产品对比
专业版和企业版有什么区别?
准备参加考试了吗?这是您需要知道的。
Burp Suite认证的从业人员考试是一项具有挑战性的实践检查,旨在展示您的网络安全测试知识和BURP Suite技能。beplay体育能用吗通过获得此认证,您可以向潜在客户展示自己的专业知识,向潜在雇主展示自己的能力,并为您的个人职业发展提供认证。
我们已经与第三方自动化服务服务(称为考试)合作创建了此认证。考试本身将遵循与Web安全学院中实验室和实践考试相当类似的过程,但是要参加考试,您首先需要通过考试进行自动身份验证过程。beplay体育能用吗
要成为Burp Suite认证的从业人员,您将需要遵循以下步骤:
购买您的认证考试。
使用考试创建一个用户配置文件。
检查系统要求。
参加您的认证考试。
获得您的认证结果。
要进行认证考试,您将需要访问Burp Suite Professional的积极订阅。立即获得Burp Suite Professional的订阅,如果您还没有单独的许可证。
您可以从Portswigger用户帐户购买Burp Suite认证的从业人员考试。beplay官网可以赌购买考试后,您将需要使用考试创建一个用户帐户。这是我们的第三方Proctoring平台,他们将在考试开始之前执行您的自动身份验证。
我们已经与自动化平台考试合作,以使您的考试经验尽可能安全。该过程非常简单,并且涉及ID检查和安全问题验证 - 这些都是由自动化的Proctor进行的。将记录您的ID检查和安全问题验证,并且在考试验证您的ID检查之前,您将无法通过考试。
为了完成考试,您需要创建一个考试资料。这是参加认证考试的要求。您需要完成此个人资料所需的内容如下:
您的电话号码和时区。
政府发行的照片ID的照片。这可以是驾驶执照,护照,军事身份证或另一种可接受的ID。只需确保您的名字和照片可见,并且图像清晰明亮,可以轻松阅读。请注意:您需要在考试当天拥有此ID才能验证您的身份。
三个“挑战”(安全)问题和答案。
在您进行真正的考试之前,我们强烈建议您参加我们的练习考试。该练习考试旨在模拟真实测试情况的环境,并将涵盖各种漏洞类别和利用。
练习考试可以让您适应真正的考试将使用的格式。它还应该帮助您评估考试的难度,因此自己判断您是否处于所需的技能水平来获得认证。
您可能参加练习考试的次数没有限制,您也可以退出测试模拟并重新开始。
为了参加考试,您首先需要登录到PortSwigger用户帐户。beplay官网可以赌您将找到一个标有“参加考试”的按钮,您可以使用该按钮开始参加考试的过程。通过单击此按钮,您将开始官方的考试过程,包括我们自动化的Protorkoring Service Coolity的验证。成功完成了自动批准会话后,您的唯一验证代码将通过考试自动输入,您的考试将开始。
您将有四个小时来完成Burp Suite认证的从业者考试。有两种应用程序,每个应用程序都包含故意的漏洞。这意味着每个应用程序可以分为三个阶段完成:
阶段1:访问任何用户帐户。
阶段2:使用您的用户帐户访问 /管理员的管理界面,也许是通过提升您的特权或损害管理员帐户来访问管理员。
阶段3:使用管理员接口从服务器文件系统中读取/home/carlos/秘密的内容,并使用“提交解决方案”提交。
总是有一个带有用户名的管理员帐户”行政人员“,加上一个通常称为的较低特权帐户”卡洛斯“。如果您找到了用户名枚举漏洞,则可以使用以下内容分解一个低特权帐户用户名列表和密码列表。
每个应用程序最多可为一个活跃的用户,他们将以用户或管理员的身份登录。您可以假设他们将每15秒访问一次网站的主页,并单击他们从应用程序收到的任何电子邮件中的任何链接。您可以使用Exploit Server的“发送到受害者”功能以反映的漏洞为目标。
如果找到SSRF漏洞,则可以使用它来通过访问端口6566上Localhost运行的内部仅服务来读取文件。
主机标头攻击是公平的游戏,但是_lab和_lab_analytics cookie是核心考试功能的一部分 - 请不要浪费时间来篡改它们。
要了解参加此考试所需的技能,请参考准备考试页。
我们希望三个阶段按顺序完成。这意味着,如果您正在应用程序中,那么如果您尚未访问用户帐户,则试图闯入管理界面是浪费时间。同样,如果您无法访问管理员帐户,我们也不建议尝试读取文件。
我们将出站流量从脆弱的服务器限制为Internet。除了burpcollaborator.net和Integrated exploit服务器外,您将无法将其连接回任何Internet服务器。您可以使用集成利用服务器将任何类型的有效载荷交付给弱势应用程序或模拟用户。
要通过阶段进行进展,您不仅需要确定漏洞,而且还需要利用它们。例如,如果您确定了XSS漏洞,则触发“警报”执行将不足以访问下一阶段:您需要实际利用它与一个模拟用户并窃取其会话。同样,对于SQL注入漏洞,您需要从数据库中提取凭据并使用它们来访问目标帐户。不过,您不必担心所有数据库内容的繁琐倾销:所有表,列和本地文件都很容易猜测,只需要几分钟即可手动提取所需的密码或令牌。
使用Burp Suite Professional扫描选定的页面和插入点通常会帮助您快速进步。在考试时间范围内尝试进行完整的应用程序扫描是不可行的。
受害者用户正在运行铬。使用时XSS备忘单,专注于在Chrome上工作的向量。如果您的XSS攻击在Chrome或Burp浏览器中起作用,则可能对受害者有效。
Burp Suite Professional提供了解决考试的重要功能。通过以下第三方工具更容易解决一些漏洞:ysoserial和HTTP请求走私者。某些实验室在“从业者”级别上使用了这些工具。我们建议在使用其他工具时谨慎 - 它们可能不适合您的目标。
尽管某些漏洞很难找到,但我们没有故意隐藏包含它们的文件或页面。您无需猜测文件夹,文件名或参数名称。
如果您提出了一种无法正常工作的解决方案,我们可以就该做什么提供一些一般建议:
如果您要攻击受害者用户,请先在自己的浏览器上测试攻击。密切注意Burp中的HTTP交通序列。
如果您的解决方案是从学院实验室改编的,请尝试分析应用程序与实验室的差异。
尝试确定您要做的任何假设,并将其进行测试。
参考该认证旨在证明的技能设置。
以下各节将概述考试的所有要求。在购买认证考试之前,请确保您已经彻底阅读了这些部分。
在开始Burp Suite认证的从业人员考试之前,您需要使用我们的第三方自动化服务服务,考试进行处理过程。该过程遵循以下步骤:
使用称为“自动身份验证”的过程,自动化的Proctor将验证文件上的ID与您带来的ID匹配。
然后,自动化的Proctor将要求您提供答案,其中一个“挑战”(安全)问题之一是您通过考试制作用户个人资料时创建的。
当您成功完成所有必需的自动化阶段时,您将获得考试的访问权限。
您不得在考试期间与任何人进行交流或尝试与任何人进行交流。我们建议在类似条件下进行练习考试,以便您做好适当的准备。
为了成功尝试BURP Suite认证的从业人员考试,您需要能够完成标有“从业者”的所有实验室或网络安全学院内较低的实验室,而无需使用提供的解决方案。beplay维护得多久beplay体育能用吗有关更多详细信息,请参考如何准备考试页。
所有考试材料将以英文提供。如果您可以舒适地阅读Web安全学院中的学习材料,并且所有考试指南页面都不会向您展示任何基于语言的挑战。beplay体育能用吗
操作系统:
MacOS X 10.5或更高。
Windows Vista或更高版本。
Chromeos。
请注意,我们的自动处理服务,考试,不支持Linux。
Google Chrome-请禁用您的弹出式阻滞剂。
台式机或笔记本电脑。
内置或外部网络摄像头。beplay体育能用吗
内置或外部麦克风。
内置或外部扬声器。
请注意,平板电脑和移动设备不支持。
上传和下载速度为2Mbps。
不建议使用热点,因为可靠的互联网连接至关重要。
Burp Suite专业人士。请注意,除了Burp Suite Professional以外,您不可能使用其他任何软件完成考试。
我们将通过电子邮件通知您。如果您成功通过了Burp Suite认证的从业人员考试,则将通过电子邮件收到证书。如果您的考试未能通过,我们会通过电子邮件通知您。我们还将为您提供资源和指导,以帮助您准备重新预订认证考试。
如果您成功通过考试并成为Burp Suite认证的从业者,请确保您知道世界!将您的认证状态添加到您的社交渠道和个人资料中,并让您的雇主和准雇主知道。
如果您的雇主(或潜在雇主)希望验证您的认证,则需要在证书和证书上共享唯一代码链接到验证平台。
