Abordagem Sistemática para a Certificação OSWE em 2025
Um guia detalhado sobre como se preparar e obter a certificação Offensive Security Web Expert (OSWE), com foco em análise de código fonte e mentalidade durante o exame.
MundiX News·16 de abril de 2026·10 min de leitura·👁 9 views
Abordagem Sistemática para a Certificação OSWE em 2025
Introdução
A Offensive Security Web Expert (OSWE) é uma certificação avançada da Offensive Security focada em segurança de aplicações web. A principal diferença entre a OSWE e a menos conhecida Offensive Security Web Assessor (OSWA) é a ênfase na análise do código fonte da aplicação, ou seja, a busca por vulnerabilidades no formato "white box".
Minha decisão final de fazer este exame foi tomada em uma conferência de negócios na Turquia, quando conheci um empreendedor que havia completado o Ironman duas vezes. Meu lado "late achiever" imediatamente se inflamou com a ideia de uma preparação rápida. No entanto, o colega presidente da cooperativa me fez uma pergunta lógica: "Você não quer tirar a OSWE?".
Em 9 de abril de 2025, em meu canal do Telegram PathSecure, publiquei a notícia sobre a aquisição do curso :)
A Carta da Felicidade
Eu obtive a certificação na segunda tentativa. Neste artigo, falarei sobre a preparação e o processo de aprovação.
Preparação
Eu sabia que este caminho seria difícil. Pelo menos incomum. Eu quase não tinha experiência em análise de código fonte e me considero mais um especialista em infraestrutura do que em web. É claro que algumas coisas sobre a web são conhecidas e compreensíveis para mim, mas eu hesitaria em me chamar de especialista.
De qualquer forma, continuei a usar o método comprovado de preparação para o treinamento em um sentido amplo (descrevi-o aqui após o OSCP).
Imediatamente reservei horários no calendário para o treinamento. Lembre-se da matriz de Eisenhower e que as tarefas importantes e urgentes sempre existirão por definição e, se você não alocar tempo para a estratégia (e o treinamento é uma tarefa estratégica), você não sairá do lugar. Isso é especialmente perceptível em pessoas que ainda não aprenderam a lidar com um grande número de tarefas e estão se afogando em operações.
Matriz de Eisenhower
Cronometragem dos labs. Uma ótima maneira de entender se você está cumprindo o prazo ou não. O curso é limitado a três meses e você quer ter tempo para passar por todo o material. Portanto, contei todo o tempo gasto nos labs, marquei as pausas, onde parei/travei e, no final, resumi o tempo total. Alguns labs levaram de 2 a 3 horas, outros de 10 a 11 horas de tempo puro. O algoritmo para estimar os custos de mão de obra é aproximadamente o seguinte:
Cronometre vários labs do início ao fim
Em cada um, conte o tempo gasto na conclusão
Calcule a média entre eles, por exemplo, (2 horas + 11 horas)/2 e obtenha que, em média, um lab leva 6,5 horas.
Multiplique 6,5 pelos 8 labs restantes, por exemplo, e obtenha que você precisa investir mais 52 horas.
Pegue alguma margem para todos os tipos de força maior, por exemplo, 30%
Descobrimos que, para concluir o curso, precisamos de mais 52 * 1,3 ~= 67 horas
Olhamos para o nosso calendário, onde 3 horas por semana são alocadas para treinamento e entendemos que 67/3 ~= 22 semanas e estamos totalmente a tempo ou não estamos totalmente a tempo e ajustamos nossa programação de acordo com o modelo PDCA
Meu exemplo de cronometragem
No meu caso, havia pouco tempo, pois acontecia de eu procrastinar por semanas ou estar ocupado com atividades de projeto ou outras operações, então comecei a me conectar significativamente nos fins de semana e até mesmo nas férias. Eu conscientemente não resolvi os últimos labs, pois percebi que não havia nada de novo para mim lá. A cronometragem me ajudou a perceber minha capacidade.
Retrospectiva após a conclusão do curso (antes do exame)
Então, os três meses de assinatura voaram. Passei por todo o material do curso e resolvi quase todos os labs (exceto dois) com anotações. Quais conclusões posso compartilhar:
TLDR:
Os labs são bons;
O material é bom;
A cronometragem é importante e útil;
Alocar tempo para treinamento é essencial;
Mantenha suas anotações;
Prepare-se antes de fazer o curso.
Os labs são realmente bons. Os comentários no canal do Telegram escreveram o oposto, mas eu realmente gostei. Não tive dificuldades em implantá-los, encontrar e explorar vulnerabilidades. Em geral, tudo é bastante tranquilo.
O material é realmente bom. Eu não sou especialista em web, e especialmente em white box, então quase tudo era novo para mim. Especialmente depuração e todos os tipos de técnicas avançadas de injeção de SQL ou os meandros do SSTI, ou Prototype Pollution (eu nem tinha ouvido falar sobre isso), ou scraping de uma página de administração via XSS.
Eu cronometrei o tempo para concluir cada lab. Levou uma média de 8 horas. Isso me permitiu perceber em algum momento que os prazos estavam se esgotando e que eu precisava investir mais. Resolvi vários labs nas férias.
Eu tenho uma programação bastante apertada como líder de equipe de hackers e, além das atividades do projeto, tenho estratégia, reuniões 1-1, reuniões com a equipe do projeto, pré-vendas, análises de entrada, todos os tipos de sincronização entre outras equipes. Em suma, há muitas coisas importantes e urgentes, mas você não irá muito longe assim. É necessário reservar slots estritamente durante a semana para preparação. Era exatamente assim que era para mim - uma hora por dia. Nem sempre funcionava e eu resolvia a maior parte nos fins de semana.
Eu mantenho um resumo do material teórico (isso ajudará a atualizar rapidamente o conhecimento) e também formo uma checklist com comandos prontos para implementar rapidamente algo.
O curso realmente não é para iniciantes. Requer um entendimento detalhado do protocolo HTTP; habilidades de trabalho com a linha de comando; programação em Python, JS; experiência com SGBDs;
Eu não diria que muito era novo para mim. Apenas algumas técnicas mais avançadas.
Ao planejar um exame, pode haver dificuldade em escolher um horário. O exame é longo (48 horas), muitas pessoas fazem em todo o mundo, portanto, os slots são bastante limitados. Portanto, é muito importante reservar um período com antecedência, cerca de 3 semanas antes.
Durante o exame
O processo de exame em si é bastante padrão, exceto que a parte ativa levou 48 horas, em vez de 24 (como no OSCP). Há também o proctoring - este é um requisito da Offensive Security no chat de exame, onde você é obrigado a compartilhar sua tela e ligar a webcam. Antes do início do exame, você mostra seu passaporte na câmera e mostra o que está ao seu redor. Curiosamente, o proctor foi acionado pela TV, que estava pendurada na minha frente. Primeiro ele pediu para removê-la, mas consegui concordar em apenas cobrir a tela com um lençol.
48 horas é muito tempo. Olhei pela janela e me senti como um hikikomori que estava em casa há uma semana. É claro que, nesses momentos, vale a pena sair por 15 minutos e respirar ar fresco. Em uma distância de 48 horas, essa pausa não fará diferença, mas ajudará a limpar a cabeça. Sabe-se que durante o sono ou descanso, nosso cérebro continua a processar tarefas, mas em um modo diferente, então o trabalho continua. Talvez isso ajude alguém a relaxar o FOMO.
Vida
As limitações físicas são apenas uma pequena parte da certificação. A maior dificuldade é trabalhar no estado mental. Isso é especialmente pronunciado quando você não consegue encontrar um ponto de entrada, se agarrar a algo, detectar um bug e assim por diante - tudo isso faz você se sentir muito frustrado. Nesse momento, é muito importante se aterrar, se acalmar, descansar, revisar suas anotações e retornar (TryHarder).
Outra dica importante é comer, dormir, beber, se exercitar. Coisas físicas básicas ajudam a manter o foco. Como a parte ativa é espalhada por 48 horas, é importante não quebrar o ritmo de vida habitual.
Para passar no exame, é necessário explorar uma cadeia de vulnerabilidades em uma aplicação web e automatizá-la em qualquer linguagem de programação disponível. Você precisa ser capaz de programar. Eu escolhi Python para mim (já que só conheço ele) e, em geral, não houve dificuldades especiais com o desenvolvimento do PoC. A recomendação básica aqui é conhecer bem a biblioteca requests, bem como usar o proxy Burp para depuração. Em geral, é uma boa prática escrever PoCs para labs durante o treinamento, alguns padrões no código serão rastreados e reutilizados.
Conclusão (após o exame)
Então, eu gostei do curso e do exame. Há, é claro, algo atraente neste processo de aprendizagem. Na área de segurança ofensiva, o aprendizado é quase infinito: muitas áreas, novas vulnerabilidades, abordagens. Parece-me que na era dos agentes de IA, muitas técnicas serão automatizadas, mas quem deve gerenciar os agentes? Isso significa que o conhecimento fundamental e a capacidade de aprender serão relevantes por muito tempo.
Em conclusão, gostaria de desejar sucesso a todos que estão começando/continuando sua jornada em certificações especializadas. E eu estou começando uma aventura de três meses para passar no OSEP em breve :)
Faça perguntas nos comentários ou em mensagens privadas no Telegram
t.me/curiv
.
Meu canal pessoal no Telegram:
t.me/pathsecure
.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Abordagem Sistemática para a Certificação OSWE em 2025
Introdução
A Offensive Security Web Expert (OSWE) é uma certificação avançada da Offensive Security focada em segurança de aplicações web. A principal diferença entre a OSWE e a menos conhecida Offensive Security Web Assessor (OSWA) é a ênfase na análise do código fonte da aplicação, ou seja, a busca por vulnerabilidades no formato "white box".
Minha decisão final de fazer este exame foi tomada em uma conferência de negócios na Turquia, quando conheci um empreendedor que havia completado o Ironman duas vezes. Meu lado "late achiever" imediatamente se inflamou com a ideia de uma preparação rápida. No entanto, o colega presidente da cooperativa me fez uma pergunta lógica: "Você não quer tirar a OSWE?".
Em 9 de abril de 2025, em meu canal do Telegram PathSecure, publiquei a notícia sobre a aquisição do curso :)
A Carta da Felicidade
Eu obtive a certificação na segunda tentativa. Neste artigo, falarei sobre a preparação e o processo de aprovação.
Preparação
Eu sabia que este caminho seria difícil. Pelo menos incomum. Eu quase não tinha experiência em análise de código fonte e me considero mais um especialista em infraestrutura do que em web. É claro que algumas coisas sobre a web são conhecidas e compreensíveis para mim, mas eu hesitaria em me chamar de especialista.
De qualquer forma, continuei a usar o método comprovado de preparação para o treinamento em um sentido amplo (descrevi-o aqui após o OSCP).
Imediatamente reservei horários no calendário para o treinamento. Lembre-se da matriz de Eisenhower e que as tarefas importantes e urgentes sempre existirão por definição e, se você não alocar tempo para a estratégia (e o treinamento é uma tarefa estratégica), você não sairá do lugar. Isso é especialmente perceptível em pessoas que ainda não aprenderam a lidar com um grande número de tarefas e estão se afogando em operações.
Matriz de Eisenhower
Cronometragem dos labs. Uma ótima maneira de entender se você está cumprindo o prazo ou não. O curso é limitado a três meses e você quer ter tempo para passar por todo o material. Portanto, contei todo o tempo gasto nos labs, marquei as pausas, onde parei/travei e, no final, resumi o tempo total. Alguns labs levaram de 2 a 3 horas, outros de 10 a 11 horas de tempo puro. O algoritmo para estimar os custos de mão de obra é aproximadamente o seguinte:
Cronometre vários labs do início ao fim
Em cada um, conte o tempo gasto na conclusão
Calcule a média entre eles, por exemplo, (2 horas + 11 horas)/2 e obtenha que, em média, um lab leva 6,5 horas.
Multiplique 6,5 pelos 8 labs restantes, por exemplo, e obtenha que você precisa investir mais 52 horas.
Pegue alguma margem para todos os tipos de força maior, por exemplo, 30%
Descobrimos que, para concluir o curso, precisamos de mais 52 * 1,3 ~= 67 horas
Olhamos para o nosso calendário, onde 3 horas por semana são alocadas para treinamento e entendemos que 67/3 ~= 22 semanas e estamos totalmente a tempo ou não estamos totalmente a tempo e ajustamos nossa programação de acordo com o modelo PDCA
Meu exemplo de cronometragem
No meu caso, havia pouco tempo, pois acontecia de eu procrastinar por semanas ou estar ocupado com atividades de projeto ou outras operações, então comecei a me conectar significativamente nos fins de semana e até mesmo nas férias. Eu conscientemente não resolvi os últimos labs, pois percebi que não havia nada de novo para mim lá. A cronometragem me ajudou a perceber minha capacidade.
Retrospectiva após a conclusão do curso (antes do exame)
Então, os três meses de assinatura voaram. Passei por todo o material do curso e resolvi quase todos os labs (exceto dois) com anotações. Quais conclusões posso compartilhar:
TLDR:
Os labs são bons;
O material é bom;
A cronometragem é importante e útil;
Alocar tempo para treinamento é essencial;
Mantenha suas anotações;
Prepare-se antes de fazer o curso.
Os labs são realmente bons. Os comentários no canal do Telegram escreveram o oposto, mas eu realmente gostei. Não tive dificuldades em implantá-los, encontrar e explorar vulnerabilidades. Em geral, tudo é bastante tranquilo.
O material é realmente bom. Eu não sou especialista em web, e especialmente em white box, então quase tudo era novo para mim. Especialmente depuração e todos os tipos de técnicas avançadas de injeção de SQL ou os meandros do SSTI, ou Prototype Pollution (eu nem tinha ouvido falar sobre isso), ou scraping de uma página de administração via XSS.
Eu cronometrei o tempo para concluir cada lab. Levou uma média de 8 horas. Isso me permitiu perceber em algum momento que os prazos estavam se esgotando e que eu precisava investir mais. Resolvi vários labs nas férias.
Eu tenho uma programação bastante apertada como líder de equipe de hackers e, além das atividades do projeto, tenho estratégia, reuniões 1-1, reuniões com a equipe do projeto, pré-vendas, análises de entrada, todos os tipos de sincronização entre outras equipes. Em suma, há muitas coisas importantes e urgentes, mas você não irá muito longe assim. É necessário reservar slots estritamente durante a semana para preparação. Era exatamente assim que era para mim - uma hora por dia. Nem sempre funcionava e eu resolvia a maior parte nos fins de semana.
Eu mantenho um resumo do material teórico (isso ajudará a atualizar rapidamente o conhecimento) e também formo uma checklist com comandos prontos para implementar rapidamente algo.
O curso realmente não é para iniciantes. Requer um entendimento detalhado do protocolo HTTP; habilidades de trabalho com a linha de comando; programação em Python, JS; experiência com SGBDs;
Eu não diria que muito era novo para mim. Apenas algumas técnicas mais avançadas.
Ao planejar um exame, pode haver dificuldade em escolher um horário. O exame é longo (48 horas), muitas pessoas fazem em todo o mundo, portanto, os slots são bastante limitados. Portanto, é muito importante reservar um período com antecedência, cerca de 3 semanas antes.
Durante o exame
O processo de exame em si é bastante padrão, exceto que a parte ativa levou 48 horas, em vez de 24 (como no OSCP). Há também o proctoring - este é um requisito da Offensive Security no chat de exame, onde você é obrigado a compartilhar sua tela e ligar a webcam. Antes do início do exame, você mostra seu passaporte na câmera e mostra o que está ao seu redor. Curiosamente, o proctor foi acionado pela TV, que estava pendurada na minha frente. Primeiro ele pediu para removê-la, mas consegui concordar em apenas cobrir a tela com um lençol.
48 horas é muito tempo. Olhei pela janela e me senti como um hikikomori que estava em casa há uma semana. É claro que, nesses momentos, vale a pena sair por 15 minutos e respirar ar fresco. Em uma distância de 48 horas, essa pausa não fará diferença, mas ajudará a limpar a cabeça. Sabe-se que durante o sono ou descanso, nosso cérebro continua a processar tarefas, mas em um modo diferente, então o trabalho continua. Talvez isso ajude alguém a relaxar o FOMO.
Vida
As limitações físicas são apenas uma pequena parte da certificação. A maior dificuldade é trabalhar no estado mental. Isso é especialmente pronunciado quando você não consegue encontrar um ponto de entrada, se agarrar a algo, detectar um bug e assim por diante - tudo isso faz você se sentir muito frustrado. Nesse momento, é muito importante se aterrar, se acalmar, descansar, revisar suas anotações e retornar (TryHarder).
Outra dica importante é comer, dormir, beber, se exercitar. Coisas físicas básicas ajudam a manter o foco. Como a parte ativa é espalhada por 48 horas, é importante não quebrar o ritmo de vida habitual.
Para passar no exame, é necessário explorar uma cadeia de vulnerabilidades em uma aplicação web e automatizá-la em qualquer linguagem de programação disponível. Você precisa ser capaz de programar. Eu escolhi Python para mim (já que só conheço ele) e, em geral, não houve dificuldades especiais com o desenvolvimento do PoC. A recomendação básica aqui é conhecer bem a biblioteca requests, bem como usar o proxy Burp para depuração. Em geral, é uma boa prática escrever PoCs para labs durante o treinamento, alguns padrões no código serão rastreados e reutilizados.
Conclusão (após o exame)
Então, eu gostei do curso e do exame. Há, é claro, algo atraente neste processo de aprendizagem. Na área de segurança ofensiva, o aprendizado é quase infinito: muitas áreas, novas vulnerabilidades, abordagens. Parece-me que na era dos agentes de IA, muitas técnicas serão automatizadas, mas quem deve gerenciar os agentes? Isso significa que o conhecimento fundamental e a capacidade de aprender serão relevantes por muito tempo.
Em conclusão, gostaria de desejar sucesso a todos que estão começando/continuando sua jornada em certificações especializadas. E eu estou começando uma aventura de três meses para passar no OSEP em breve :)
Faça perguntas nos comentários ou em mensagens privadas no Telegram
t.me/curiv
.
Meu canal pessoal no Telegram:
t.me/pathsecure
.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
