OSWE 开篇 准备和学习的方法论

什么是OSWE

考察代码审计,考试是提供两个网站的源代码,通过审计其中的源代码发现漏洞链,最后通过一个普通用户的权限到管理员权限最后到机器的权限即可。

简单的自我介绍

我很早就接触过代码审计了,我审计过一些通用的CMS和一些采购自供应商的后台代码的很多高危漏洞。
对于WEB安全漏洞比较熟悉,对于漏洞能够大致猜测到对应的代码是怎么写的。
但是我的知识点比较分散没有进行集中的梳理,这就会造成我的代码审计能力取决于当天的状态如何。

为什么考 OSWE

从个人发展上来说
1、我想将自己之前的代码审计经验整理,通过OSWE考试形成自己的一个方法论。
2、从安全的起源上来说,安全本质是来源于运维和开发的错误和局限,想要做好安全的工作一定要深刻理解安全对于运维,安全对于开发之间的关系。代码审计安全就是打开开发的第一扇门,而OSWE就是代码审计的第一扇门。
从工作上来说
不管是企业建设SDL还是DevSecOps强调的有一个观点是将安全进行左移。在此背景下,代码审计是必不可少的一环。
目标是非常重要的,这里读者朋友们也可以进行思考自己是否真的需要考这个认证

如何进行准备OSWE考试

0、提前进行准备

0.1 准备好你的网络,在国内你需要想办法连接上Offsensive Security官方的Lab,可能需要你的一些"基础网络技巧"
0.2 准备好你的Kali和虚拟机以及需要使用到的软件

1、提早进行预习

1.1 在OSWE开始之前需要将常见的WEB安全漏洞进行梳理并且进行分析。
1.2 oswe pdf当中主要是对之前的一些实际的漏洞的分析,但是其实这些漏洞分析的文章以及视频都已经在网上进行了公开。在oswe当中你的课程pdf和你的lab是同时进行开始的,所以最好在报名之前或者在报名之后得到课程pdf之前就过一遍对应的知识点。

2、学习当中的方法

当购买OSWE之后会提供PDF和Video,我更推荐将时间花费在观看视频上

原因有以下几个
2.1、英文阅读水平决定了大多数做技术的兄弟不能坚持,英文pdf会产生生理性不适应,毕竟不是每一个人都能坚持一边百度翻译一边熬里面的名词。
2.2、OSWE是一门动手的考试,更像体育课而不是历史课,所以在材料当中会有视频,我的建议是边看视频边用手机的同声翻译边进行操作。

每学习完一个章节之后需要对其中的内容进行回顾,知道是什么样子的漏洞造成了什么样的问题,使用到的脚本进行自己手工写。
建议跟着视频做一次之后自己又做一次。

总结

最佳实践
在报名之前,熟悉课程当中提到的漏洞,最好是能够找到中文的文章方便阅读。
材料一下来,lab就开始了。可以先结合着视频一起看,然后进行复现。第一次可以边看视频边做,后面复习的时候不看视频进行,遇到卡壳的进行记录。
不断进行复习,因为你是不会想到自己遗忘的速度会有多快的。

referer

OSWE准备链接

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值