撸羊毛：CISP-PTE/PTS/IRE/IRS及OffSec免费课程

添加小助手，开通课程

以培养学员的「实际网络安全渗透测试能力」与「真实操作能力」为核心，注重所学知识的先进性、实战性，旨在进一步提升个人信息安全领域技术水平和专业能力。

是转型/职场进阶/入行渗透测试的实力证明，是在政府/国企及重点行业从业，获取信息安全服务资质，参与网络安全项目投标，需具备的重要条件。

该认证主要面向从事网络安全高级渗透测试工作的人员，要求持证者具有较强的漏洞研究、代码分析、进行最新网络安全动态跟踪研究以及策划解决方案等方面的知识和能力。理论与实践相结合，案例分析与实验穿插进行，实训教学，紧密结合真实业务生产环境，高度还原考试真实场景 。

主要从事信息安全技术领域应急响应工作，具有了解应急响应概况、应急响应基础、应急响应事件监测、应急响应事件分析和处置的基本知识和能力。不但熟悉安全事件应急响应，更重要的是懂安全、善处置，具有较高的职业素养，是新型打工人队伍中的“白领”，在企业安全运营中发挥着越来越重要的作用。

以CISP-IRE为基础，考察学员对网络安全事件溯源分析、重大网络安全事件的应急处理方案整体规划，以及在具体的应急实施过程中的指挥、安排、处置、分析、总结的综合能力。具有深入掌握各种攻击和防御技巧、较强的攻击溯源、处理复杂攻击应急响应等知识和能力 。

OSCP（PEN-200）是OffSec中知名度最高的认证。

内容包括渗透测试方法和Kali Linux中所包含工具的使用方法，是一项实践的渗透测试认证，要求持证者在安全的实验室环境中成功攻击和渗透各种实验机器。

OSEP可以看作是OSCP的一个延伸，是更深入更全面的渗透测试课程，是OffSec提供的PEN-300高级渗透测试课程认证。

课程内容中的社工攻击、安全防护措施探测和绕过等、内网渗透及域渗透等内容的学习均具有较强的实战意义和价值，对现网攻防和渗透测试工作有很大帮助。

OSWE（WEB-300）是OffSec提供的高级Web应用安全课程。

本课程主要分为几大部分：源码分析，常见Web威胁审计（SQL注入、XML外部实体注入、文件上传、目录穿越、信息泄露、逻辑缺陷等）以及基于Web漏洞的RCE构建（反序列化、代码注入、数据库远程命令执行、通过WebSockets注入操作系统命令等。

相较于PEN系列注重于黑盒，OSWE则注重的是Web安全方向的白盒审计。

OSED是专注于Windows环境下的二进制安全开发与利用以及基本缓解机制，如SEH、DEP、ASLR的绕过，最后涉及到Win32程序的逆向和漏洞利用。

也因此对前提知识的要求会相对高一些，例如Win32的汇编、C语言、操作系统原理，Windbg动态调试，IDA free逆向分析等。