【資格】OSCP/ OSWE/ OSCE/ OSEE/ OSWP
最近受験ブログが増え始めているOffensive Security の資格です >>1
東京三鷹の土井(剛)莉里子
https://i.imgur.com/xuVI2S5.png
氏名■土井剛(莉里子)
生年月日■1994.3.7
前住所■〒181-0013 東京都三鷹市下連雀5丁目3 シティハイツ吉祥寺通り4階
性別■男(詐欺師のため、戸籍変更している可能性あり)
Twitter■@copy__writing @kotobamemo_bot
疾患■性同一性障害(LGBT)、発達障害(ADHD)、アスペルガー症候群、統合失調症
●一方的に好意を寄せる男性から相手にされないと嫌がらせを繰り返す
●某大学病院の精神科隔離病棟にて強制入院
●骨が見えるほどのリストカット
●奇声をあげながら自室部屋のドアをナイフで突き刺す
●シティハイツ吉祥寺通り4階から飛び降り自殺
●性転換手術(金玉を取る)
●トラブル...嫌がらせ、ハッキング、乗っ取り、たかり、脅迫、殺害予告...etc
●去年から今年にかけてyoutuber同士のトラブルの仲介に入り某大手youtuberから複数回に渡り1億近い慰謝料をふんだくる
●自宅の吉祥寺にいられなくなり、大阪に潜伏中(警察からも逃げている) 見事に過疎ってて泣いた
全部英語の試験だからハードル高いんかね 英語であることも障壁だろうけど
それ以上に内容の広範さと難しさがキツいと思うわ 国内のセキュリティ意識低すぎてこの資格レベルの高度な人材を必要としてる企業が無いんじゃないか
あと数年すれば一気に需要増して受ける人増えるかもな 宅建みたいに何の知識もない人がいきなり挑戦して良い資格なの?
それとも前提知識が必要? 受験体験記ブログなんかを見るとセキュリティエンジニアであっても結構大変そうだぞ… 求められているのはセキュリティ知見というよりも
攻撃性の実行力が問われる試験だからね
試験も知識を問うのではなくサーバの制御を奪え…というモノだし Hack The BoxとかTry Hack Meとかのハッキング系のサイトで腕試ししてみたらどう?
手も足も出ないようならまず無理だと思う 48時間の実技テストと1時間のCBTテストって時点で比較にならないくらいOSCPのが凄いと思う ホルダですがなんか質問ある?
できるだけ回答するよ。 HTBやVulnhubある程度攻略してから受験した?だとしたら主観的レベル感の違いを教えてほしい CLI普通に使えてbash, pythonスクリプト普通に書けるけどセキュリティ知識ゼロの人間なんだが何時間勉強すれば取れそう? >>17
Vulnhubはわからない。
labなしでHack the Boxで少し学習したよ。これは数年前の話だけど、HTBの無料VMは難しすぎると感じた。
HTBの有料サービスに加入すると試せる解答付きの問題で簡単なのが個人的に役だったと感じるよ。
>>18
そこからOSCP合格までの学習時間は不明だけど、必要な勉強量は小さくないと感じる。
>>17の書いてくれたサイトの問題を解答を見ながら解いて、何をするか理解すると少し見通しが立つかも。
OSCPの教科書はそういう初学者にとって有用だと思うけど、当然入手するにはお金が、理解するには努力が必要なので、やりたくなってお金の都合がついたら頑張って。 OSCPのテキストは、TelegramのFreedom F0xチャンネルに流出してるよね。 >>20
まじかー。
しかしそういうのに手を出さない賢明さというか、怖いものが潜む可能性を想像できないと、この業界は生きにくい気がする。 こないだOSCP合格したけど、技術的にはすごく難しいって試験ではない気がする
ただし精神面である程度タフじゃないと相当きついと思う それ受験ブログ読んでも結構書いてあるね
絶対に諦めない精神力がないと無理みたいな
実際実務のペネトレってそういうメンタル要素重要そうだよね 精神面のタフさ、あきらめない精神力ってのはほんとそう思う。
OSCPの場合、たくさんのエクスプロイトを読んで試す必要があるけど、
途中で不安になって、その確認を中途半端に終わらせてしまうなどして行き詰まったりね。
OSWEなら、知見に基づいて抽出したたくさんの着目点があって、
そこから問題と思しきポイントを見逃してしまったり、
逆に一か所に執着しすぎて他がおろそかになって正答にたどり着けなかったりね。
自分のサービスの品質をギャランティする自己管理力とかは米国的かも。 実際仕事でペネトレやってると制限時間終了10分前にようやく権限昇格成功、みたいなこともあるから諦めない心はほんと大事
そこもきちんと問われるという点がoffensive security試験の最大の価値だと思う 支援士とかCEHとかは暗記力と読解力の証明にはなるけどそれだけという印象
OffSecの資格は技術力と執筆力とタフネスが揃ってないと取れないから能力を証明するための資格として信頼度が圧倒的に高いよな 今まで90日コースが最長だったが、365日コースができてる。
お値段24万くらいだが、試験は2回受けれる。 >>28
会社が費用出してくれるホワイト(企業)ハッカー向け…のように見せかけて実は1年間ラボに籠もりたい変態向けコース >>26
CEHは資格としては微妙だけどラボが中々良かったよ
OSCPと単純に比較できるものではないと思う OSWE ホルダだけど、よく話題に出る徳丸試験のサンプル見てみたよ。
OSWEで扱っていない微細なこともあって、結構良いなぁと思った。
徳丸試験はOSWEとやることが全然違うし、OSWEよりも高度ってことはないけど、
OSWEホルダが徳丸試験やると、ペンテストの技術がエンパワーされる気がする。
私は今は別の勉強で忙しいけど、ペンテストの実務が忙しくなる前に、
徳丸試験できるようになっておこうと思う。 OSWEの試験では、CSRFやセッションハイジャックみたいな、正規のユーザによる操作が必要な脆弱性攻撃も必要?
.net以外のデシリアライゼーションも出題される?
いまいちスコープがわからないからどこまで備えておくか迷う
OSWE経験者さま教えてくれーー >>34
シラバスにはセッションハイジャックが載ってるね
どういったものかは知っておいたほうがいいんじゃないだろうか
試験に出るかは知らない >>36
レスありがとう
こないだトレーニング申し込んでラボやってたら、デバッグ用に用意されたマシンにwebアプリ疑似操作スクリプトがあったので、やはり正規のユーザによる操作が必要な脆弱性も試験範囲っぽい
テキストの課題でやった脆弱性は満遍なくカバーしといた方がよさそうだった OSCP持ってたら転職で無双できる思ってるんだが甘いかな >>38
国内だとまだ知名度低くて評価されづらいと思ってる
海外に目を向ければ、米国ではジュニアクラスのセキュリティジョブで引く手数多だと聞くし、日本でも米外資企業は求人票にOSCPの名前挙げてることが多いね
ただ、現時点ではあくまで米国ローカル資格だと思っていた方が良いと思うよ >>38
>>39の言う通りジュニアクラスなら強い資格だと思う
ペンテストやるだけじゃなくてクライアントや社内でのコミュニケーションが多くなるとやっぱり業務経験の方が断然重要になる感じかな >>39
>>40
ありがとうございます。
現状としては大変な割りにそこまで評価されてないのか、、、 つっても情報処理安全確保支援士とかに比べれば遥かに意味あると思うよ
評価高い他のセキュリティ系資格って
GIACは金銭的に個人だとキツいしCISSPは受験資格キツいし気軽に取れないんだよな
教材込みと考えると比較的安価だし誰でも受けれるメリットは大きいよ OSWE持ちだけど
ジュニアクラスってことはないと思うな
むしろ acomplished engineer の立場が確保できる
ただしそれは資格証を持っているからではなく
この知識と経験を用いると
経営層(管理職や組織職)が自分のアウトプットに一喜一憂して、
うまくいかなくても途中までの結果だけで商売できる
ということだけどね >>42
受験資格というより認定条件だな
まあIT系ならセキュリティに無関係ってことはないはずだが >>43
OSWE合格クラスの知識、技能を持つ人はなかなかいないからかな
よってアピール次第で評価が得られると OSCPとOSWE持ってるけど、あくまで資格だけで無双できるような求人はジュニアクラスだけってことやね
それより上のクラスで重要になるのは、>>43と>>45の書いてる通り、そのバックグラウンドを実務で活かしてきちんとアウトプットできるか、コミュニケーション取れるか、そのアピールができるかどうか これまじ?
549 名無し検定1級さん (アウアウウー Sa55-vCZ4) sage 2021/08/07(土) 14:19:04.96 ID:ICZZVVVba
何度も言うが食いっぱぐれないことを目指すなら情報処理安全確保支援士一択
セキュリティ人材がとにかく足りてないのと入札要件になるから必ず正社員になれるから マジマジ なわけねーだろ
資格板のAPスレで書かれていることを本気にする奴があるか >>★日本の製粉大手に「前例ない」大規模攻撃 大量データ暗号化 起動不能、バックアップもダメで「復旧困難」
こういうことがちょくちょくあるから
認知度や需要上がればいいが そんなに少ないんだっけ?
まあCISSPが3千人とか考えると妥当な数か
さらに上位のOSWEとかだと数十人くらいか? OSCP取ったんで次はメールでお薦めされたOSWE目指しますわ 皆様、自衛隊でサイバー防衛隊になる人は流石にいないか?w
https://www.mod.go.jp/j/saiyou/sonota/pdf/toubaku.pdf
防衛省統合幕僚監部では、以下のとおり主としてサイバーセキュリティ関連業務に
従事する防衛技官(係長級)を募集いたします。
応募資格
(1)民間企業、官公庁等において、正社員・正職員(これと同等と認められる職務
形態を含みます。)職務経験が令和2年10月1日現在で通算13年以上となる者
(2)昭和37年4月2日から平成元年4月1日までに生まれた者
(3)情報処理推進機構(IPA)が示すITスキル標準のレベル3以上又はこれに
相当する民間資格を保有する者
https://www.mod.go.jp/j/saiyou/internal/hijoukin/hijoukin_saiyou_202104.html
]
【募集情報】防衛省内部部局非常勤職員(サイバーセキュリティ統括アドバイザー)
サイバーセキュリティ分野で10年程度の業務経験を有する者
サイバーセキュリティ分野で10人程度のプロジェクトのリーダーの経験を有する者
デジタルフォレンジックやセキュアプログラミングといった分野の最新技術や、サイバー攻撃に使用されるマルウェアの最新動向、ソフトウェアやハードウェアの脆弱性などにかかる高度な知識やスキルを有する者
CISSP、CISA、PMP等IT・セキュリティに関する国際資格を有する者 そうそう、公務員職は欲しい年齢を給与で示していると思う。
自分は歳いってるし公務員はありえん。
OSxxやってわかるのは、この資格、結構な経験がいるので、年行ってる方が有利なんだけどね。 そうなのか、、受験系ブログ記事OSCPのしか見てないけど、比較的若手っぽい人が多い印象 【セキュリティ】北京五輪の選手用アプリには重大なセキュリティの欠陥があることが判明、キーワード検閲リストも発見される
https://egg.5ch.net/test/read.cgi/scienceplus/1642560234/ >>66
歳いってるホルダーが多いとは言っていないよ
歳いってる方が有利というだけね
ただ日本社会では本当に優秀な人間しか取れない資格はあまりメジャーになれないとも思うので、OSxxのブランドで飯を食おうとしてもあまり収入は上がらず、OSxxの学習によって得られた知見とそれをマネタイズする知恵の2面で収入を高めることを考えた方がいいとは思う。 折角見つけたが過疎ってるな
OSCPの勉強始めるわ
it土方なもんで面白いことやりたい / ̄ ̄ ̄ ̄ ̄ ミ
/ ,――――-ミ
/ / / \ |
| / ,(・) (・) |
(6 つ |
| ___ | / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
| /__/ / < いいわけねぇだろ!
/| /\ \__________ 【セキュリティ】「世界トップ級の技術」と言われるが…ロシアのサイバー攻撃がウクライナにまるで通用しない意外な理由
https://egg.5ch.net/test/read.cgi/scienceplus/1662723128/
【セキュリティ】ワールドカップに参加するすべての人に義務づけられている公式アプリは「カタール当局に家の鍵を渡すようなものだ」
https://egg.5ch.net/test/read.cgi/scienceplus/1666009530/ 【セキュリティ】カタールW杯の参加者にインストールが求められるアプリについてデータ保護当局が警告、使い捨てスマホの使用を推奨
https://egg.5ch.net/test/read.cgi/scienceplus/1668688805/ OSWE二日目眠すぎる
一日で突破できないと厳しい >>88
この試験で求められているのは問題の自己解決能力だから、流行らないのは仕方ない 身代金ウイルス、警察庁が暗号解除成功 支払い未然防止
データを暗号化して金銭を要求するランサムウエアの一種に対し、警察庁が新たな対抗策に乗り出した。
ウイルスの暗号を強制解除し、国内企業3社でデータの復元に成功。
従来の予防と摘発で被害の拡大を防げないなか、身代金支払いの未然防止につなげた。
日本のサイバー当局の技術力の高さを示したといえ、欧州の複数の捜査当局とも連携し、国際的な包囲網の形成を急ぐ。
https://www.nikkei.com/article/DGXZQOUE062930W2A201C2000000/
ホワイトハッカー雇ったのか ドアノブの鍵穴にアロンアルファ注入するようなものか。
借り主が、キーを差し込もうとしても、入らない部屋に入れない。 >>92
欠陥が顕在化していた旧バージョンで暗号化されたもの(海外でも既に復号してる)を後追いでやっただけでは? 問題解くのは楽しそうだけど、連続2日とかの試験時間設定がよくわからない
ペンテスターってそういうもんなの?
一問ずつ小分けに出題して、3日に分けるとか出来ないのかな? 個人的には小分けに出さない方がリアリティあると思うな。ターゲットが複数ある中で優先順位づけしてテストできる能力とか、ちゃんと報告書書き上げるまで含めて時間うまく使えるかも測りたいスキルの一つなんだと思ってる
後、実際のペネトレだとテスト途中でクライアントが対象増やしたらスコープクリープで契約違反