Мои впечатления от PWK & OSCP

Мои впечатления от PWK & OSCP
Экзамен окончен, результаты на руках, теперь можно сжечь конспекты, обновить Kali и написать небольшое резюме о прохождении курса Penetration Testing with Kali и сдаче экзамена Offensive Security Certified Professional . Много информации раскрыть не выйдет – запрещено правилами, но ключевые наблюдения и выводы, не углубляясь в детали, я изложу. Тем более, что популярность этой программы сертификации заслуженно набирает обороты и вопросы поступают все чаще. Итак, по порядку, сначала вопросы.

Кому нужно учиться/сдавать?
Быстрый ответ: всем. Если вы как-то связаны с наступательной безопасностью, лишним этот опыт не будет. Пентестерам – обязательно, остальным – по желанию.

Стоит ли учиться опытным пентестерам?
Быстрый ответ: да. К сожалению, без оплаты курса сдать экзамен не получится, и я не могу сказать, что узнал из курса что-то новое. Но систематизация знаний и обновление скриптов уже стоят заплаченных денег. В худшем случае просто весело и с пользой проведете время в лабе.

Какой минимальный уровень знаний необходим для обучения?
Достаточно не бояться консоли и знать (приблизительно) как работает компьютер и сеть. То есть, знания пользования Linux, стека протоколов TCP/IP и архитектуры ПК очень помогут. Если вы можете объяснить, что такое buffer overflow, и когда-то пользовались не-MSF эксплойтами, то курс покажется вам совсем несложным. Если же вам близки вопросы application security, то самые сложные моменты тренинга вам покажутся приятной прогулкой.

С вопросами пока все, не стесняйтесь задавать их в комментариях или по другим каналам связи, с удовольствием отвечу (в рамках NDA). Теперь несколько советов желающим пройти этот тернистый путь.

1. Заказывайте полтора месяца лаб. Если у вас нет возможности уделять обучению четыре часа в день, этого времени как раз хватит для выполнения всех упражнений и работы с тестовыми сетями. Я изначально оплатил только месяц, после чего доплатил за две дополнительные недели.
С другой стороны, четкого требования по лабораторным работам у OffSec нет. Они рекомендуют провести в лабе столько времени, сколько вам нужно для достижения уверенности в своих силах. Мне понадобилось шесть недель вместо четырех.

2. Не обновляйте Kali. Делайте снепшоты. Это очень важно, потому что курс достаточно статичен, а наполнение дистрибутива изменяется в реальном времени. Например, в ходе моего обучения из MSF окончательно исчезли msfpayload & msfencode. Выкрутиться можно всегда, но лучше сделать это потом, когда будет больше свободного времени.

3. Не отказывайте себе во сне. Да, очень интересно возиться в лабе до четырех утра, но падение производительности, вызванное недостатком сна, серьезно отражается на дальнейшем обучении и дневной работе. Я старался учиться максимум до часу, хотя несколько раз нарушил это правило.

4. Не заказывайте экзамен раньше, чем через две недели после окончания курса. Подходить к 24-часовому челенджу с серьезным багажем накопленной усталости – не самая лучшая идея. Выспитесь, проветритесь, и тогда за работу.

5. Не планируйте ничего в дни экзамена. Ничего в смысле вообще. Подумайте заранее о пище и питье, чтобы не тратить на это время во время испытания. Если есть возможность остаться одному в квартире на 48 часов экзамена, это очень поможет.
Также, я советую поспать хотя бы четыре часа в первые сутки экзамена и несколько часов через 24 часа после его начала. Я совершил большую тактическую ошибку на старте и потерял около 9 часов времени в первые сутки, поэтому мне пришлось себя ограничить. Вам должно повезти больше.

6. Самый главный и важный совет, который я не могу произнести вслух, но который попробую выразить намеком. Слоган Offensive Security звучит так: "Try harder." Я бы советовал им расширить его фразой "Keep it simple." Лабы и экзамен очень реалистичны, и как в и реальности, излишняя сложность там только вредит.

Если у вас есть советы по выживанию в ходе PWK & OSCP, которыми вы хотите поделиться с читателями этого блога, сообщите их мне и я с удовольствием обновлю этот пост.

И помните. While trying harder, keep it simple.


Alt text

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!

Vlad Styran

информационно. безопасно.*