這考試機歪的地方就在於會出超出教材的範圍
如果只是題目出得難倒沒什麼意見,但教材沒提到就真的很不應該
為什麼不把教材弄充實一些呢?看著教材裡面的東西出題很難嗎?
第一次考試大概看了一下就去考,結果發現至少15題沒出現在教材裡
結果68分飲恨,當然我也沒看得很熟,所以有幾題教材有的我也有錯
但如果全出教材的話基本上70分沒什麼問題
雖然第二次考時認真讀好所以考了92分,但還是很浪費時間
上課也要抱怨一下,我在台南崑山上的,老師居然不知道考試題目出題重點
所以上這課對考試幾乎沒幫助,至少要幫同學畫出會考的重點吧~~~無言...
在老師無能,題目超出教材範圍的情況下,趁著剛考完有140題的經驗
就來幫大家劃一下重點吧,讓大家能夠一次過
根據經驗,大概有10~15題左右超出教材範圍,所以你如果都沒猜對
就很容易不及格,換言之剩下的教材裡的題目,你都要全對才能夠及格
--
以下重點方向整理
1.超出教材題
就看運氣,能猜對的越多就能輕鬆過
2.判斷題
就是要理解原理,你才能判斷得出來,所以要徹底了解SQL注入、XSS 等等是如何判斷的。基本上要全對。
3.死背題
這很需要老師畫重點,畢竟那麼多很容易漏掉該背的地方,但我上課的老師不知道會出什麼,所以都沒提醒...。基本上這個也要全對。
其實如果2,3都對應該是能70分以上,但自己看很容易漏掉,所以我這邊就來幫大家劃一下重點
--
1.會考那些是風險計算的因子所以記一下Threat Likelihood、Impact
2.記一下低中高風險的判斷內容,如APT屬於高風險等級的威脅、APT使用惡意郵件攻擊
3.會考注入攻擊有哪些類型>SQL、OS Shell、LDAP、Xpath、Hibernate
4.要理解什麼是SQL Injection,會考要你判斷是什麼攻擊
5.會考怎麼防SQL Injection>參數話查詢、預處理指令,白名單比黑名單好
6.會考如何避免Broken Authentication>所以要背避免的方式
7.會考如何壁面Sensitive Data Exposure>所以要背避免的方式
8.要理解各類型的XSS(stroed、reflected),會考你判斷
9.常見Xss發生的html位置,總共五個,兩個是允許,三個不允許,背下來
10.考google搜尋的各種判斷題>inurl、site、-(差集)、filetype等等,要懂這些搜尋出來會是什麼結果
11.WAF的運作模式>Bridge、Router、Reverse Proxy、Emvedded的判斷
12.WAF能防護什麼攻擊>XSS、SQL注入、LDAP、XML、XPath...
13.WAF不能防護什麼攻擊>logical level、Session hijacking等等...
14.會考.htaccess為明文ASCII不可以是Binary
15.會考.htaccess能力>影響當前與子目錄、管控目錄存取能力
16.會考.htaccess用途
17.會考各http error code是什麼>200、301、302....404、500...
18.會考ErrorDocument的寫法如html、"找不到"、網址....不能用.txt
19.會考htpasswd預設用md5加密
20.會考htaccess要啟用AllowOvereide
21.會考.htaccess mod_rewrite功能>指定時間瀏覽、限制http method...等等
22.Fortify SCA可用於檢測大多數程式碼。
23.會考個源碼檢測工具是檢測哪些程式>CAT.NET(.NET)、FindBugs(Java)...
24.污染資料相關說明,背一下
25.兩階段SQL注入、反射式XSS、預存式XSS判斷
26.任意轉址判斷
27.htmlentities搭配ENT_QUOTES是要過濾單引號
28.htmlentities未搭配ENT_QUOTES一樣會有資安風險
29.&>&、">"等等編碼跳脫背一下
30.自動與人工滲透測試比較
31.Nessus可以檢測什麼>XSS、注入攻擊、不安全的伺服器設定...等等
32.哪一個是OWASP的工具>WebScarab Proxy
33.SSDLC流程>需求分析>架構設計....背英文,因為中文翻譯會跟教材不一樣,很瞎
34.會考哪些是NIST SP800-64流程>起始階段、發展...等等,一樣背英文
35.會考CSSLP有哪些流程....一樣背英文
36.CIA是什麼,記全名英文
37.AAA是什麼,記全名英文
38.表單驗證的內容看一下
39.密碼強度要求範例,會考
40.ViweState/HiddenField觀念看一下會考
41.異常錯誤處理用RemoteOnly
42.debug="false"
43.' or 1=1--是在用SQL Injection
大概就這樣,如果有人考過的要補充可以留言,讓重點更完整~~~
祝大家一次過關
感恩!!!我也覺得台南崑大的講師很3條線!!!
回覆刪除