声明!
学习视频来自B站up主 泷羽sec 有兴趣的师傅可以关注一下,如涉及侵权马上删除文章,笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!!!!有兴趣的小伙伴可以点击下面连接进入b站主页B站泷羽sec
一、OSCP(Offensive Security Certified Professional)
(一)证书介绍
OSCP是Offensive Security提供的渗透测试认证,被广泛认为是业内最具实践性和挑战性的认证之一。该证书强调实际操作能力,要求考生在规定时间内完成一系列渗透测试任务,以证明其具备真实的渗透测试技能。
(二)考点
信息收集:包括网络侦察、端口扫描、服务识别等。
漏洞发现:常见漏洞如SQL注入、缓冲区溢出、文件上传漏洞等。
漏洞利用:尝试各种漏洞的利用方法,获取系统权限。
后渗透测试:包括权限提升、横向移动、数据窃取等。
(三)练习方法
学习基础知识:掌握网络、操作系统、数据库等基础知识,了解常见漏洞类型和利用方法。
搭建实验环境:使用虚拟机搭建各种渗透环境,及逆行实践操作。
参加培训课程:Offensive Security提供官方培训课程,也有一些第三方培训机构提供相关课程。
联系靶场:利用在线渗透测试靶场,如Hack The Box、VulnHub等进行练习。
二、OSep(Offensive Security Exploit Developer)
(一)证书介绍
OSep专注于漏洞利用开发,旨在培养专业的漏洞挖掘和利用开发人员。该证书要求考生具备深入的底层知识和高级编程技能,能够独立发现和利用软件中的安全漏洞。
(二)考点
逆向工程:掌握反汇编、调试等技术,分析软件的内部结构。
漏洞挖掘:使用静态分析和动态分析方法,发现软件中的安全漏洞。
漏洞利用开发:编写漏洞利用代码,实现对目标系统的控制。
高级编程:熟悉C、C++、Python等编程语言,能够进行底层编辑。
(三)练习方法
学习逆向工程知识:阅读相关书籍和教程,掌握逆向工程的基本技术。
实践漏洞挖掘:使用漏洞挖掘工具,如Fuzzing工具等,进行漏洞挖掘实践。
开发漏洞利用代码:根据挖掘到的漏洞,编写相应的代码。
参加CTF比赛:通过菜价CTF比赛,提高自己的漏洞利用开发能力。
(四)价格
OSep认证的价格相对较高且,通常在1699美元左右。具体价格可咨询Offensive Security 官方网站。
三、CISSP(Certified Information Systems Security Professional)
(一)证书介绍
CISSP是国际上广泛认可的信息安全专业认证,由(ISC)2 组织颁发。该证书涵盖了信息安全的各个领域,包括安全管理、访问控制、密码学、网络安全等,适合信息安全管理人员和专业人士。
(二)考点
安全管理:包括安全策略、风险管理、合规性等。
访问控制:身份认证、授权、访问控制模型等。
密码学:加密算法、密钥管理、数字签名等。
网络安全:网络架构、防火墙、入侵检测等。
软件开发安全:安全开发生命周期、代码审计等。
(三)练习方法
学习官方教材:阅读CISSP官方教材,掌握各个领域的知识。
参加培训课程:有很多培训机构提供CISSP培训课程,可以帮助考生系统地学习和复习。
做练习题:通过做练习题,加深对知识点的理解和掌握。
参加学习小组:与其他考生一起学习和交流,分享经验和心得。6啊