Der Kurs zur OSCP Zertifizierung wurde von Offensive Security erstmals 2006 unter dem Namen „Offensive Security 101“ angeboten.
Die OSCP Zertifizierung gilt als das schwerste und fordernste Einstiegszertifikat im Bereich Penetration-Testing/ IT-Sicherheit, das man verdienen kann. Dies liegt zum einen daran, dass die Auszeichnung der OSCP Zertifizierung das erste Zertifikat war, das auf eine praktische Prüfung gesetzt hat, und zum anderen an der Try-Harder-Mentalität. Diese ist eine große Besonderheit, die sich bei allen Offensive Security Zertifikaten widerspiegelt:
Dabei handelt es sich um einen Online-Selbstlernkurs, der durch praktische Erfahrung Einblicke in Penetrationstest-Tools und Techniken verschafft. Da es keine offizielle Ausbildung zum Penetration-Tester gibt, ist die OSCP Zertifizierung nicht nur respektiert und bekannt, sondern für viele Jobs im Bereich der IT-Security erforderlich.
Dabei richtet sich der Kurs nicht an Einsteiger, sondern an Informationssicherheitsexperten, die bereits Erfahrungen im Bereich des Penetrationtesting haben. Am Ende des theoretischen Teils der Ausbildung im Zuge der OSCP Zertifizierung, die entweder per Video-Konferenz oder per Video on demand stattfindet und viele Praxisübungen im „Übungslabor“ beinhaltet, kann man am Abschlusstest teilnehmen.
In der 24-stündigen Abschlussprüfung, die in einer unbekannten VPN-Umgebung stattfindet, müssen die Teilnehmer Punkte sammeln, die sie durch Kompromittierung von Hosts erlangen. Des Weiteren muss ein umfassender, professioneller Bericht des Penetrationstests, der Screenshots und umfassende Notizen beinhaltet, als Teil der Abschlussprüfung eingereicht werden. Darüber hinaus wird die Prüfung zur OSCP Zertifizierung komplett überwacht. Vorkenntnisse oder Hilfestellungen zum Lab sind nicht gegeben.
Nach erfolgreichem Bestehen der Abschlussprüfung sind Absolventen in der Lage, vorhandene Schwachstellen zu identifizieren und organisierte Angriffe kontrolliert und gezielt durchzuführen. Darüber hinaus zeigt die OSCP Zertifizierung, dass man nicht nur zur technischen Elite gehört, sondern auch Ausdauer und Durchsetzungsvermögen besitzt und sich neuen und unbekannten Situationen kompetent entgegenstellen kann.
Wie schon im obigen Abschnitt erwähnt, richtet sich der Kurs an Informationssicherheitsexperten, die einen ernsthaften und sinnvollen Schritt in die Welt der professionellen Penetrationtests machen wollen. Dieser Kurs richtet sich konkret an:
Es ist absolut notwendig, Zeitmanagement zu beherrschen. Die 24-stündige Prüfung zur OSCP Zertifizierung muss sauber im Vorfeld geplant werden. Wer nicht die Balance aus aktivem Exploiten, Scannen und Notizen-Schreiben beherrscht, der wird auch die Prüfung nicht erfolgreich bestehen.
Laut Offensive Security brauchen Anwärter für einen erfolgreichen Abschluss und somit die OSCP Zertifizierung weiterhin ein solides Verständnis von TCP/IP Netzwerken, eine angemessene Erfahrung in der Administration von Windows/Linux Systemen sowie Vertrautheit mit Bash-Skripten. Grundkenntnisse in der Skript-Sprache Python oder Perl sind ebenfalls erforderlich. In der Realität können wir aber sagen, dass erfahrungsgemäß noch vieles anderes dazu gehört. Neben dem bereits angesprochenem Zeitmanagement und der persönlichen Einstellung sind weitreichende Kenntnisse und Fähigkeiten in vielen Bereichen der IT notwendig.
Praktische Tools
Bash-Skripting
Passives Sammeln von Informationen
Aktives Sammeln von Informationen
Schwachstellen-Scanning
Angriffe auf Webanwendungen
Einführung in Pufferüberläufe
Windows-Pufferüberläufe
Linux-Pufferüberläufe
Client-seitige Angriffe
Auffinden von öffentlichen Exploits
Beheben von Exploits
Dateiübertragungen
Antivirus-Umgehung
Privilegien-Eskalation
Passwort-Angriffe
Port-Umleitung und Tunneling
Active Directory-Angriffe
PowerShell Empire
