【資格】OSCP/ OSWE/ OSCE/ OSEE/ OSWP

**名無しさん＠お腹いっぱい。** · 2020/04/27(月) 08:21:46.07

最近受験ブログが増え始めているOffensive Security の資格です

**名無しさん＠お腹いっぱい。** · 2020/04/27(月) 08:26:05.46

Offensive Security
https://www.offensive-security.com/

2020/04/27(月) 14:29:59.40

>>1
東京三鷹の土井（剛）莉里子
https://i.imgur.com/xuVI2S5.png

氏名■土井剛（莉里子）

生年月日■1994.3.7

前住所■〒181-0013 東京都三鷹市下連雀5丁目3 シティハイツ吉祥寺通り4階

性別■男（詐欺師のため、戸籍変更している可能性あり）

Twitter■@copy__writing　@kotobamemo_bot

疾患■性同一性障害（LGBT）、発達障害（ADHD）、アスペルガー症候群、統合失調症

●一方的に好意を寄せる男性から相手にされないと嫌がらせを繰り返す
●某大学病院の精神科隔離病棟にて強制入院
●骨が見えるほどのリストカット
●奇声をあげながら自室部屋のドアをナイフで突き刺す
●シティハイツ吉祥寺通り4階から飛び降り自殺
●性転換手術（金玉を取る）
●トラブル...嫌がらせ、ハッキング、乗っ取り、たかり、脅迫、殺害予告...etc
●去年から今年にかけてyoutuber同士のトラブルの仲介に入り某大手youtuberから複数回に渡り1億近い慰謝料をふんだくる
●自宅の吉祥寺にいられなくなり、大阪に潜伏中（警察からも逃げている）

**名無しさん＠お腹いっぱい。** · 2021/02/11(木) 00:08:39.27

見事に過疎ってて泣いた
全部英語の試験だからハードル高いんかね

**名無しさん＠お腹いっぱい。** · 2021/02/18(木) 05:34:56.68

英語であることも障壁だろうけど
それ以上に内容の広範さと難しさがキツいと思うわ

**名無しさん＠お腹いっぱい。** · 2021/02/18(木) 18:52:49.53

総合格闘技のようなもんだしな

**名無しさん＠お腹いっぱい。** · 2021/02/18(木) 19:46:40.95

うまいことを

**名無しさん＠お腹いっぱい。** · 2021/03/04(木) 12:04:17.47

国内のセキュリティ意識低すぎてこの資格レベルの高度な人材を必要としてる企業が無いんじゃないか

あと数年すれば一気に需要増して受ける人増えるかもな

**名無しさん＠お腹いっぱい。** · 2021/03/20(土) 19:26:45.11

宅建みたいに何の知識もない人がいきなり挑戦して良い資格なの？
それとも前提知識が必要？

**名無しさん＠お腹いっぱい。** · 2021/03/21(日) 00:55:27.79

受験体験記ブログなんかを見るとセキュリティエンジニアであっても結構大変そうだぞ…

**名無しさん＠お腹いっぱい。** · 2021/03/22(月) 21:18:47.12

求められているのはセキュリティ知見というよりも
攻撃性の実行力が問われる試験だからね
試験も知識を問うのではなくサーバの制御を奪え…というモノだし

**名無しさん＠お腹いっぱい。** · 2021/03/23(火) 17:05:17.38

Hack The BoxとかTry Hack Meとかのハッキング系のサイトで腕試ししてみたらどう？
手も足も出ないようならまず無理だと思う

**名無しさん＠お腹いっぱい。** · 2021/03/23(火) 19:24:52.28

ホワイトハッキングができるぞい！

**名無しさん＠お腹いっぱい。** · 2021/03/23(火) 19:26:03.73

これと徳丸試験どっちが凄いんだ？

**名無しさん＠お腹いっぱい。** · 2021/03/24(水) 01:21:18.94

48時間の実技テストと1時間のCBTテストって時点で比較にならないくらいOSCPのが凄いと思う

**名無しさん＠お腹いっぱい。** · 2021/03/25(木) 07:05:24.25

ホルダですがなんか質問ある？
できるだけ回答するよ。

**名無しさん＠お腹いっぱい。** · 2021/03/25(木) 10:19:14.56

HTBやVulnhubある程度攻略してから受験した？だとしたら主観的レベル感の違いを教えてほしい

**名無しさん＠お腹いっぱい。** · 2021/03/25(木) 11:36:29.89

CLI普通に使えてbash, pythonスクリプト普通に書けるけどセキュリティ知識ゼロの人間なんだが何時間勉強すれば取れそう？

**名無しさん＠お腹いっぱい。** · 2021/03/26(金) 05:26:21.22

>>17
Vulnhubはわからない。
labなしでHack the Boxで少し学習したよ。これは数年前の話だけど、HTBの無料VMは難しすぎると感じた。
HTBの有料サービスに加入すると試せる解答付きの問題で簡単なのが個人的に役だったと感じるよ。

>>18
そこからOSCP合格までの学習時間は不明だけど、必要な勉強量は小さくないと感じる。
>>17の書いてくれたサイトの問題を解答を見ながら解いて、何をするか理解すると少し見通しが立つかも。
OSCPの教科書はそういう初学者にとって有用だと思うけど、当然入手するにはお金が、理解するには努力が必要なので、やりたくなってお金の都合がついたら頑張って。

**名無しさん＠お腹いっぱい。** · 2021/03/26(金) 05:40:04.55

OSCPのテキストは、TelegramのFreedom F0xチャンネルに流出してるよね。

**名無しさん＠お腹いっぱい。** · 2021/03/26(金) 06:10:43.62

>>20
まじかー。
しかしそういうのに手を出さない賢明さというか、怖いものが潜む可能性を想像できないと、この業界は生きにくい気がする。

**名無しさん＠お腹いっぱい。** · 2021/03/26(金) 20:40:42.19

こないだOSCP合格したけど、技術的にはすごく難しいって試験ではない気がする
ただし精神面である程度タフじゃないと相当きついと思う

**名無しさん＠お腹いっぱい。** · 2021/03/26(金) 23:48:55.39

それ受験ブログ読んでも結構書いてあるね
絶対に諦めない精神力がないと無理みたいな
実際実務のペネトレってそういうメンタル要素重要そうだよね

**名無しさん＠お腹いっぱい。** · 2021/03/27(土) 05:19:01.78

精神面のタフさ、あきらめない精神力ってのはほんとそう思う。

OSCPの場合、たくさんのエクスプロイトを読んで試す必要があるけど、
途中で不安になって、その確認を中途半端に終わらせてしまうなどして行き詰まったりね。

OSWEなら、知見に基づいて抽出したたくさんの着目点があって、
そこから問題と思しきポイントを見逃してしまったり、
逆に一か所に執着しすぎて他がおろそかになって正答にたどり着けなかったりね。

自分のサービスの品質をギャランティする自己管理力とかは米国的かも。

**名無しさん＠お腹いっぱい。** · 2021/03/27(土) 15:15:34.01

実際仕事でペネトレやってると制限時間終了10分前にようやく権限昇格成功、みたいなこともあるから諦めない心はほんと大事

そこもきちんと問われるという点がoffensive security試験の最大の価値だと思う

**名無しさん＠お腹いっぱい。** · 2021/03/27(土) 18:10:44.59

支援士とかCEHとかは暗記力と読解力の証明にはなるけどそれだけという印象
OffSecの資格は技術力と執筆力とタフネスが揃ってないと取れないから能力を証明するための資格として信頼度が圧倒的に高いよな

**名無しさん＠お腹いっぱい。** · 2021/03/28(日) 10:50:29.20

徳丸試験の方が凄くね？

**名無しさん＠お腹いっぱい。** · 2021/03/31(水) 23:56:04.51

今まで90日コースが最長だったが、365日コースができてる。
お値段24万くらいだが、試験は2回受けれる。

**名無しさん＠お腹いっぱい。** · 2021/04/01(木) 00:26:28.95

ほほー人気なんだな

**名無しさん＠お腹いっぱい。** · 2021/04/01(木) 02:04:12.94

>>28
会社が費用出してくれるホワイト(企業)ハッカー向け…のように見せかけて実は1年間ラボに籠もりたい変態向けコース

**名無しさん＠お腹いっぱい。** · 2021/04/03(土) 13:59:37.46

新説ホワイトハッカーには草

**名無しさん＠お腹いっぱい。** · 2021/04/09(金) 21:25:52.71

>>26
CEHは資格としては微妙だけどラボが中々良かったよ
OSCPと単純に比較できるものではないと思う

**名無しさん＠お腹いっぱい。** · 2021/04/10(土) 04:37:28.15

OSWE ホルダだけど、よく話題に出る徳丸試験のサンプル見てみたよ。

OSWEで扱っていない微細なこともあって、結構良いなぁと思った。

徳丸試験はOSWEとやることが全然違うし、OSWEよりも高度ってことはないけど、
OSWEホルダが徳丸試験やると、ペンテストの技術がエンパワーされる気がする。

私は今は別の勉強で忙しいけど、ペンテストの実務が忙しくなる前に、
徳丸試験できるようになっておこうと思う。

**名無しさん＠お腹いっぱい。** · 2021/04/29(木) 14:45:11.37

OSWEの試験では、CSRFやセッションハイジャックみたいな、正規のユーザによる操作が必要な脆弱性攻撃も必要？

.net以外のデシリアライゼーションも出題される？

いまいちスコープがわからないからどこまで備えておくか迷う
OSWE経験者さま教えてくれーー

**名無しさん＠お腹いっぱい。** · 2021/05/15(土) 02:57:41.70

819 名前:名無しさん＠お腹いっぱい。 :2021/05/13(木) 20:09:17.01
防衛省が中国のハッカーとやり合える人材を募集中年収最高２０００万円 [533895477]
https://www.yomiuri.co.jp/editorial/20210429-OYT1T50216/
https://www.nikkei.com/article/DGXZQODE130ER0T10C21A5000000/
https://leia.5ch.net/test/read.cgi/poverty/1620874048

**名無しさん＠お腹いっぱい。** · 2021/05/20(木) 06:28:19.10

>>34
シラバスにはセッションハイジャックが載ってるね
どういったものかは知っておいたほうがいいんじゃないだろうか
試験に出るかは知らない

**名無しさん＠お腹いっぱい。** · 2021/05/22(土) 04:43:55.16

>>36
レスありがとう
こないだトレーニング申し込んでラボやってたら、デバッグ用に用意されたマシンにwebアプリ疑似操作スクリプトがあったので、やはり正規のユーザによる操作が必要な脆弱性も試験範囲っぽい

テキストの課題でやった脆弱性は満遍なくカバーしといた方がよさそうだった

**名無しさん＠お腹いっぱい。** · 2021/05/25(火) 22:03:54.73

OSCP持ってたら転職で無双できる思ってるんだが甘いかな

**名無しさん＠お腹いっぱい。** · 2021/05/28(金) 11:05:49.89

>>38
国内だとまだ知名度低くて評価されづらいと思ってる

海外に目を向ければ、米国ではジュニアクラスのセキュリティジョブで引く手数多だと聞くし、日本でも米外資企業は求人票にOSCPの名前挙げてることが多いね
ただ、現時点ではあくまで米国ローカル資格だと思っていた方が良いと思うよ

**名無しさん＠お腹いっぱい。** · 2021/05/28(金) 13:02:08.45

>>38
>>39の言う通りジュニアクラスなら強い資格だと思う
ペンテストやるだけじゃなくてクライアントや社内でのコミュニケーションが多くなるとやっぱり業務経験の方が断然重要になる感じかな

**名無しさん＠お腹いっぱい。** · 2021/06/03(木) 12:48:42.03

>>39
>>40

ありがとうございます。
現状としては大変な割りにそこまで評価されてないのか、、、

**名無しさん＠お腹いっぱい。** · 2021/06/08(火) 00:37:47.06

つっても情報処理安全確保支援士とかに比べれば遥かに意味あると思うよ

評価高い他のセキュリティ系資格って
GIACは金銭的に個人だとキツいしCISSPは受験資格キツいし気軽に取れないんだよな

教材込みと考えると比較的安価だし誰でも受けれるメリットは大きいよ