CHECK团队领导(Web应用)考试概述
我最近通过了CHECK应用团队领导考试,并决定像之前分享团队成员考试经验一样,记录这次经历。由于CREST对NDA非常严格,禁止泄露考试具体内容,本文将只讨论一般性信息。
考试结构
考试分为三部分:多项选择题、长问答题(四选三)和实战实验室。选择题和问答题以独特方式结合:考生有2.5小时完成这两部分,但选择题为闭卷,问答题为开卷。完成后需提交选择题答卷才能开始问答题。这意味着时间分配完全由考生自主决定。
技术重点
考试基于真实场景而非理论。虽然我复习时研究了冷门威胁(如Java对象反序列化修改),但实际考试更注重基础能力。熟练掌握SQL注入(SQLi)和跨站脚本(XSS)等核心技能足以应对大部分实验室环节。
实验室分为两部分:
- 结构化任务:逐步指导发现XSS、演示漏洞、证明SQLi等
- 目标导向任务:给出目标(如绕过登录系统)并要求提供完成证明
沟通能力考核
考试创新性地设置了英语表达和用语适当性扣分机制。当题目要求以管理层能理解的方式回答时,使用技术行话会导致失分。这种要求延续到实验室环节,许多问题需要解释操作方法和业务影响。
环境与准备
实验室目前基于PHP/ASP/ASP.NET和MySQL/MSSQL,但未来可能增加Oracle和Java。考试为开卷,允许使用互联网和自带书籍,但需通过专用上网机检索信息,并通过U盘传输文件。
重要提示:CREST要求考试后留下硬盘等存储介质进行擦除。建议准备备用硬盘并提前练习拆卸。
整体体验
考试在Slough的CREST办公室进行,监考人员专业友善。没有刻意刁难的问题,只要具备扎实的Web应用评估能力和技术/管理双层次报告能力,就能顺利通过。时间管理至关重要,建议根据分值合理分配时间。