各位版友大大们好,有鉴于网络上ECSA考试的分享真的很少,希望我的一点心得可以帮助到资安界需要考取这张证照的朋友。
这个考试总共考4个小时,150题,通过105(70%)便算通过。第一次考试原厂课程附赠(500镁),但是第二次重考还是要499镁......,果然尊贵非凡。
我在6月中上完恒X的ECSA v10课程,直接报名了8月17日的会考。由于ECSA刚从v9改版成v10,而我们这批听说是第二批考生,说真的不太好准备。
虽然课程的时间很赶,但我认为这次可以顺利通过考试,除了感谢老师的Lab实作之外,更重要的是下面这句重点提醒:“单靠v9考古题v10一定考不过”。
我的背景是资工系本科毕业,考过CCNA R&S,上过RHCE还未考。
准备上我细读原厂教材一遍,复习两遍,接下来自己作笔记做了半本(做到Module 6)就来不及要考试了。其中有上网练过一些公开的v9考古题以及官网的ECSA Assessment,但我觉得跟v10实际考试差很多。
我认为,基本上课本读熟一定会过,不过如果基础比较差的还是建议要看一下电子教材Penetration Testing Essential Concept。这次考试有考Linux的/etc/shadow中字段的意义(例:密码最长使用期限maximum password age),四种防火墙的用途(Circuit Level, Packet Filtering, Application Level, Stateful Multilayer Inspection)等......。
这次的考题中我标了这次考试中我印象比较深刻的,有些可能比较基础没有提,不然就是太偏门课本没有:
Module 01:
法规(SOX, GLBA, California SB 1386),Vulnerability Assessment与Penetration testing的不同。
黑白灰箱应用题(盲与双盲)。
Penetration Phase三阶段概念(Pre-Attack Phase, Attack Phase, Post-Attack)。
Module 02:
RFP, Proposal Submission, ROE, SOW, DUA, NDA的概念一定要懂而且要清楚,上课专心听、画好流程图,好拿分!
免死金牌(Get-Out-of-Jail-Free Card)也有考,如果课本里的英文叙述有看,会发现考题叙述完全一样。
最后考了一题什么测试(黑,白,盲,双盲)才会有ICQ,我这题是选白,因为ICQ是要送给客户的文件,因此只要是黑箱应该都不允许。
Module 03:
什么工具用来用来找类似的Domain Name->urlcrazy。
Archive.org的waybackmachine。
dnsrecon的用法(找PTR反解: -r)
Module 04:
社交工程就是考概念应用,单字弄清楚不要搞错,考了Dumpster Diving,Shoulder surf,Tailgating,好拿分!
Module 05:
ICMP考了type 11,我自己没有记到,是用删去法去得到答案。
Port Scan六种务必读到通,Ack Scan如果课本叙述看不懂一定要问。
重要Port号一定要记,DCHP 67与68记得分辨清楚(前者Server后者Client)。
Module 06:
考p0f使用,问目标会回复什么封包(RST, ACK, SYN, SYN/ACK)以获得OS Banner。
有一题考rpcinfo与rpcenum,哪一个是用来进行rpc列举的,这两个我课本都没看过,而且使用的Port也不记得,所以乱猜。
要知道/etc/passwd中的x代表密码,但是但是密码存在/etc/shadow里。
ARP Poisoning, ARP Flooding要读通。
Steganography也有考一题,送分。
Module 07:重点章节,考很多很多。
Firewalk考目标回什么代表防火墙Port有开。
Hping设定SYN Flag也是考目标怎么回代表防火墙有开。
Nmap考考decoy参数(别跟Spoofing搞混)。
Source Routing, HTTP Tunneling, ICMP tunneling都有考。
IDS的Insertion, Inconsistent Packets, Fragmentation, Ping of Death, Unicode Evasion, Polymorphic Shell-code(考题叙述执行一Buffer Overflow,插入有加密之Payload,请问这是何种攻击), Obfuscation or Encoding, TTL Evasion, Backscatter(考题叙述网络上侦测到大量SYN/ACK广播封包但无SYN封包,请问有可能是何种攻击), Method Matching(考题与课本内容一模一样), Reverse Traversal, Session Splicing(我个人总觉得它跟Fragmentation很像......)。
Router有考Finger(Port 79记好), Source Routing, ARP Attacks, MAC Table Flooding
Module 08:
SQL Injection,不仅SQLMAP的指令参数要熟,考题还有考Blind SQL Injection的指令(ORD与MID函式,比较什么Table的第几个字段的第几个字之类的,这我看到眼花直接放掉)。
SQL Injection的万用字符(Wildcards),Inline Comment,Function-Call Injection attack。
Conection String Injection与Connection String Parameter Pollution(CSPP)要分清楚,有一题放在一起考。
Session Token与HTTP Cookie有考,这个部份我自己是建议上网看看概念,或是就Essential Concept翻一下读一读,不然考试时就算有看过书也选不出来。
WSDL的SOAP。
Module 09:
各个DB的Port要记,送分题。
TNS Listener三支程式的目录要记。
Oracle DB Vault要怎样Bypass?先假扮SYSDBA再用SQL Injection。
Module 10:重点章节,考很多很多。
aircrack-ng考很多很多很多,数字参数要记(-0=