure flag มาให้ไหม
ข้อมูล test case สำหรับหน้า login สามารถอ้างอิงได้จาก owasp pentesting guide เราจะเห็นว่า test case ที่เกิดขึ้นในหน้า login ไม่ได้มาจากการแฮคอะไรเท่าไร แค่เช็ค header ก็พอ เช็ค message showing ตอนลอง brute user ก็พอ เพราะ test case เหล่านี้คือดูเหมือนไม่ได้ร้ายแรงแต่ว่า experience hacker สามารถใช้ช่องโหว่ตรงนี้ไปต่อยอดให้กับช่องโหว่ที่มันร้ายแรงกว่านี้ได้ มันเลยเป็น test case ที่ต้องระวัง
ต่อมาพอเรารู้จักเป็นนักสังเกตและตั้งคำถามจากสิ่งที่เจอจนออกมาเป็น test case ได้แล้วเราต้องตั้งคำถามให้ลึกลงไปอีกว่าที่เราทำลงไป ทำไมมันถึงทำได้ แล้วคนที่ทำได้ ได้ประโยชน์อะไรจากเรื่องนี้ เราใช้เทคนิควิธีไหนได้บ้าง ได้แค่วิธีเดียวจริงๆหรือมากกว่า 1 วิธี เราใช้ command อะไรไป ทำไมต้องเป็น command ตัวนี้ถึงได้ผล และข้อแนะนำที่เราได้จากการหาข้อมูลมาให้ลูกค้า ถ้าลูกค้าบอกว่าเขาทำไม่ได้ เพราะว่า..? เราจะมีทางเลือก 1,2,3 เป็น choice ให้เขาเพิ่มเติมเพื่อลดความเสี่ยงให้เขาได้ไหม ถ้าเขาบอกว่าข้อแนะนำเรามันยุ่งยาก เขาต้องรื้อเยอะ เราสามารถบอกได้ไหมว่าความเสี่ยงระดับไหน เป็นสิ่งที่จำเป็นต้องทำจริงๆหรือแค่ข้อแนะนำ
ทีนี้พูดถึงเว็บมาเยอะแล้ว จะแนะนำเรื่องของ mobile pentest ให้ฟังบ้าง คือ mobile pentest จะแบ่งออกเป็นสองแบบอีกคือ mobile client กับ mobile server
mobile server pentest จะ test เหมือนกับการ web application pentest ปกติ คือเราไปหามือถือมาเครื่องนึง แล้วเชื่อมเน็ตให้มันเป็นวงเดียวกันระหว่างมือถือเรากับ laptop เราที่เปิด Burp Suite อยู่แล้วก็ตั้งค่า proxy ที่มือถือให้ connect เข้ามาที่ IP address laptop ของเราแล้วก็ติดตั้ง burp certificate ลงบนมือถือเครื่องนั้น เท่านี้เราก็สามารถดักจับ request ได้เหมือนการ set proxy web application ธรรมดาแล้ว ความหมายของ mobile server pentest คือเรา test แค่ request-response ที่ส่งไปหา server แต่ถ้า mobile client จะเป็นลักษณะเราไปเอา apk มาแกะดูว่ามีช่องโหว่อะไรบ้าง ซึ่งในการ pentest mobile จะต้องมีเครื่องมือช่วยในการ simulate มาช่วย เพราะว่าช่องโหว่บางอย่างใช้ได้กับ android บาง version เราคงไม่ได้มีงบพอไปเหมาซื้อ android, ios ทุก version มาเล่นหรอกเนอะ 555555
เครื่องมือ simulate ที่คนนิยมใช้กันคือ Nox player และ Genymotion เลือกอย่างใดอย่างนึง คือถ้าใครเคยเล่น virtualbox มันก็คือความหมายเดียวกัน เพียงแต่ virtualbox เราจะเป็นลักษณะสร้างเครื่อง linux หรือ windows version ต่างๆขึ้นมากี่อันก็ได้ ส่วน Nox player ก็คือใช้สร้าง android version 4 หรือ version 5 ขึ้นมากี่อันก็ได้ พอเก็ตเนาะ แล้วก็การที่แอพลิเคชั่นอนุญาตให้รัน apk บน android เวอร์ชั่นเก่ามากๆก็ถือว่าไม่ปลอดภัยด้วย สามารถตีเป็น test case ได้
ยกตัวอย่าง test case ในฝั่งของ client mobile pentest เราก็ใช้ JD-GUI ในการช่วยแบะตัว apk ออกเป็น code ให้อ่านง่ายๆเหมือนเปิดบนพวก visual studio อารมณ์ประมาณนั้น สิ่งที่จะดูก็อย่างเช่น ในโค๊ดใส่ allow debugging รึป่าวหรือมีการใส่ library ที่ไม่ได้ใช้งานอยู่เช่น library สำหรับส่ง sms แต่ว่าตอนเรา test flow app ทั้งหมดไม่เจอ sms เลยอันนี้ก็เป็น test case ได้ หรือการทำ reverse engineering ดูการเข้ารหัส แล้วถ้าเครื่องนี้โดน jailbreak ไปแล้ว ตัวแอพลิเคชั่นยังอนุญาตให้ใช้งานต่อได้ไหม หรือขึ้นแจ้งเตือนเฉยๆแต่สามารถกดปิดแล้วก็ใช้งานแอพได้ปกติ การลองใช้ Frida มา bypass ssl certificate pinning เป็นต้น
ความรู้เบื้องต้นเป็นภาษาไทยของ mobile pentest คงจะแนะนำไปอ่านจากบล็อคนี้ http://blog.itselectlab.com/?cat=10&paged=1
ส่วน API pentest อันนี้มันจะเล่นอิสระกว่าเว็บคือไม่ได้มี flow ก่อนหลังให้ break คือเว็บถ้าเป็นขั้นตอนการชำระเงิน เราก็ต้องมีใส่ข้อมูล กดตกลงแล้วก็ไปส่งคำสั่ง confirm อีกที เราก็ไป break step เอาทำข้ามขั้นตอน ทำ API คือมันจะมองเป็นเส้น URL ซึ่งส่วนใหญ่แล้วเขาจะให้ก้อนไฟล์ postman.json มาให้ เราก็สามารถมา set proxy ระหว่าง postman กับ burp แล้วก็ test ได้ปกติเหมือน test กับเว็บ
ท้ายสุดคือ สิ่งที่คนไม่เคยรู้จักงาน pentester แล้วเข้าใจไปเองว่ามันมีแต่การแฮค แต่จริงๆแล้วทักษะ pentester ควรรู้ไม่ใช่แค่ Hard Skill อย่างเดียว ยังมีเรื่องของ Soft Skill เช่น การเขียน report และพรีเซ้นอธิบายลูกค้าให้เข้าใจด้วย ซึ่งตรงนี้ถ้าใครไม่ถนัดพูด ให้เราลองฝึกพูดเหมือนเล่านิทานที่เริ่มไปก่อนว่า หน้านี้ใน flow ปกติคือให้ user ทำอะไร ต่อมาเราเจอข้อสังเกตอะไร แล้วเราทำอะไรไป impact ที่เกิดขึ้นจะเป็นยังไงแล้วตามด้วย recommendation ฝึกพูดจากความเข้าใจจะทำให้เราพูดลื่นขึ้นและตอบคำถามลูกค้าได้ และข้อสำคัญคือคนที่เข้ามาฟังเราจะมีทั้งคนที่รู้ tech ตรงและอาจไม่ใช่ก็ได้ การพูดของเราไม่จำเป็นต้องลงลึกลงไปเนื้อหาวิชาการเหมือนการสอนหนังสือ แต่ต้องพูดให้คนที่มีแต่ความรู้แค่เรื่อง business ก็เข้าใจได้
