【資格】OSCP/ OSWE/ OSCE/ OSEE/ OSWP
最近受験ブログが増え始めているOffensive Security の資格です >>1
東京三鷹の土井(剛)莉里子
https://i.imgur.com/xuVI2S5.png
氏名■土井剛(莉里子)
生年月日■1994.3.7
前住所■〒181-0013 東京都三鷹市下連雀5丁目3 シティハイツ吉祥寺通り4階
性別■男(詐欺師のため、戸籍変更している可能性あり)
Twitter■@copy__writing @kotobamemo_bot
疾患■性同一性障害(LGBT)、発達障害(ADHD)、アスペルガー症候群、統合失調症
●一方的に好意を寄せる男性から相手にされないと嫌がらせを繰り返す
●某大学病院の精神科隔離病棟にて強制入院
●骨が見えるほどのリストカット
●奇声をあげながら自室部屋のドアをナイフで突き刺す
●シティハイツ吉祥寺通り4階から飛び降り自殺
●性転換手術(金玉を取る)
●トラブル...嫌がらせ、ハッキング、乗っ取り、たかり、脅迫、殺害予告...etc
●去年から今年にかけてyoutuber同士のトラブルの仲介に入り某大手youtuberから複数回に渡り1億近い慰謝料をふんだくる
●自宅の吉祥寺にいられなくなり、大阪に潜伏中(警察からも逃げている) 見事に過疎ってて泣いた
全部英語の試験だからハードル高いんかね 英語であることも障壁だろうけど
それ以上に内容の広範さと難しさがキツいと思うわ 国内のセキュリティ意識低すぎてこの資格レベルの高度な人材を必要としてる企業が無いんじゃないか
あと数年すれば一気に需要増して受ける人増えるかもな 宅建みたいに何の知識もない人がいきなり挑戦して良い資格なの?
それとも前提知識が必要? 受験体験記ブログなんかを見るとセキュリティエンジニアであっても結構大変そうだぞ… 求められているのはセキュリティ知見というよりも
攻撃性の実行力が問われる試験だからね
試験も知識を問うのではなくサーバの制御を奪え…というモノだし Hack The BoxとかTry Hack Meとかのハッキング系のサイトで腕試ししてみたらどう?
手も足も出ないようならまず無理だと思う 48時間の実技テストと1時間のCBTテストって時点で比較にならないくらいOSCPのが凄いと思う ホルダですがなんか質問ある?
できるだけ回答するよ。 HTBやVulnhubある程度攻略してから受験した?だとしたら主観的レベル感の違いを教えてほしい CLI普通に使えてbash, pythonスクリプト普通に書けるけどセキュリティ知識ゼロの人間なんだが何時間勉強すれば取れそう? >>17
Vulnhubはわからない。
labなしでHack the Boxで少し学習したよ。これは数年前の話だけど、HTBの無料VMは難しすぎると感じた。
HTBの有料サービスに加入すると試せる解答付きの問題で簡単なのが個人的に役だったと感じるよ。
>>18
そこからOSCP合格までの学習時間は不明だけど、必要な勉強量は小さくないと感じる。
>>17の書いてくれたサイトの問題を解答を見ながら解いて、何をするか理解すると少し見通しが立つかも。
OSCPの教科書はそういう初学者にとって有用だと思うけど、当然入手するにはお金が、理解するには努力が必要なので、やりたくなってお金の都合がついたら頑張って。 OSCPのテキストは、TelegramのFreedom F0xチャンネルに流出してるよね。 >>20
まじかー。
しかしそういうのに手を出さない賢明さというか、怖いものが潜む可能性を想像できないと、この業界は生きにくい気がする。 こないだOSCP合格したけど、技術的にはすごく難しいって試験ではない気がする
ただし精神面である程度タフじゃないと相当きついと思う それ受験ブログ読んでも結構書いてあるね
絶対に諦めない精神力がないと無理みたいな
実際実務のペネトレってそういうメンタル要素重要そうだよね 精神面のタフさ、あきらめない精神力ってのはほんとそう思う。
OSCPの場合、たくさんのエクスプロイトを読んで試す必要があるけど、
途中で不安になって、その確認を中途半端に終わらせてしまうなどして行き詰まったりね。
OSWEなら、知見に基づいて抽出したたくさんの着目点があって、
そこから問題と思しきポイントを見逃してしまったり、
逆に一か所に執着しすぎて他がおろそかになって正答にたどり着けなかったりね。
自分のサービスの品質をギャランティする自己管理力とかは米国的かも。 実際仕事でペネトレやってると制限時間終了10分前にようやく権限昇格成功、みたいなこともあるから諦めない心はほんと大事
そこもきちんと問われるという点がoffensive security試験の最大の価値だと思う 支援士とかCEHとかは暗記力と読解力の証明にはなるけどそれだけという印象
OffSecの資格は技術力と執筆力とタフネスが揃ってないと取れないから能力を証明するための資格として信頼度が圧倒的に高いよな 今まで90日コースが最長だったが、365日コースができてる。
お値段24万くらいだが、試験は2回受けれる。 >>28
会社が費用出してくれるホワイト(企業)ハッカー向け…のように見せかけて実は1年間ラボに籠もりたい変態向けコース >>26
CEHは資格としては微妙だけどラボが中々良かったよ
OSCPと単純に比較できるものではないと思う OSWE ホルダだけど、よく話題に出る徳丸試験のサンプル見てみたよ。
OSWEで扱っていない微細なこともあって、結構良いなぁと思った。
徳丸試験はOSWEとやることが全然違うし、OSWEよりも高度ってことはないけど、
OSWEホルダが徳丸試験やると、ペンテストの技術がエンパワーされる気がする。
私は今は別の勉強で忙しいけど、ペンテストの実務が忙しくなる前に、
徳丸試験できるようになっておこうと思う。 OSWEの試験では、CSRFやセッションハイジャックみたいな、正規のユーザによる操作が必要な脆弱性攻撃も必要?
.net以外のデシリアライゼーションも出題される?
いまいちスコープがわからないからどこまで備えておくか迷う
OSWE経験者さま教えてくれーー >>34
シラバスにはセッションハイジャックが載ってるね
どういったものかは知っておいたほうがいいんじゃないだろうか
試験に出るかは知らない >>36
レスありがとう
こないだトレーニング申し込んでラボやってたら、デバッグ用に用意されたマシンにwebアプリ疑似操作スクリプトがあったので、やはり正規のユーザによる操作が必要な脆弱性も試験範囲っぽい
テキストの課題でやった脆弱性は満遍なくカバーしといた方がよさそうだった OSCP持ってたら転職で無双できる思ってるんだが甘いかな >>38
国内だとまだ知名度低くて評価されづらいと思ってる
海外に目を向ければ、米国ではジュニアクラスのセキュリティジョブで引く手数多だと聞くし、日本でも米外資企業は求人票にOSCPの名前挙げてることが多いね
ただ、現時点ではあくまで米国ローカル資格だと思っていた方が良いと思うよ >>38
>>39の言う通りジュニアクラスなら強い資格だと思う
ペンテストやるだけじゃなくてクライアントや社内でのコミュニケーションが多くなるとやっぱり業務経験の方が断然重要になる感じかな >>39
>>40
ありがとうございます。
現状としては大変な割りにそこまで評価されてないのか、、、