CISP即“申请注册信息安全*专家”,是经我国信息安全商品评测*机构执行国家验证,意味着国家对信息安全工作人员资质证书的*大认同;是相关信息安全公司,信息安全服务咨询组织、信息安全评测**和受权评测组织、社会发展各机构、团队、企事业单位相关信息管理系统基本建设、运作和程序管理的技术性单位和规范化单位必需的技术*职位工作人员,其基础职责是对信息管理系统的安全性出示技术性确保,CISP严苛的验证和学习培训程序流程授予其具有技术*资质证书和能力。现阶段,中国各种安全性技术*服务中心都具有相对总数的CISP*专家。
申请注册信息安全技术*工作人员-渗透测试,英语为CertifiedInformationSecurityProfessional-PenetrationTestEngineer,通称CISP-PTE。资格证书拥有工作人员关键从业信息安全技术领域*渗透测试工作中,具备整体规划测试报告撰写新项目测试报告模板、撰写测试计划、检测报告的基础知识和能力。
该注册考试是为了*地锻练考生具体处理网络信息安全难题的能力,合理提高在我国网络信息安全防御能力,推动国家机关事业单位互联网防御能力持续提升,以发觉优秀人才,选拨高层次人才而开设的*技能水准考試
培训目标:
考生应当可以了解和发觉这种系统漏洞,而且学好修补这种系统漏洞的方式 ,把握大量的安全生产技术
考生应掌握分布式数据库的安全常识
考生应掌握电脑操作系统的安全性基本知识
考生应掌握数据库查询的安全性基本知识,这儿以Mssql,Mysql,Oracle,Redis数据库查询主导
根据以上内容的学习培训,规定考生能够发觉和修补互联网中的系统漏洞,把握大量的安全性*技能,提升本人的技术性能力。具有渗透测试技术工程师的素质。
课程大纲:
| 知识类 | 章节 | 考核标准及知识点 |
| 攻防基础 | 考试介绍和课程安排 | |
| 培训课件和场景准备 | (培训中同步分发给学员) | |
| 攻防趋势技术要点概览 | 业界和国内外重点和核心 | |
| 攻防渗透基础 | 踩点扫描、漏洞发现等 | |
| 网络安全 | 网络安全概述 | 协议基础和wireshark分析 |
| 网络设备安全 | FW/IDS/WAF等 | |
| 网络攻防命令 | Win/linux/路由交换等 | |
| 外网突破概述 | 介绍主要的几个方法 | |
| 内网渗透概述 | 简述内网渗透的技术 | |
| WEB 安全基础 | HTTP 协议 | HTTP 协议基础知识 |
| 注入漏洞 | SQL 注入的基础知识 | |
| XML 实体注入基础知识 | ||
| RFI 远程文件包含漏洞的原理和修复方法 | ||
| LFI 本地文件包含漏洞的原理和修复方法 | ||
| RCE 远程代码执行漏洞的原理和修复方法 | ||
| XSS 漏洞 | 存储型 XSS 漏洞发现与防范 | |
| 反射型 XSS 漏洞发现与防范 | ||
| Dom 型 XSS 漏洞发现与防范 | ||
| CSRF 漏洞 | CSRF 跨站请求伪造漏洞的分析与利用 | |
| SSRF 漏洞 | SSRF 服务端请求伪造漏洞的分析与利用 | |
| 文件处理漏洞 | 任意文件上传漏洞产生的原因与修复方法 | |
| 任意文件读取漏洞产生的原因与修复方法 | ||
| 访问控制漏洞 | 垂直越权漏洞的分析与利用 | |
| 水平越权漏洞的分析与利用 | ||
| 会话管理漏洞 | 会话固定漏洞的产生原因和防范 | |
| 会话劫持漏洞的产生原因和防范 | ||
| Cookie 欺骗漏洞的产生原因和防范 | ||
| 操作系统安全 | Windows 系统安全 | 账户密码弱口令风险 |
| 账户的分组和权限 | ||
| NTFS 文件系统权限的设置 | ||
| Windows 日志的种类和审计方法 | ||
| 第三方应用和服务存在的漏洞 | ||
| Windows 权限提升方法 | ||
| Linux 系统安全 | 检查用户空口令的方法 | |
| 设置账户*失败锁定次数和时间 | ||
| 检查除root以外的UID为0的用户 | ||
| 查找系统中存在的 SUID 和 SGID 程序 | ||
| 查找任何人都有写权限的目录和文件 | ||
| 第三方应用和服务可能存在的漏洞 | ||
| Linux 权限提升方法 | ||
| 系统日志的分类和审计方法 | ||
| 中间件安全 | Apache | Apache 服务器权限配置 |
| Apache 服务器文件解析漏洞 | ||
| Apache 服务器日志审计方法 | ||
| Apache 服务器 Web 目录权限的设置 | ||
| IIS | IIS6 文件解析漏洞利用 | |
| IIS6 写权限漏洞的利用 | ||
| IIS6 短文件名漏洞 | ||
| IIS7 FastCGI 方式调用 PHP 存在的解析漏洞 | ||
| IIS 日志审计方法 | ||
| Tomcat | Tomcat 管理账号密码修改方法 | |
| Tomcat 通过后台获取权限的方法 | ||
| Tomcat 服务器启动权限设置 | ||
| Tomcat 日志审计方法 | ||
| Weblogic | Weblogic 反序列化漏洞 | |
| Weblogic 管理后台弱口令风险 | ||
| Weblogic 服务端请求伪造漏洞 | ||
| Weblogic 日志审计方法 | ||
| JBoss | JBoss 反序列化漏洞 | |
| JBoss jmx-console/web-console 未授权访问 | ||
| JBoss jmx Invoker 远程命令执行 | ||
| JBoss 日志审计方法 | ||
| Websphere | Websphere 账号管理授权 | |
| Websphere 反序列化漏洞 | ||
| Websphere 管理后台弱口令风险 | ||
| Websphere 日志审计方法 | ||
| 数据库安全 | Mssql 数据库安全 | Mssql 数据库的查询语法 |
| Mssql 数据库账户密码存在弱口令的风险 | ||
| Mssql 数据库服务器启动权限的设置 | ||
| Mssql 数据库的角色与权限的分配 | ||
| Mssql 数据库中常用的存储过程 | ||
| Mssql 数据库备份和日志备份方法 | ||
| Mssql 存储过程提权的方法 | ||
| Mysql 数据库安全 | Mysql 数据库的查询语法 | |
| Mysql 账户密码弱口令风险 | ||
| Mysql 创建用户并指定数据库授权 | ||
| Mysql 读取文件和导出文件的方法 | ||
| Mysql 提权的方法 | ||
| Oracle 数据库安全 | Oracle 数据库的查询语法 | |
| Oracle 数据库执行系统命令的方法 | ||
| Oracle 数据库账号权限的分配 | ||
| Oracle 数据库账号密码策略配置 | ||
| Oracle 数据库日志审计 | ||
| Redis 数据库安全 | Redis 数据库未授权访问的危害 | |
| Redis 数据库启动权限的设置 | ||
| Redis 写入文件的方法 | ||
| 综合串讲演练 | 前期课程总结 | 串联思路和题型解读 |
| 考试模拟(多套) | *熟悉考试流程和题眼 | |
| 考后复盘 | 针对技术缺陷和不足进行点评 | |
| 技术答疑 | 温习重点和思路发散 |
地理位置 Location
