-
مراجعتي لـ اختبار شهادة eCPPT
بدأت تجربتي مع اختبار ECPPT بالتسجيل في الكورس الذي يقدمه المهندس أحمد سلطان للحصول على هذه الشهادة من هنا – https://netriders.academy/courses/penetration-testing-professional
اعتمدت بشكل كامل على المحتوى المقدم في الكورس لاستيعاب المفاهيم والمهارات المطلوبة أما فيما يتعلق بالجانب العملي فقد استفدت من اللابات الأصلية المقدمة من موقع INE وأيضا قمت بتنفيذ عدد من هذه اللابات التي اقترحها مشكورا (نديم الزهراني)، والتي تتوفر على منصة tryHackme
وهذه قائمة اللابات التي قمت بالتدرب عليها :
- MR Robot CTF
- Blue
- Brainpan1
- Simple CTF
- Anonymous
- LazyAdmin
- Skynet
- RootMe
- Bounty Hacker
- All in one
- IDE
- Brainstorm
- Gatekeeper
- Ice
- Startup
طريقة الاختبار:
يتكون الاختبار من فترة 7 أيام لاختبار الاختراق واكتشاف جميع نقاط الضعف، تليها فترة 7 أيام إضافية لكتابة التقرير.
يُعتبر التقرير جزءًا هامًا جدًا حيث يتم استنادًا إليه تقييم النجاح أو الرسوب.يجب أن يحتوي التقرير على الأقسام التالية:
- ملخص تنفيذي An Executive Summary
- تقرير الثغرات A Vulnerability Report
- تقرير التصحيحات A Remediation Report
هناك عدة نماذج جاهزة على الانترنت يمكن الاستعانة بها ويمكن الاستعانة بهذا النموذج الذي قمت بالاستفادة منه في كتابة التقرير :
https://github.com/hmaverickadams/TCM-Security-Sample-Pentest-Reportيجب أن يُشمل التقرير على جميع نقاط الضعف المكتشفة وشرح كيفية استغلالها خطوة بخطوة .. ولذلك، يجب توثيق جميع الخطوات من خلال التقاط لقطات الشاشة وتضمينها في التقرير بإستخدام أداة مجانية مثل Greenshot.
وهنا بعض النصائح المهمة للنجاح في الاختبار:
رغم أن الاختبار لم يكن سهلاً ولا صعبًا بشكل مطلق، إلا أن هناك بعض النقاط التي يجب على الانتباه إليها ومراجعتها بعناية مثل:- Double Pivoting
- Buffer Overflow
– عند استغلال أي جهاز يجب الحصول على أعلى صلاحيات المستخدم (Root)
– لا تهمل خطوة الـ Enumeration داخل كل جهاز تم الوصول إليه، قد تكون هناك معلومات مهمة تساعد في اختراق الجهاز التالي، مثل: اسم المستخدم أو كلمة المرور أو وجود خدمة مفتوحة. (مهم جدا جدا)
-
0 الردود
عذرا، لم يتم العثور على ردود.
قم بتسجيل الدخول للرد