安全见闻（7）-上（网络安全热门证书先容及备考指南） ...

声明：学习视频来自b站up主 泷羽sec，如涉及侵权立刻删除文章
   感谢泷羽sec 团队的讲授
视频地点：安全见闻（7）_哔哩哔哩_bilibili
  一、OSCP

（一）证书先容

                OSCP，即Offensive Security Certified Professional，是由Offensive Security提供的一个实战性网络安全认证。这个认证被以为是网络安全范畴中非常受接待和恭敬的认证之一，由于它侧重于实战技能的评估，要求考试在规定时间内完成一系列渗透测试任务，而不是单纯的笔试。
OSCP认证的特点包罗：

• 实践性考试：与传统的认证考试不同，OSCP的考试是一个为期24小时的实战渗透测试，考生需要在实际的环境中利用各种工具和技能来获取体系权限。
  
• 无监考：考试在家里通过网络进行，考生可以在规定的时间内自由安排，但需要遵守严格的考试规则。（1、需要办理一个护照，证明你的合法身份；2、然后通过特定VPN，远程毗连环境；3、24h内，房间内不允许有其他电子设备；4、需要摄像头监控考试过程；5、电脑端不允许有远程控制软件；6、有工具使用的限定
  
• 广泛的技能范围：考试覆盖了网络扫描、枚举、体系渗透、权限提拔、数据提取和文档编写等多个方面。
  
• 认证过程：通常，考生会先参加一个预备课程，比如Offensive Security提供的Penetration Testing with Kali Linux (PWK)，这个课程包罗了大量的实验和教材，帮助学员准备考试。
  
• 环球认可：OSCP认证在环球网络安全行业中享有很高的荣誉，持有OSCP证书的专业人士通常被以为具备了高级的渗透测试能力。
  

（二）考点

    信息收集：包罗网络侦查，端口扫描，服务识别等；
    毛病发现：常见的毛病，如SQL注入，缓冲区溢出，文件上传毛病等
    毛病利用：掌握各种毛病的利用方法，获取体系权限。
    后渗透测试：包罗权限提拔，横向移动，数据盗取等
（三）练习方法

    学习底子知识：掌握网络，操作体系，数据库等底子知识，相识常见毛病类型和利用方法。
    搭建实验环境：使用虚拟机搭建各种渗透环境，进行实践操作。
    参加培训课程：官方提供培训课程，也有一些第三培训机构提供相干课程
    练习靶场：利用在线渗透测试靶场，如Hack The Box，vulnhub等进行练习。
总结：oscp的难度大，得到达70%的正确率，涉及全面，国际上认可度高。

二、OSEP

（一）证书先容

OSEP，即Offensive Security Experienced Penetration Tester，是由Offensive Security提供的高级渗透测试认证。该证书要求考生具备深入的底层知识和高级编程技能，可以或许独立发现和利用软件的安全毛病
以下是关于OSEP认证的一些详细信息：

• 认证内容：OSEP认证侧重于高级渗透测试技能，包罗针对强化目标的高级渗透测试技巧、绕过安全防御、以及在实际场景中创建定制攻击工具。这些技能涉及客户端滥用（如Office、WSH、MSHTA）、进程注入、防病毒软件规避、高级横向移动（Windows/Linux）和Active Directory攻击等方面
  
• 课程与认证：OSEP认证对应的课程是PEN-300。这个课程是自 paced的，旨在帮助学习者进步他们在道德黑客和毛病评估方面的专业知识。完成课程后，学习者可以参加OSEP认证考试
  
• 考试格式：OSEP考试是一个具有挑衅性的48小时评估，旨在评估考生在实际环境中进行高级渗透测试的技能。考试内容涵盖了各种渗透测试和规避技巧
  
• 认证代价：得到OSEP认证的专业人士被以为具备高级渗透测试技能，这些技能在保护构造免受复杂威胁方面非常有代价。因此，OSEP认证专家在网络安全范畴中备受追捧
  

（二）考点

逆向工程：掌握反汇编，调试等技能，分析软件的内部结构。
毛病发掘：使用静态分析和动态分析方法，发现软件中的安全毛病。
毛病利用开发：编写毛病利用代码，实现对目标体系的控制
高级编程：认识C，C++，Python等编程语言，可以或许进行底层编程
（三）练习方法

学习逆向工程知识：阅读相干书籍和教程，掌握逆向工程的基本技能。
实践毛病发掘：使用毛病发掘工具，如Fuzzing工具等，进行毛病发掘实践
开发毛病利用代码：根据发掘到的毛病，编写相应的利用代码。
参加CTF角逐：通过参加CTF角逐，进步自己毛病利用开发的能力
总结：osep的难度大，得到达100%的正确率（10题），涉及免杀，国际上认可度高。

三、CISSP

（一）证书先容

CISSP是国际上广泛认可的信息安全专业认证。该证书涵盖了信息安全的各个范畴，包罗安全管理，密码学，网络安全等，得当信息安全管理职员和专业人士。
（二）考点

安全管理：包罗安全策略，风险管理，合规性等
访问控制：身份验证，授权，访问控制模型等
密码学：加密算法，密钥管理，数字签名等
网络安全：网络架构，防火墙，入侵检测等
软件开发工程：安全开发生命周期，代码检察等
（三）练习方法

学习官方教材：阅读CISSP官方教材，掌握各个范畴的知识
参加培训课程：有很多培训机构，可以帮助考生
做练习题：不断刷题，掌握知识
参加学习小组：与小组成员交流，共同学习
总结：涵盖信息安全的各个范畴，为理论考试，70%的正确率（1000题）

总的来说，OSEP>=OSCP>CISSP>国内相干安全证书


免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。