3 bài viết
Nói thật luôn: tôi chưa thi CSSLP.
Bài này không phải “kinh nghiệm thi đậu” — mà là cách tôi đang ôn, những tài nguyên tôi tìm thấy (và tự làm ra), và lý do tôi nghĩ chứng chỉ này đáng để theo đuổi nếu bạn đang đi theo hướng AppSec hoặc DevSecOps.
Tôi viết vì khi bắt đầu tìm hiểu về CSSLP, tài nguyên tiếng Việt gần như không có. Hy vọng bài này có ích cho ai đó đang ở cùng điểm xuất phát với tôi.
Hồi còn là sinh viên (và là 1 vozer), OSCP với tôi là thứ gì đó to lớn lắm. Kiểu như nhìn lên trời thấy một ngôi sao rồi tự nhủ “ừ, đẹp đấy” — không dám nghĩ đến chuyện chạm vào.
Ra trường. Đi làm. Có tiền. Rồi một ngày tôi mở trang đăng ký của OffSec và nghĩ: thôi thử xem sao.
Thế là bắt đầu.
Nói thật, khoảng thời gian từ lúc tôi “bắt đầu học OSCP” đến lúc thực sự ngồi vào học nghiêm túc khá dài. Có khá nhiều buổi tối lẽ ra nên cày lab nhưng lại dành cho những thứ vô bổ.
Pentest web không chỉ là tìm lỗi rồi báo cáo — đó là quá trình hiểu sâu cách hệ thống hoạt động, cách lập trình viên suy nghĩ, và tìm ra những chỗ nứt vỡ mà người xây dựng không nhìn thấy.
Nhưng sau một thời gian làm pentest, mình nhận ra: tìm lỗi chỉ là một nửa câu chuyện. Nửa còn lại là đảm bảo lỗi không tái xuất hiện — đó là lý do Application Security ra đời.