My 2025 OSCP Journey Part 1 : Introduction
Introduction
สวัสดีท่านผู้ที่มีความสนใจด้าน Cyber Security ทุกท่าน ใน Blog series นี้ ผมจะมาแชร์ประสบการณ์ในเส้นทางการเรียน Offsec Pen-200 Course หรือ ที่จะคุ้นหูกันมากกว่าว่า การสอบ OSCP(Offensive Security Certified Professional) โดยที่ Blog series นี้ผมจะขอเน้นไปที่การแชร์ประสบการณ์การเรียนรู้ของผมเป็นหลัก ทั้งเรื่องคอนเซปต์พื้นฐานด้าน Cyber Security หรือทักษะต่างๆที่มีการสอนภายในคอร์สนี้ จึงเหมาะกับทั้งผู้ที่มีความรู้ความเชี่ยวชาญในด้าน Penetration Testing ที่ต้องการจะทบทวนความรู้ OSCP และผู้ที่มีความสนใจในด้านนี้ที่ต้องการจะศึกษาเพิ่มเติมครับ
- Background งั้นก่อนอื่นเรามาทำความรู้จักกันก่อนสักนิดนะครับ สวัสดีครับผมชื่อ แวน นะครับ ตอนนี้กำลังศึกษาอยู่ที่ม.ธรรมศาสตร์ SIIT ปี4 Computer Engineering Program, Cloud Computing and Cyber Security ก็เรียกได้ว่าพอจะมีพื้นฐานในด้าน Cloud, Cyber Security, Ethical Hacking, Pentesting อยู่บ้างครับ และตอนนี้ก็ได้มีโอกาสเข้ามาเป็นสมาชิกใหม่ของทีม Safecloud Co., Ltd. ครับ
- Goal อย่างที่ทุกท่านน่าจะทราบกันแล้วว่า Blog นี้จะเป็แชร์ประสบการณ์ในการเรียน Offsec Pen-200 Course ซึ่งน่าจะสามารถทราบได้ทันทีเลยว่า Primary Goal ของผมนั้นคือ ความรู้เชิงลึกของการทำ Penetration testing ที่ใช้ในโลกของการทำงานจริง และสิ่งที่แน่นอนที่สุดคือ Pen-200 Certificate หรือ Offensive Security Certified Professional(OSCP) นั่นเองครับ
Without further ado เรามาเริ่มกันเลยดีกว่ากับ Part ที่ 1 ของ Blog series นี้ Enjoy ครับผม
What is Offsec Pen-200?
ก่อนอื่นเรามาความรู้จักคอร์สนี้กันก่อนสักหน่อย Offsec Penetration Testing With Kali Linux(PWK) หรือที่รู้จักกันในชื่อ Pen–200 เป็นคอร์สขั้นพื้นฐานของการทำ Penetration Testing และ Ethical Hacking โดยมีผู้จัดทำคือ Offensive Security โดยที่คอร์ส Pen-200 จะมุ่งเน้นไปที่การให้ผู้เรียนได้ทดลอง ฝึกฝน การใช้เครื่องมือและความรู้ในการระบุ เจาะ และแก้ไข ช่องโหว่ในระบบบนโลกแห่งความเป็นจริง
โดยที่คอร์สนี้จะสามารถแบ่งออกได้เป็น3ส่วนหลักๆคือ:
- Learning Modules: โดยที่คอร์สนี้จะมีทั้งหมด 27 โมดูลหรือหัวเรื่อง ซึ่งจะครอบคลุมเนื้อหาขั้นพื้นฐานที่จำเป็นต่อการทดสอบการเจาะระบบทั้งหมด อาทิเช่น Network Scanning, Privilege Escalation, Exploitation Techniques และ อื่นๆ โดยที่จะเป็นรูปแบบตัวหนังสือเพื่ออ่านหรือ PDF ไฟล์ และ ในรูปแบบคลิป VDO เพื่อให้เห็นภาพและทำความเข้าใจได้มากขึ้น
- Challenge Labs: Hands-on Lab หรือ แบบฝึกหัดจะเป็นส่วนที่ให้ผู้เรียนได้ใช้ความรู้ที่เรียนมา ทำการทดสอบการเจาะระบบซึ่งจำลองจากสถานการณ์จริง โดยอยู่ภายใต้สภาพแวดล้อมที่มีการควบคุมและปลอดภัย
- Certification Exam: และส่วนสุดท้ายคือการทดสอบความรู้ โดยที่ผู้เรียนจะต้องนำความรู้ทั้งหมดมาใช้ในการทดสอบเจาะระบบ ซึ่งมีความคล้ายคลึงกับ Lab แต่มีระดับความยากที่สูงกว่า โดยการสอบจะใช้ระยะเวลาประมาน 24 ชั่วโมงหรือ 1 วันเต็ม ซึ่งเมื่อสอบผ่าน ผู้เรียนก็จะได้รับใบประกาศนียบัตรหรือใบรับรองความรู้ของคอร์สนี้หรือ Offensive Security Certified Professional หรือใบประกาศนียบัตร OSCP นั่นเอง
และคอร์สนี้ก็ยังมีคติพจน์ที่รู้จักกันดีคือ “Try Harder” ซึ่งสื่อถึงการที่ให้ผู้เรียนก้าวข้ามขีดจำกัดและคอยพัฒนาตัวเองอยู่ตลอดเวลา และ ไม่ใช่แค่เพียงพยายามทำแบบฝึกหัดให้เสร็จสิ้นแต่ต้องทำความเข้าใจ ขั้นตอน วิธีการ ในการทดสอบการเจาะรบบบอย่างทะลุปรุโปร่งนั่นเอง
The OSCP Exam and New Policy
โดยที่การสอบ OSCP จะเป็นทดสอบความรู้ความสามารถในการเจาะระบบในการจำลองสถานการณ์จริงภายใต้สภาพแวดล้อมที่ได้รับการควบคุมและปลอดภัย ซึ่งเกิดขึ้นผ่านการเชื่อมต่อ VPN ส่วนตัวเพื่อจำลอง Live Network ของ อุปกรณ์ ระบบ หรือ คอมพิวเตอร์ ที่มีช่องโหว่นั่นเอง โดยผู้รับการทดสอบจะได้รับระยะเวลาการทดสอบเป็นเวลา 23 ชั่วโมง 45 นาที ในการทดสอบ และอีก 24 ชั่วโมงในการเขียนรายงานการทดสอบการเจาะระบบ
โดยที่การทดสอบสามารถแบ่งออกได้เป็น 2 ส่วนหลักๆ:
- อุปกรณ์ หรือ ระบบ แบบเดี่ยว จำนวน 3 เครื่อง(Three stand-alone machines)(ทั้งหมด 60 คะแนน)
- 10 คะแนน จากการเจาะเข้าไปในระบบหรือ Initial access
- 10 คะแนน จากการเพิ่มสิทธิการเข้าถึงหรือ Privilege escalation
- กลุ่มอุปกรณ์ หรือ ระบบ จำนวน 1 กลุ่ม(One Active Directory(AD) set)(ทั้งหมด 40 คะแนน)
- ซึ่งประกอบด้วย 3 อุปกรณ์ หรือ ระบบ โดยจะแบ่งคะแนนเป็น 10,10 และ 20 ตามลำดับ
ซึ่งในวันที่ 1 พฤศจิกายน 2024 ทาง Offsec ได้มีการประกาศใช้กฎเกณฑ์การให้คะแนนแบบใหม่ ซึ่งยกเลิกการให้คะแนนพิเศษ(Bonus points)จากการทำ Challenge lab เป็นจำนวน 10 คะแนน ซึ่งทำให้การได้คะแนนจะมาจากการทำข้อสอบโดยตรงทั้งหมด โดยการผ่านการทดสอบ ผู้รับการทดสอบจำเป็นต้องได้คะแนนรวมอย่างน้อย 70 คะแนน จาก 100 คะแนน ซึ่งสามารถได้คะแนน70คะแนนในหลากหลายรูปแบบ และหลังจากจบการทดสอบ ผู้เข้ารับการทดสอบต้องเขียนรายงานการทดสอบการเจาะระบบภายใน 24 ชั่วโมงให้หลัง หลังจากการทดสอบจบลง
นอกจากนี้ภายใต้กฎเกณฑ์ใหม่ เมื่อผู้ทดสอบผ่านการทดสอบใบประกาศนียบัตรที่ผู้เข้ารับการทดจะได้รับคือใบรับรอง OSCP(available for lifetime) และ OSCP+(available for 3 years) สามารถอ่านข้อมูลเพิ่มเติมได้ที่ https://help.offsec.com/hc/en-us/articles/29840452210580-Changes-to-the-OSCP#h_01J6E5VRJD0VDSYK43DKSGRKRP
What to Expect from this Blog Series
คอร์ส Pen-200 เป็นคอร์สที่มีขนาดค่อนข้างใหญ่ตามที่ได้กล่าวไปข้างต้น เพราะฉะนั้นแล้ว ผมจะทำการแบ่ง Blog series นี้เป็นหลายๆ Part ด้วยกัน โดยที่แต่ละ Part จะประกอบไปด้วย 3-6 Learning Modules:
- Part 1: Learning Modules 1-3(blog นี้)
- Part 2: Learning Modules 4-X . . .
- Part Z: Learning Modules Y-27
- Part Z+1: Challenge Lab
โดยที่ Blog นี้จะประกอบไปด้วย 3 learning modules ซึ่งมุ่งเน้นไปที่ความรู้ที่จะได้จากการเรียนของผมผ่าน คอร์สนี้(Pen-200) ซึ่งผมขออนุญาตย้ำอีกครั้งว่า ไม่ว่าคุณผู้อ่านจะเป็น ผู้มีความรู้ในด้าน Cyber Security, Ethical Hacking, Pentesting หรือเป็นผู้ที่มีความสนใจในด้านนี้และเพียงแค่อยากจะเห็นภาพและทำความรู้จักกับมันให้มากขึ้นผมก็ขอนุญาตเรียนเชิญทุกท่านเข้าร่วมเป็นส่วนหนึ่งในการเดินทางของผม ขอบคุณครับ
The Course Introduction
ก่อนที่เราจะเข้าสู่ส่วนที่เป็นเนื้อหาเชิง Technical เราจะพูดถึงสิ่งที่ผู้เรียนทุกคนต้องทราบและตระหนักไว้ตลอดเวลานั่นคือ Copyright of the course material หรือ ลิขสิทธิ์ในเนื้อหาของหลักสูตร ทาง Offensive Security ค่อนข้างจริงจังและเคร่งครัดในเรื่องนี้ เพื่อไม่ให้เกิดการเผยแพร่เนื้อหาของหลักสูตรไม่ว่าจะด้วยความตั้งใจหรือตั้งใจก็ตาม เพราะฉะนั้นแล้ว การแชร์ประสบการณ์ในครั้งนี้ของผมจะเป็นการบอกเล่าถึงสิ่งที่ผมได้รับระหว่างการเรียน และจะไม่มีการเปิดเผยเนื้อหาสำคัญที่อาจมีผลกระทบต่อเรื่่องลิขสิทธิ์โดยเด็ดขาด
What Is PWK and Who Is It For?
และตอนนี้เราจะเริ่มทำการเข้าสู่เนื้อหาของคอร์ส Penetration Testing with Kali Linux(PWK) อยู่ภายใต้การออกแบบและดูแลของ Offensive Security, โดยที่ PWK ออกแบบเพื่อมุ่งเน้นให้กับผู้ดูแลระบบ เครือข่าย หรือ ผู้เชี่ยวชาญความปลอดภัยทางไซเบอร์ และผู้ที่สนใจการทำงานทางด้าน การทดสอบการเจาะระบบหรือ Penetration Testing ซึ่งคอร์สนี้จะนะเสนอเนื้อหาเชิงลึกถึงเทคนิคและวิธีการในการเจาะระบบ ทักษะการป้องกันรับมือ ระบุ และ วิธีการแก้ไข การโจมตีทางไซเบอร์
โดยที่คอร์สนี้จะเริ่มจากการเตรียมพร้อมสำหรับการเรียน ซึ่งจะประกอบไปด้วย การเตรียมพร้อม Kali Linux VM(Virtual Machine), และ VPN(Virtual Private Network) โดยทางคอร์สจะเตรียมวิธีการเตรียมพร้อม setup และอื่นๆ ไว้อย่างครบถ้วน และเพื่อความกระชับ ผมจะขอข้ามส่วนนี้ไป และเข้าสู่เนื้อหาต่อไป
The PWK Learning Modules: A Bird’s Eye View
ในโมดูลนี้จะทำการแนะนำเพิ่มเติมถึงโครงสร้างของคอร์สเล็กน้อยเพื่อให้ผู้เรียนได้เห็นถึงภาพรวมของคอร์สมากยิ่งขึ้น โดยเราจะสามารถแบ่งออกได้เป็น 7 ส่วน:
- Optional Ramp-Up Module: เนื้อหาส่วนนี้จะเป็นการนำเสนอความรู้โดยรอบเกี่ยวกับพื้นฐานของ Cybersecurity basic ไม่ว่าจะเป็นหลักการ กฎหมาย มาตรฐาน และ วิธีการเรียนรู้อย่างมีประสิทธิภาพ
- Enumeration and Information Gathering: เนื้อหาส่วนนี้จะมุ่งเน้นไปที่การเก็บข้อมูล(reconnaissance) และระบุเป้าหมาย
- Web Application and Client-Side Attacks: เนื้อหาที่มุ่งเน้นไปที่การตรวจสอบ ค้นหา และระบุช่องโหว่ใน web application และ client-side system
- Other Perimeter Attack: เนื้อหาที่มุ่งเน้นไปที่การหาทางโจมตีจากวงนอกของเครือข่าย
- Privilege Escalation and Lateral Movement: เนื้อหาที่มุ่งเน้นไปที่วิธีการเพิ่มสิทธิการเข้าถึงหลังจากผ่านการเจาะระบบชั้นต้น
- Active Directory: เนื้อหาที่มุ่งเน้นไปที่การเจาะระบบจากช่องโหว่ระดับองค์กรหรือเครือข่ายเชิงกลุ่มของระบบ
- Challenge Lab: แบบฝึกหัดที่มุ่งเน้นการทำความรู้ทั้งหมดที่ได้เรียนมา มาแก้ปัญหาในการจำลองสถานการณ์จริงภายใต้สภาพแวดล้อมควบคุมและปลอดภัย
โดยที่แต่ละส่วนจะค่อยๆเพิ่มความยากและใช้ความเข้าใจในเนื้อหาของบทเรียนก่อนหน้าเพื่อให้ผู้เรียนมีความพร้อมในการเจอสถานการณ์จริง
The Fundamentals of Cybersecurity
ต่อมาเราจะได้ทำความเข้าใจในเรื่องพื้นฐานความรู้โดยรอบของ Cybersecurity ซึ่งเป็นรากฐานของการทำ Penetration testing ที่ผู้เรียนต้องมีความเข้าใจและตระหนักถึงเพื่อประกอบการเรียนคอร์ส Pen-200
- Introduction of Cybersecurity(บทนำสู่ความปลอดภัยทางไซเบอร์) ส่วนสำคัญของ Cybersecurity คือการป้องกันระบบ เครือข่าย และ ข้อมูล จากการโจมตีทางไซเบอร์ และ การเข้าถึงโดยไม่ได้รับอนุญาต โดยต้องใช้ความรู้ความใจในเทคโนโลยี กระบวนการ และ การฝึกฝนในการปกป้องข้อมูลที่สำคัญ ในยุคแห่งเทคโนโลยีและดิจิตอล Cybersecurity ไม่ใช่แค่สิ่งที่ควรคำนึงถึงภายในเชิงของ Technical เท่านั้น แต่ยังต้องคำนึงถึงในเชิง Privacy, ความเสถียรภาพและความมั่นคงของธุรกิจ หรือแม้กระทั้งความมั่นคงในประเทศ
The Practice of Cybersecurity
- Challenges in Cybersecurity(ความท้าทายในความปลอดภัยทางไซเบอร์) ความท้าทายที่เราต้องเผชิญมีทั้งการ วิวัฒนาการของเทคโนโลยี ความสามารถของผู้ประสงค์ร้ายที่เพิ่มมากขึ้น และ ความขาดแคลนของผู้มีความรู้ความสามารถในการป้องกัน การทำให้ความปลอดภัยและความสะดวกใช้อยู่ในจุดที่สมดุลและสัมพันธ์กัน การจัดการภัยคุกคามจากภายใน และ การจัดการกับช่องโหว่แบบเดิมที่มีความซับซ้อนมากขึ้น
- The Cybersecurity Mindset(กระบวนการคิดพึงใช้ในความปลอดภัยทางไซเบอร์) การที่จะบรรลุเป้าหมายในเชิง Cybersecurity เราจำเป็นที่จะต้องมีกระบวนการคิดในเชิงรุกและัเชิงกลยุทธ์ มีการคาดการณ์และคาดเดาถึงภัยคุกคามที่มีโอกาสจะเกิดขึ้น คิดอย่างรอบคอบและละเอียดถี่ถ้วน มีความเข้าใจในระบบอย่างถ่องแท้ในทั้งมุมของ ผู้ป้องกัน และ ผู้โจมตี ระบบ
- Emulating the Minds of Our Opponents(การจำลองความคิดของผู้โจมตี) ซึ่งแน่นอนว่าการป้องกันระบบอย่างมีประสิทธิภาพนั้น ผู้เชี่ยวชาญทางด้าน Cybersecurity นั้น จำเป็นต้องคิดให้ได้ดั่งผู้โจมตีระบบ คาดเดากลยุทธ์ ความต้องการ เรียนรู้ยุทธวิธี เทคนิค และขั้นตอน ของผู้โจมตี[Tactics, Techniques, and Procedures(TTPs)] รู้เขา รู้เรา รบร้อยครั้งชนะครั้ง
Threats and Threat Actors
-
Evolution of Attacks and Defenses(การวิวัฒนาการของการโจมตีและป้องกัน) การโจมตีทางไซเบอร์นั้นมีมาเป็นเวลานาน ตั้งแต่ไวรัสที่มีขนาดเล็กไปจนถึงภัยคุกคามที่มีความซับซ้อน อาทิเช่น Ransomware, Advanced Persistent Threats(APTs), และ Supply Chain Compromises ในทางกลับกัน การป้องกันก็ถูกวิวัฒนาการขึ้นมาเช่นกัน อาทิเช่น Leveraging AI, Zero-trust models, และ Actionable Threat Intelligence
-
Risks, Threats, Vulnerability, and Exploits(ความเสี่ยง, ภัยคุกคาม, ช่องโหว่, และ การหาผลประโยชน์)
-
Risk: โอกาสที่จะเกิดความเสียหายจากการหาผลประโยชน์ผ่านช่องโหว่
-
Threat: ตัวแปรหรือเหตุการณ์ที่สามารถทำให้เกิดความเสียหายได้(เช่น แฮกเกอร์ ไวรัส)
-
Vulnerability: จุดอ่อนภายในระบบที่ซึ่งสามารถหาผลประโยชน์ได้
-
Exploit: วิธีการหรือเครื่องมือที่ใช่ในการหาผลประโยชน์จากช่องโหว่
-
Types of Threat Actor(ประเภทของผู้มีส่วนร่วมในภัยคุกคาม)
-
National-states: กลุ่มผู้มีทักษะความรู้ชั้นสูงในการโจมตีโดยมีนัยยะสำคัญใยเชิงการเมืองหรือเศรษฐกิจ
-
Hacktivists: ผู้มีความหลงไหลในการโจมตีโดยทำงานเป็นกลุ่มหรือเดี่ยว
-
Cybercriminals: ผู้โจมตีโดยมุ่งเน้นไปที่เงินเป็นหลัก
-
Insiders: พนักงานหรือพันธมิตรซึ่งไม่ประสงค์ดี
-
Script Kiddies: ผู้โจมตีซึ่งไร้ประสบการณ์
The CIA Triad: Confidentiality, Integrity, and Availability
หลักสามประการนี้(CIA)เป็นเหมือนกับกระดูกสันหลังของความมั่นคงปลอดภัยทางไซเบอร์:
- Confidentiality: ทำให้มั่นใจได้ว่ามีเพียงแค่ผู้มีสิทธิ์ที่สามารถเข้าถึงข้อมูลได้(เช่น Encryption)
- Integrity: การคงสภาพความแม่นยำและถูกต้องของข้อมูล(เช่น Hash functions)
- Availability: ทำให้มั้นใจได้ว่าสามารถเข้าถึงทรัพยากรหรือข้อมูลได้ตลอดเวลาเมื่อต้องการ(เช่น Redundancy, Ddos protection)
ซึ่งการรักษาสมดุลระหว่างสามหลักสามประการนี้เป็นเรื่องสำคัญ การให้ความสำคัญกับด้านไหนมากเกินไปอาจทำให้เกิดผลกระทบกับด้านอื่นได้
Security Principles, Controls, and Strategies
-
Key Principles(หลักการที่สำคัญในด้านความปลอดภัย)
-
Least Privilege: ผู้ใช้งานหรือ User จะได้รับสิทธิ์การเข้าถึงเท่าที่จำเป็นเท่านั้น
-
Defense in Depth: การเสริมความปลอดภัยในทุกชั้นของระบบ
-
Zero Trust: ทำการตรวจสอบทุกอย่างทุกครั้ง
-
Effective Strategies(กลยุทธ์ที่มีประสิทธิภาพในด้านความปลอดภัย)
-
Preventive: Firewall, Encryption(การเข้ารหัส)
-
Detective: Intrusion Detection System(IDS)
-
Corrective: Backups(การสำรองข้อมูล),Incident Response Plans(แผนการรับมือเหตุการณ์)
-
Emerging Practice(การจัดเตรียมและฝึกฝนแนวทางการปฏิบัติเมื่อเกิดเหตุ)
-
Shift-Left Security: มีการผสมผสานและคำนึงถึงปัจจัยทางด้านความปลอดภัยในขั้นตอนของการพัฒนา
-
Threat Modeling and Intelligence: วิเคราะห์ถึงความเป็นไปได้ที่จะเกิดเหตุภัยคุกคาม และ ้เตรียมวิธีการรับมือไว้ตั้งแต่แรก
-
Table-Top Exercise: มีการซักซ้อมแผนการรับมือเหตุการณ์
Cybersecurity Law, Regulations, Standards, and Frameworks
- Key Regulations(ประเด็นสำคัญของกฎระเบียบในด้านความปลอดภัยทางไซเบอร์) กฎอย่าง General Data Protection Regulation(GDPR), California Consumer Privacy Act(CCPA), Health Insurance Portability and Accountability Act(HIPPA) หรือ Personal Data Protection Act(PDPA) จะทำการมุ่งเน้นไปที่ความเป็นส่วนตัวและความปลอดภัยของข้อมูล และในขณะเดียวกัน กรอบ(Frameworks)อย่าง National Institute of Standards and Technology(NIST)หรือ มาตรฐานอย่าง the International Organization for Standardization(ISO), the International Electrotechnical Comission(IEC)[ISO/IEC 27001] จะมุ่งเน้นไปที่ โครงสร้างของแนวทางปฏิบัติสำหรับการเพิ่มความปลอดภัยขององกรค์
- Why It Matter(ทำไมสิ่งเหล่านี้ถึงสำคัญ) การทำความเข้าใจและยึดถือกฎหมายนั้นเป็นสิ่งสำคัญที่พึ่งปฏิบัติซึ่งจะช่วยลดความรับผิดชอบได้ในบางเชิงและจะช่วยลดปัญหาทางด้านกฎหมายที่อาจขึ้นด้วยควาดพลาดพลั้งในด้านความมั่นคงและปลอดภัยทางไซเบอร์ได้อีกด้วย
Career Opportunities in Cybersecurity
อาชีพในด้านนี้นั้นมีอยู่หลายแขนงซึ่งสามารถจำแนกออกมาได้ 3 แขนงหลักๆ:
- Offensive roles(ฝั่งโจมตีและเจาะระบบ): Penetration tester, Red Teamer
- Defensive roles(ฝั่งป้องกันระบบและรับมือ): SOC Analysts, Incident Responders
- Builders(ผู้สร้างโครงสร้างและการปฏิบัติการที่ปลอดภัย): Security Architect, DevSecOps Engineers(Developer Security Operator)
ด้วยอัตราที่เพิ่มขึ้นของความต้องการในตลาดแรงงาน การรักษาความมั่นคงปลอดภัยทางไซเบอร์ไม่ได้เป็นเพียงแต่อาชีพแต่เป็น สาขาการเรียนรู้และนวัตกรรมที่จะคงเติบโตอยู่ตลอดเวลาอีกด้วย
Wrapping Up
และตอนนี้ผมคิดว่านี่เป็นเวลาและเนื้อหาอันเหมาะสมที่จะจบ Part แรก จากเนื้อหาใน Part ที่หนึ่งตัวผมหวังว่าจะทำให้คุณผู้อ่านได้ รู้จักกับตัวผม Offsec Pen-200 OSCP องค์ประกอบของโลก Cybersecurity มากขึ้น และ พอที่จะเห็นภาพอะไรหลายๆอย่างได้ชัดมากขึ้น ซึ่งใน Part แรกนี้ก็ได้ครอบคลุมในเรื่อง อะไรคือ Offsec Pen-200?, การสอบ OSCP และ กฎเกณฑ์การให้คะแนนแบบใหม่, อะไรคือ PWK และภาพรวมของมัน, ความรู้พื้นฐานของ, การฝึกฝน, ภัยคุกคาม, แนวคิดหลักสามประการ, หลักการ การควบคุม และกลยุทธ์, กฎ ระเบียบ มาตรฐาน และกรอบ, อาชีพและสายงาน ในด้านความมั่นคงปลอดภัยทางไซเบอร์
ถ้าคุณผู้อ่านท่านใดที่อ่านมาถึงจุดนี้หรือไม่ถึงก็ตาม ตัวผมนั้นก็ขอขอบคุณเป็นอย่างยิ่งและก็หวังเป็นอย่างมากว่าคุณผู้อ่านจะได้พบกับสิ่งที่ตัวเองตามหาไม่มากก็น้อยใน blog หรือบทความนี้และต่อๆไป
และใน blog หน้าจะเป็นเนื้อหาในบทต่อๆไปที่เราจะต้องเจอในคอร์ส Offsec Pen-200. Stay Tuned, Stay Safe, Try Harder!, until next time สวัสดีครับ
อ่าน Part 2 : Information Gathering
อ่าน Part 3 : Vulnerability Scanning & Basic Web Attacks
อ่าน Part 4 : SQLi & Windows Client-Side Attacks
