Открыть список
Как стать автором
Обновить

Комментарии 27

Круто! Мой экзамен в cisco после такого выглядит, как детский лепет :)
Горячий привет от человека, пропатчившего эксплоит для Phoenix =) Там для этого ядра есть 42 и 45 статьи в Exploit-DB, но добрые ребята из Offensive Security аккуратно прикрыли дыру для 45 самого популярного эксплоита, но не целиком, а только так, чтобы скачанный с сайта не работал. В итоге оказалось достаточно прочитать CVE и поправить одно слово, чтобы этот эксплоит заработал) У меня, кстати, в августе еще нужно было шифровать отчет паролем… С удивлением узнал, что теперь это не так. Видимо многие ломались на чтении правил и не присылали правильный отчет… Я в итоге взял все машины в лабе и все на экзамене, хотя 25 машина на экзамене попортила мне очень очень много крови. Она была как титановый шарик с одним открытым портом, к которому непонятно как вообще подступаться. А в BOF я встретил отдельную пасхалку от Offsec) Но в итоге я взял все) Очень хочу теперь на AWAE, но бью пока себя по рукам, вначале надо всё же устроиться на работу)
А в BOF я встретил отдельную пасхалку от Offsec

А что за пасхалка?

Ну я ж так не могу об этом сказать тут) Но чувство юмора у них точно есть, я минут 15 пытался понять где я дурак… Знаю еще случаи по форумам, когда на реальной машине были закрыты все исходящие порты и народ уронив сервис не получал шелл обратно, а вспомнить, что можно добавить локального админа попросту забывал… Мне, к счастью, такое не попалось, но я был готов.
А чтобы было совсем весело, первые 24 часа за тобой через веб-камеру будут наблюдать специально обученные люди. Твой экран они тоже будут видеть. А потому, даже если захочется отойти в туалет, нужно будет написать об этом в специальном чате.

WTF?? А можно надеть маску Гая Фокса во время экзамена?

Можно. Но в этом случае вас просто не допустят до экзамена. Это вынужденная цена популярности экзамена и поддержание его качества. Все серьёзные онлайн экзамены давно «Proctored». Справедливости ради, Offsec зато не пишет звук, как делаю это почти все системы сдачи типа Vue.
Ну и хотелось бы добавить, что тут нет традиционного зверства как при сдаче PMP, например. У меня на столе всегда была чашка чая, вазочка с орехами/шоколадом и другим снеками. Никого не будет волновать, что ты будешь сидеть с ногами на кресле и прихлёбывать чай с чипсами. Хоть пиво пей. Главное, чтобы было видно твою верхнюю половину тела. Я ближе к концу слишком сполз и меня попросили поправить камеру) Ну еще и от проктора зависит, конечно. Их человек 5 за всё время сменится.

Спасибо за развёрнутый ответ. А можно расшарить один экран, где разворачивается экзамен, а второй оставить нерасшаренным (вдруг что-то загуглить надо будет)? Или лучше поставить 2 ноута рядом? У меня иногда вылетают из головы простые команды, стыдно гуглить на экране, который под наблюдением)))

Во время экзамена можно не только гуглить но и даже пользоваться любыми заметками или скриптами которые были сделаны во время работы в лаборатории.

Увы, так запрещено) Шарится всё. Лучше решить проблему со «стыдно» =) Всем всё равно, что вы будете гуглить. Когда к ночи тупил, гуглил чуть ли не банальные вещи…
Я студентам всегда говорил, что забыть не стыдно, стыдно в этом не признаться)
Экзамен проходит в формате «open book», т.е. разрешено всё кроме явной помощи со стороны. Гуглить, смотреть видео в ютьюбе, читать статьи и т.д. В целом лаба в основном нацелена на то, чтобы выработать свою собственную методологию. У меня целый репозиторий в github с методикой, ссылками и командами. Я бы даже больше сказал, экзамен не столько про знания, сколько еще про тайм менеджмент. Очень много историй в англоязычном интернете, как народ залипал на одной машине и сидел с ней по 5-8 часов и полностью выгорал… Поэтому я подсмотрел в одном из отчетов и сделал себе некую табличку с разбивкой времени дня по машинам и сну/еде. И старался придерживаться её, если застрял на час, обязательно переключаться. И делал перерывы в выбранное время. По себе скажу, что самые классные идеи пришли мне после ночного сна и перерывов на «посидеть на кухне и посмотреть в окно». Мозг отпускает рельсы и решает задачу за тебя)
Подскажите, пожалуйста какими языками программирования необходимо владеть для сдачи этого экзамена?

Определенно Python на базовом уровне, так как именно на его примере построено обучение в секции buffer overflow. Еще будет плюсом знание PHP и C на уровне чтения, так как может понадобится для модификации готовых эксплойтов но не более.

Благодарю!
И тогда ещё один вопрос — какие инструменты Kali оказались наиболее востребованными при экзамене? Ну, что-то вроде рейтинга. Использовались ли программы, которых нет в репах Kali?

Самая востребованная это nmap. А вообще если говорить о каких-то списках, то могу порекомендовать Unofficial OSCP Approved Tools это, пожалуй, лучший список на текущий момент.

Интересно, а если выключили свет, второй шанс дадут? Или лучше запастись генератором?

Дополнительные попытки экзамена только за деньги, при этому между первой и второй попыткой должно пройти минимум 4 недели.

Главный вопрос: имея сертификат, какую з\п в евро можно смело требовать?
или это как с вузовским дипломом — вы молодец, но опыта нет, так что идите крутите гайки в ночь?
(Я разработчик, не разбираюсь в безопасности, не знаю специфику OSCP).

Имхо, так везде: сертификат не является ключевым моментом трудоустройства.
Далее, моё субъективное мнение.

Если сертификат не требуется в описании вакансии, но он у вас есть и работодатель его уважает, то, вероятно, будет большим плюсом (но не более того). Остальной процесс найма всё равно нужно пройти (рекрутер, cultural fit, hard skills, soft skills, design / conceptual thinking).

Если сертификат требуется в описании вакансии, то это просто барьер для отсеивания кандидатов без сертификата или формальное требование. Но удовлетворив формальные требования, вы только открываете себе дорогу в процесс найма. Это не пропуск на работу. Соответственно, все этапы тоже остаются.
(Я сдал OSCP и OSCE, который недавно отменили и сейчас прохожу AWAE)
Данный сертификат достаточно уважаем в среде ИБ, хоть и считается сертификатом начального уровня. Получив такой серт, вы говорите, что понимаете как примерно работает специфика работ по тестированию и сможете спокойно пройти как минимум фильтр HR и получить первое собеседование в иб компании)
какие зарплаты в этой сфере? Средний ИБ-шник стоит дороже или дешевле среднего Фронтендщика?
Образно говоря, вы мидл-уровня ИБ, я — мидл Фронт. Оба ищем работу в РФ.
Учитывая а)востребованность (т.е. вероятность устроиться в единицу времени) и б)зарплату (т.е. гонорар в единицу времени), то чья единица времени выходит прибыльнее?
p.s. судя по описанию теста, а также вашей реплике про начальность,
в этой сфере просто монстры сидят и получают смело под полмиллиона в месяц (так кажется).
или опять спускаемся с небес на землю и признаём, что трудный изнурительный экзамен оказывается больше «для себя»?

Так, ну экзамены из этой серии(по крайней мере для меня)-всегда оказывались в категории для себя, потому что каждый экзамен-как подъем на гору-она нереально гигантская и забираться очень страшно, но во время похода очень интересно и очень хочется наконец подняться и ощутить некую свободу после ощущения сдачи) Несомненно они ценятся при работе, но я получаю кайф от прохождения курсов и экзаменов, пускай они и стоят много моих нервных клеток)
Что касается работы-я думаю даже в Москве зарплаты мидла очень разнятся, от 120 до 250, в зависимости от стажа и места работы.Сейчас мидлу устроится намного проще-мидлов мало и много начинающих специалистов

С чего начать в иб, если полный ноль в этой теме? Прочитал и заинтересовало.

я думаю, как и везде — с оценки рискоф и развенчивания мифов, срывания покровов и розовых очков.
Оно, может, звучит круто, а в плане сумм, прилетающих на карту, окажется неКруто…
Оценивать в плане зарплат, это тоже могут быть в некоторой степени розовые очки. Не для всех, но если куда-то входить/развиваться окажется трудно, то и з/п которая виделась и о которой кто-то рассказывал что её достигнуть не сложно, может оказаться меньше, чем то в чем было бы проще или смог бы уделять больше времени. В ИБ много энтузиастов, и сложно оценить сколько времени и трудов нужно для вхождения в это.
Плюс большинство компаний или вообще не заинтересованы проверять безопасность (и хватаются когда уже их хакнули) или делают это бюрократическим подходом.
Если по навыкам, то очень полезны будут книги/курсы, которые дают базовые знания, типа CCNA для понимания сетей, RHCSA/RHCE для Linux, что-то по администрированию Win и т.д. Надо отталкиваться от того, что больше интересно. Лично я пришел в ИБ через администрирование и OSCP.
Оказываете ли услуги по анализу защищенности?
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.