OSWE = 白盒审计 + 漏洞武器化
原文链接: https://mp.weixin.qq.com/s?__biz=MzU4MjUxNjQ1Ng==&mid=2247524382&idx=1&sn=b3949b61e1b5f733191292af2213769c
OSWE = 白盒审计 + 漏洞武器化
9月6日开班 谷安培训 2025-07-18 23:00
相较于PEN系列注重于黑盒,
OSWE则注重的是Web安全方向的白盒审计。
近年来,OffSec除了爆火的OSCP备受欢迎外,还有
被视为行业标杆课程的
OSCE³,即(OSEP+OSWE+OSED)三证。
OSCE³作为进攻性安全领域的重量级成就,证明您掌握了攻击性安全技能和技术!
本期我们重点探讨
OSCE³中的OSWE。
该课程
以 PEN-200 和 WEB-200 课程为基础,深入探讨用于分析目标 Web 应用程序的方法和技术。
谷安于2021年就邀请业内资深专家筹备设计了OffSec体系认证培训课程,
以学会、练会、有思路,提高学员攻防能力为目标
,复盘知识点,设计实操打靶练习环节。
OSWE
WEB-300
本课程旨在向您介绍一种通用且可重复的 Web 应用程序漏洞发现和利用方法,同时继续巩固应对现代 Web 应用程序所需的基础知识。
WEB-300 涵盖了广泛的高级 Web 开发技能和技术,包括:
– 分析并利用 DotNetNuke (DNN) 平台中的反序列化远程代码执行 (RCE) 漏洞
-
掌握模糊测试、静态和动态分析以及手动代码审查等高级网络安全方法
-
练习会话劫持技术以获取对敏感数据和功能的未经授权的访问,包括使用专用虚拟机利用 Dolibarr 应用程序中的 RCE 漏洞
WEB-300 课程分为 17 个深入的模块,每个模块侧重不同的主题。许多模块包含配套视频和动手练习,以强化学习体验。此外,课程还提供 20 个挑战实验室,用于测试学习者的理解程度,并帮助他们为 (OWSE) 认证考试做好准备。
WEB-300 是一门高级攻击课程,旨在测试经验丰富的渗透测试人员和安全专业人员掌握高级 Web 应用程序攻击和漏洞利用技术的能力。
我们期望学员不仅熟悉 JavaScript、PHP、Java 和 C# 等基础 Web 技术和脚本语言,还具备PEN-200所教授的攻击技术方面的丰富经验。
OSWE的「稀缺性」在哪?
- 企业亟需的能力
:
大多数渗透测试人员只会用工具扫描常见漏洞(如SQL注入),但能审计代码、定制化攻击的专家
在APT防御、红队作战中极具价值。
- 薪资溢价原因
:
OSWE持证者平均薪资比普通渗透测试工程师高30%~50%(数据来源:Offensive Security官方调研)。
如果你能掌握「代码审计+漏洞武器化」,就意味着你不仅能找到漏洞
,还能像攻击者一样思考如何最大化利用它
——这正是OSWE的核心精神。
谷安OSWE认证全年滚动开班,学员好评如潮,课程干货满满
开通试听课,提前感受!
