Een nieuwe stap richting ethical hacking
Na maanden van studeren, oefenen en het bouwen van mijn eigen labs was het moment daar: mijn eerste echte praktijkexamen in cybersecurity.
De eLearnSecurity Junior Penetration Tester (eJPT) stond al lang op mijn lijst. Na Security+ en de Certified in Cybersecurity (CC) wilde ik de stap maken van theorie naar praktijk — en die overgang voelde precies zo: alsof ik ineens van een handleiding naar het echte werk ging.
Met een score van 88% kan ik met trots zeggen dat het niet alleen een examen was, maar een leerervaring die me als ethical hacker enorm heeft gevormd.
Voorbereiding: structuur boven alles
De maanden vooraf aan het examen draaiden om structuur.
Ik heb tientallen labs gedaan, tools getest en vooral mijn werkwijze geperfectioneerd. Niet alleen weten welke tool ik moest gebruiken, maar ook waarom en wanneer.
Mijn grootste focus lag op:
- het opzetten van een logische workflow voor netwerk- en host-enumeratie,
- noteren van alle bevindingen in Obsidian,
- en het trainen van mijn denkproces: eerst observeren, dan handelen.
Ik merkte dat ik steeds vaker dacht als een aanvaller en niet “welke tool kan ik draaien?”, maar “wat vertelt dit systeem me, en wat kan ik ermee?”.
Het examen: zes doelen, één mindset
Het eJPT-examen voelt als een echte pentest.
Je krijgt toegang tot een labomgeving met meerdere doelwitten, sommige in interne netwerken. De uitdaging zit niet in brute force of trucjes, maar in begrijpen wat je ziet.
In het begin was het overweldigend.
Zes hosts, netwerksegmenten, services, gebruikers… het duurde even voordat ik een duidelijk beeld had.
Toch merkte ik dat rust en systematiek het verschil maakten.
Langzaam vielen de puzzelstukjes op hun plaats:
via SMB kreeg ik gebruikersinformatie te pakken, met RDP toegang tot nieuwe systemen, en zo bouwde ik stap voor stap mijn weg naar binnen.
Waar ik bij Security+ nog vooral in concepten dacht, voelde ik hier voor het eerst hoe het is om een netwerk echt te verkennen.
De grootste uitdagingen
Niet alles ging vanzelf.
Na 36 uur besloot ik te stoppen, omdat ik wist dat ik alles eruit had gehaald wat ik kon.
Een paar punten sprongen eruit als leermoment:
1. Webapplicaties vragen geduld.
Ik heb WordPress en Drupal onderzocht, maar niet alles gevonden wat ik hoopte. Het heeft me geleerd dat web exploitation een vak apart is. Dit is iets waar ik nu bewust meer in wil duiken.
2. Privilege escalation blijft lastig.
In sommige shells bleef ik steken als www-data. Ik wist dat er iets meer moest zijn, maar niet hoe.
Dat frustreerde me op het moment zelf, maar bleek achteraf waardevol: het wees me precies naar het onderdeel dat ik verder moet uitdiepen.
3. Time management is key.
48 uur klinkt als veel, maar als je je tijd niet verdeelt, loopt het snel vast.
Een planning per host, notities per fase en regelmatig pauzes nemen hielpen om overzicht te houden.
Wat ik echt geleerd heb
De eJPT was mijn eerste echte ervaring met denkend hacken.
Niet zomaar tools gebruiken, maar verbanden leggen tussen kleine stukjes informatie: een poort, een gebruikersnaam, een vergeten service.
Ik leerde dat pentesten niet draait om geluk, maar om logisch redeneren.
En dat elke mislukte poging informatie oplevert, zolang je blijft observeren.
Die mindset heeft me veranderd: ik voel me nu niet alleen beter voorbereid op toekomstige certificeringen, maar ook scherper als security-professional.
De volgende stap: PNPT
Mijn volgende doel is de Practical Network Penetration Tester (PNPT).
Waar eJPT mij de basis gaf in netwerk- en host-analyse, richt PNPT zich op realistische bedrijfsnetwerken, Active Directory en professionele rapportage.
Daarmee wil ik mijn vaardigheden verder verdiepen en het bruggetje slaan naar meer geavanceerde pentesting.
De voorbereiding is al begonnen: eigen labs, AD-omgevingen, pivoting oefenen, en vooral: blijven leren.
Reflectie
Het eJPT-examen heeft me veel meer gebracht dan alleen een certificaat.
Het heeft me geleerd hoe belangrijk rust, structuur en analyse zijn in een veld dat vaak om snelheid lijkt te draaien.
Het is het moment waarop mijn cybersecurity-leerpad echt praktisch werd en dat voelt als de start van iets groters.