一、OSCP(Offensive Security Certified Professional)
1. 证书介绍
2.考点
3.部分考试要求
4.练习方法
二、OSEP(Offensive Security Exploit Developer)
1.证书介绍
2.考点
3.练习方法
三、CISSP(Certified lnformation Systems Security Professional)
1.证书介绍
2.考点
3.练习方法
总结:
泷羽sec:安全见闻(7)_哔哩哔哩_bilibili
一、OSCP(Offensive Security Certified Professional)
1. 证书介绍
OSCP 是 Offensive Security 提供的渗透测试认证,被广泛认为是业内最具实践性和挑战性的认证之一。该证书强调实际操作能力,要求考生在规定时间内完成一系列渗透测试任务,以证明其具备真实的渗透测试技能。
2.考点
信息收集:包括网络侦察、端口扫描、服务识别等。 漏洞发现:常见漏洞如 SQL 注入、缓冲区溢出、文件上传漏洞等。 漏洞利用:掌握各种漏洞的利用方法,获取系统权限。 后渗透测试:包括权限提升、横向移动、数据窃取等。
3.部分考试要求
官方要求:确保您已收到您的 OSID 和 MD5。确保您使用的是支持的操作系统。确保您使用的是带有摄像头的系统。确保您使用的是谷歌浏览器。确保你已经安装了 Janus 插件。第一点:需要给考官查看护照,证明你拥有正当合法的身份认证。
第二点:需要一个稳定的VPN来进行科学上网。
第三点:你拥有24小时的考试时间,需要摄像头24小时可以开着,如果需要长时间休息可以点击PAUSE WEBCAM要求监考员暂停你的网络摄像头
第四点:在考试过程中考生所在房间不允许存在除了考试电脑以外的电子设备和人员,考试电脑不允许安装远控软件,不然终身禁考。
第五点:F商业工具不能使用,如 Metasploit Pro,Nessus Pro 等;自动漏洞挖掘和利用的工具不能使用,如 SQLmap,和带自动漏洞利用的 winPEAS;带网络欺骗的工具不能使用,如 responder,arpspoof;
namp那些是可以使用的,Offsec 声明不会对工具是否可以使用做出明确的判定,原则是,大家要了解自己使用的工具,不要做 script kiddie。
4.练习方法
学习基础知识:掌握网络、操作系统、数据库等基础知识,了解常见漏洞类型和利用方式。 搭建实验环境:使用虚拟机搭建各种渗透测试环境,进行实践操作 参加培训课程:offensive Security提供官方培训课程,也有一些第三方培训机构提供相关课程。 练习靶场:利用在线渗透测试靶场,如 Hack The Box、 VulbHub等进行练习
总结:oscp的难度为中级红队级别的,得拿下70%的分数,涉及全面,国际上认可度高。
二、OSEP(Offensive Security Exploit Developer)
1.证书介绍
OSEP 专注于漏洞利用开发,旨在培养专业的漏洞挖掘和利用开发人员。该证书要求考生具备深入的底层知识和高级编程技能,能够独立发现和利用软件中的安全漏洞。
2.考点
逆向工程:掌握反汇编、调试等技术,分析软件的内部结构。 漏洞挖掘:使用静态分析和动态分析方法,发现软件中的安全漏洞。 漏洞利用开发:编写漏洞利用代码,实现对目标系统的控制。 高级编程:熟悉:C、C++、Python 等编程语言,能够进行底层编程
3.练习方法
学习逆向工程知识:阅读相关书籍和教程,掌握逆向工程的基本技术。 实践漏洞挖掘:使用漏洞挖掘工具,如Fuzzing 工具等,进行漏洞挖掘实践 开发漏洞利用代码:根据挖掘到的漏洞,编写相应的利用代码。 参加 CTF 比比赛:通过参加 CTF 比赛,提高自己的漏洞利用开发能力。
小结:价位较高1699美元,一万三千多人民币,osep的难度大,48小时内拿下10台机器获得所有分数才可以通过,涉及逆向、免杀还有高级编程,国际上认可度高。
三、CISSP(Certified lnformation Systems Security Professional)
1.证书介绍
CISSP是国际上广泛认可的信息安全专业认证。该证书涵盖了信息安全的各个领域,包括安全管理,密码学,网络安全等,适合信息安全管理人员和专业人士。
2.考点
安全管理:包括安全策略,风险管理,合规性等 访问控制:身份验证,授权,访问控制模型等 密码学:加密算法,密钥管理,数字签名等 网络安全:网络架构,防火墙,入侵检测等 软件开发工程:安全开发生命周期,代码审查等
3.练习方法
学习官方教材:阅读CISSP官方教材,掌握各个领域的知识 参加培训课程:有很多培训机构,可以帮助考生 做练习题:不断刷题,掌握知识 参加学习小组:与小组成员交流,共同学习
小结:涵盖信息安全的各个领域,纯理论考试没有实操,1000道题要达到70%的正确率
总结:
总的来说,目前来说在世界上我们中国安全领域的影响力是有的,但是相对于国外已经发展了很久的网络安全阻止来讲还是略微不足,以上三个证书在世界范围内都是公认顶级技术证书,相对于这三个证书国内PTE、cisp这些证书就是交钱认真学习很轻松就可以通过,而找工作以上证书都是网炸。
比较:OSEP>=OSCP>CISSP>国内相关安全证书