CHECK团队领导(Web应用)考试经验分享

本文分享了作者通过CREST CHECK Web应用团队领导认证考试的经历,涵盖考试结构、备考策略、实战实验室环节以及时间管理建议,为准备参加类似认证的安全专业人员提供实用参考。

CHECK团队领导(Web应用)考试概述

2011年11月20日,星期日

我很高兴地宣布最近通过了CHECK应用团队领导考试。与之前分享CHECK团队成员考试经验一样,我决定写下这次经历。由于CREST对保密协议要求严格,禁止泄露可能给他人带来内部信息的考试细节,因此我将主要讨论考试的一般性内容和当天的整体情况,但不会涉及具体题目。请勿联系我询问具体细节,您不会得到任何信息。

我决定将本文分为两部分,面向两类不同的读者,请自行选择阅读:

市场竞争者

这是我参加过的最难的考试,我差点没能活着出来。医生说我左腿可能恢复部分功能,他们会尝试重新接上我的右臂,但我再也不能扔回旋镖了。

我还发现聚酯纤维在过热时会与皮肤粘合,所以我为求好运穿的"All hail Kevin Johnson"背心现在成了我皮肤的一部分。不过由于照片融化后的样子,建议我远离小孩、老妇人和山羊。

不要参加这个考试,你会后悔的。事实上,为了保护你的理智,防止你被送去参加这种烧脑考试,我建议你现在就放弃IT行业。我听说动物园管理员是个高薪且很有回报的职业。

其他所有人

我对考试的主要担忧是它是否会基于真实场景还是理论场景。从教学大纲来看,两种都有可能,所以我决定在复习时关注更冷门的威胁和攻击方式,因为我觉得自己已经做了足够的真实测试来覆盖那方面。结果证明考试是基于真实世界的,所以学习如何反序列化Java对象以便在传输过程中修改它们最终没什么用,这让我很高兴。显然我不能具体说明覆盖了哪些内容,但做好日常工作,理解SQL注入和XSS等基础知识应该能覆盖实验室部分的大部分内容。

考试分为三部分:一组选择题、四选三的长答题和实战实验室。选择题和长答题部分以一种我从未见过的方式结合在一起。这两部分总共2.5小时,但由于选择题是闭卷而长答题是开卷,你必须在完成选择题后声明结束,交卷然后开始长答题。这意味着你可以自行决定在每个部分花费的时间,可以花2小时做选择题,只用半小时做长答题,或者反过来。

选择题部分相当标准,只需掌握知识并选择正确选项即可。

在长答题部分,问题写得很好,并显示了每个问题的分值。我喜欢这种方式,当它说"给出X的6个理由"并有6分时,你知道每个答案可能很短;类似地,“讨论X与Y的关系”-10分,你知道可能需要写下10个不同的观点。

我以前没见过的是,他们有能力因英语不好和使用不恰当语言而扣分。我不是指在答案中骂人,而是当问题要求你用管理层能理解的方式讨论某事时,如果你给出在酒吧里给黑客伙伴的那种答案,你会被扣分。这一点延续到实验室部分,很多问题要求你以管理层能理解的方式给出如何做某事或它如何影响业务的答案。由于CTL将负责运行项目,并通常作为技术和客户之间的接口,我喜欢这种方法,因为它意味着通过这个考试的人已经证明他们不仅仅是能弹出shell的技术人员。

我被告知实验室基于php和ASP/ASP.NET以及MySQL和MSSQL并不是机密。有提到实验室在不久的将来会重建,而且他们说总是试图让事情变得更难,我预测Oracle会在某个时候被添加到数据库列表中。如果是这样,就需要配一种语言,我预测是Java。这纯粹是猜测,所以如果你作为Java和Oracle专家参加考试却遇到Cold Fusion和Access,不要怪我。

实验室分为两部分进行,相当规范的第一部分告诉你在每个点要做什么,找到XSS,演示它,证明SQLi等。第二部分只给出目标并要求提供令牌证明你实现了它们,例如绕过登录系统。第一部分显示你拥有测试所需的所有个人技能,第二部分显示你知道如何将它们组合起来并进行实际测试。

这是我记得唯一希望有更多时间的考试。我尽可能回答了所有问题并完成了每个部分,但希望能回去详细说明各个领域或捡起我知道遗漏的零星分数。因此我必须强调,管理好你的时间,检查一个部分值多少分,并适当分配时间。在实验室中,有几个问题可以选择获取提示或答案以便进入下一部分,显然如果你这样做,该部分的分数会受到惩罚。我不必这样做,但如果你需要,可以考虑一下,你可能会发现后面的部分更合你的口味。

长答题和实验室部分都是开卷的,这意味着可以完全访问互联网以及你带来的任何书籍。这很好,因为这意味着你可以查阅资料,但有点棘手的是,不是在你自己的机器上访问,而是必须使用专用的互联网访问机器,并通过U盘将下载的任何文件传输到你的机器上。这样可行,但必须起身走到房间另一边去谷歌某些东西感觉有点不自然。

考试在CREST位于斯劳的办公室进行,由于我来自谢菲尔德,我前一天晚上下去,在假日酒店过夜。结果证明这是一个非常好的选择,因为步行到考试地点只需一分钟。能够在一个合理的时间起床,吃早餐然后悠闲地走到拐角处,比开车或依赖火车的压力要好得多。当天的监考员Stuart是个好人。他很好地让我们放松,解释了一切,并 generally 照顾我们。步行几分钟就有一个巨大的Tesco Express,我们去那里吃午餐,但市中心也有各种选择。

值得一提的是,CREST希望你留下硬盘和其他媒体,在考试后将其擦除。我买了第二个磁盘,克隆了我的主磁盘,然后使用克隆进行考试,这样我就可以把它留下。确保你有工具可以移除磁盘,并且你知道如何操作。我不想在下午5点考了一整天试之后,还要想办法打开我从未打开过的机箱。

总的来说,这一天比我想象的要顺利得多,而且,这可能听起来有点自大,但比我预期的要容易。我这么说是因为他们测试的是我过去多年作为工作一直在做的事情。没有陷阱题,没有故意刁难你的设计,只要你知道如何进行良好的Web应用评估,并能够在技术和管理层面进行报告,那么你应该没问题。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次