0


安全见闻(7)-上(网络安全热门证书介绍及备考指南)

声明:学习视频来自b站up主 泷羽sec,如涉及侵权马上删除文章

感谢泷羽sec 团队的教学
视频地址:安全见闻(7)_哔哩哔哩_bilibili

一、OSCP

(一)证书介绍
            OSCP,即Offensive Security Certified Professional,是由Offensive Security提供的一个实战性网络安全认证。这个认证被认为是网络安全领域中非常受欢迎和尊重的认证之一,因为它侧重于实战技能的评估,要求考试在规定时间内完成一系列渗透测试任务,而不是单纯的笔试。

OSCP认证的特点包括:

  1. 实践性考试:与传统的认证考试不同,OSCP的考试是一个为期24小时的实战渗透测试,考生需要在实际的环境中利用各种工具和技术来获取系统权限。
  2. 无监考:考试在家里通过网络进行,考生可以在规定的时间内自由安排,但需要遵守严格的考试规则。(1、需要办理一个护照,证明你的合法身份;2、然后通过特定VPN,远程连接环境;3、24h内,房间内不允许有其他电子设备;4、需要摄像头监控考试过程;5、电脑端不允许有远程控制软件;6、有工具使用的限制
  3. 广泛的技能范围:考试覆盖了网络扫描、枚举、系统渗透、权限提升、数据提取和文档编写等多个方面。
  4. 认证过程:通常,考生会先参加一个预备课程,比如Offensive Security提供的Penetration Testing with Kali Linux (PWK),这个课程包括了大量的实验和教材,帮助学员准备考试。
  5. 全球认可:OSCP认证在全球网络安全行业中享有很高的声誉,持有OSCP证书的专业人士通常被认为具备了高级的渗透测试能力。
(二)考点
**信息收集**:包括网络侦查,端口扫描,服务识别等;

**漏洞发现**:常见的漏洞,如SQL注入,缓冲区溢出,文件上传漏洞等

**漏洞利用**:掌握各种漏洞的利用方法,获取系统权限。

**后渗透测试**:包括权限提升,横向移动,数据窃取等
(三)练习方法
学习基础知识:掌握网络,操作系统,数据库等基础知识,了解常见漏洞类型和利用方法。

搭建实验环境:使用虚拟机搭建各种渗透环境,进行实践操作。

参加培训课程:官方提供培训课程,也有一些第三培训机构提供相关课程

练习靶场:利用在线渗透测试靶场,如Hack The Box,vulnhub等进行练习。
总结:oscp的难度大,得达到70%的准确率,涉及全面,国际上认可度高。

二、OSEP

(一)证书介绍

OSEP,即Offensive Security Experienced Penetration Tester,是由Offensive Security提供的高级渗透测试认证。该证书要求考生具备深入的底层知识和高级编程技能,能够独立发现和利用软件的安全漏洞

以下是关于OSEP认证的一些详细信息:

  1. 认证内容:OSEP认证侧重于高级渗透测试技术,包括针对强化目标的高级渗透测试技巧、绕过安全防御、以及在实际场景中创建定制攻击工具。这些技术涉及客户端滥用(如Office、WSH、MSHTA)、进程注入、防病毒软件规避、高级横向移动(Windows/Linux)和Active Directory攻击等方面
  2. 课程与认证:OSEP认证对应的课程是PEN-300。这个课程是自 paced的,旨在帮助学习者提高他们在道德黑客和漏洞评估方面的专业知识。完成课程后,学习者可以参加OSEP认证考试
  3. 考试格式:OSEP考试是一个具有挑战性的48小时评估,旨在评估考生在实际环境中进行高级渗透测试的技能。考试内容涵盖了各种渗透测试和规避技巧
  4. 认证价值:获得OSEP认证的专业人士被认为具备高级渗透测试技能,这些技能在保护组织免受复杂威胁方面非常有价值。因此,OSEP认证专家在网络安全领域中备受追捧
(二)考点

逆向工程:掌握反汇编,调试等技术,分析软件的内部结构。

漏洞挖掘:使用静态分析和动态分析方法,发现软件中的安全漏洞。

漏洞利用开发:编写漏洞利用代码,实现对目标系统的控制

高级编程:熟悉C,C++,Python等编程语言,能够进行底层编程

(三)练习方法

学习逆向工程知识:阅读相关书籍和教程,掌握逆向工程的基本技术。

实践漏洞挖掘:使用漏洞挖掘工具,如Fuzzing工具等,进行漏洞挖掘实践

开发漏洞利用代码:根据挖掘到的漏洞,编写相应的利用代码。

参加CTF比赛:通过参加CTF比赛,提高自己漏洞利用开发的能力

总结:osep的难度大,得达到100%的准确率(10题),涉及免杀,国际上认可度高。

三、CISSP

(一)证书介绍

CISSP是国际上广泛认可的信息安全专业认证。该证书涵盖了信息安全的各个领域,包括安全管理,密码学,网络安全等,适合信息安全管理人员和专业人士。

(二)考点

安全管理:包括安全策略,风险管理,合规性等

访问控制:身份验证,授权,访问控制模型等

密码学:加密算法,密钥管理,数字签名等

网络安全:网络架构,防火墙,入侵检测等

软件开发工程:安全开发生命周期,代码审查等

(三)练习方法

学习官方教材:阅读CISSP官方教材,掌握各个领域的知识

参加培训课程:有很多培训机构,可以帮助考生

做练习题:不断刷题,掌握知识

参加学习小组:与小组成员交流,共同学习

总结:涵盖信息安全的各个领域,为理论考试,70%的正确率(1000题)

总的来说,OSEP>=OSCP>CISSP>国内相关安全证书

标签: 网络 安全

本文转载自: https://blog.csdn.net/2302_79415891/article/details/143163195
版权归原作者 Z1eaf_complete 所有, 如有侵权,请联系我们删除。

“安全见闻(7)-上(网络安全热门证书介绍及备考指南)”的评论:

还没有评论