注冊信息安全專業(yè)人員CISP-PTE滲透測試工程師認(rèn)證其它上課時(shí)間:
培訓(xùn)對象:
培訓(xùn)內(nèi)容:
課程背景
為提高各單位信息安全整體水平,加強(qiáng)信息安全人員專業(yè)技能,促進(jìn)信息安全人員持證上崗,現(xiàn)組織開展注冊信息安全專業(yè)人員攻防領(lǐng)域(CISP-PTE)培訓(xùn)及認(rèn)證工作,此認(rèn)證是信息安全從業(yè)人員的水平證書,證明證書持有者具備從事信息安全技術(shù)領(lǐng)域網(wǎng)站滲透測試工作,具有規(guī)劃測試方案、編寫項(xiàng)目測試計(jì)劃、編寫測試用例、測試報(bào)告的基本知識和能力。此證書為從事信息安全領(lǐng)域的工作人員提高專業(yè)資歷提供了新的機(jī)遇,為各單位信息安全提供了技術(shù)儲(chǔ)備、規(guī)范方法和專業(yè)人才,從根本上解決了信息安全從業(yè)人員的專業(yè)水平問題,從而提高各單位信息安全的綜合實(shí)力,全面提升網(wǎng)絡(luò)安全服務(wù)保障能力和水平,請各單位積極組織參加。
CISP-PTE介紹
注冊信息安全專業(yè)人員攻防領(lǐng)域(CISP-PTE)培訓(xùn)是由中國信息安全測評中心統(tǒng)一管理和規(guī)范的信息安全專業(yè)培訓(xùn),是目前國內(nèi)最為主流及被業(yè)界認(rèn)可的專業(yè)攻防領(lǐng)域的資質(zhì)培訓(xùn)。CISP-PTE目前是國內(nèi)唯一針對網(wǎng)絡(luò)安全滲透測試專業(yè)人才的資格認(rèn)證,也是國家對信息安全人員資質(zhì)的最高認(rèn)可。
在整個(gè)注冊信息安全專業(yè)人員-滲透測試(CISP-PTE)的知識體系結(jié)構(gòu)中,共包括web安全基礎(chǔ)、中間件安全基礎(chǔ)、操作系統(tǒng)安全基礎(chǔ)、數(shù)據(jù)庫安全基礎(chǔ)這四個(gè)知識類,每個(gè)知識類根據(jù)其邏輯劃分為多個(gè)知識體,每個(gè)知識體包含多個(gè)知識域,每個(gè)知識域由一個(gè)或多個(gè)知識子域組成。
CISP-PTE知識體系結(jié)構(gòu)共包含四個(gè)知識類,分別為:
1)web安全基礎(chǔ):主要包括HTTP協(xié)議、注入漏洞、XSS漏洞、SSRF漏洞、CSRF漏洞、文件處理漏洞、訪問控制漏洞、會(huì)話管理漏洞等相關(guān)的技術(shù)知識和實(shí)踐。
2)中間件安全基礎(chǔ):主要包括Apache、IIS、Tomcat、weblogic、websphere、Jboss等相關(guān)的技術(shù)知識和實(shí)踐。
3)操作系統(tǒng)安全基礎(chǔ):主要包括Windows操作系統(tǒng)、Linux操作系統(tǒng)相關(guān)技術(shù)知識和實(shí)踐。
4)數(shù)據(jù)庫安全基礎(chǔ):主要包括Mssql數(shù)據(jù)庫、Mysql數(shù)據(jù)庫、Oracle數(shù)據(jù)庫、Redis數(shù)據(jù)庫相關(guān)技術(shù)知識和實(shí)踐。
培訓(xùn)特色
1.理論與實(shí)踐相結(jié)合、案例分析與實(shí)驗(yàn)穿插進(jìn)行;
2.專家精彩內(nèi)容解析、學(xué)員專題討論、分組研究;
3.通過全面知識理解、專題技能掌握和安全實(shí)踐增強(qiáng)的授課方式。
課程大綱
CISP-PTE注冊信息安全專業(yè)人員-滲透測試工程師知識體系大綱第一部分知識類知識體知識域知識子域知識點(diǎn)1-2天操作系統(tǒng)安全基礎(chǔ)Windows賬戶安全
賬戶的基本概念Windows用戶賬戶和組賬戶權(quán)限的分配賬戶風(fēng)險(xiǎn)與安全策略了解Windows用戶空口令風(fēng)險(xiǎn)了解多用戶同時(shí)使用的安全配置了解對用戶登入事件進(jìn)行審核方法了解對遠(yuǎn)程登入賬號的檢查文件系統(tǒng)安全文件系統(tǒng)基礎(chǔ)知識掌握NTFS文件權(quán)限各類NTFS權(quán)限設(shè)置掌握通過ACL控制列表,設(shè)置目錄或者文件的用戶訪問權(quán)限掌握命令行下修改目錄或者文件的訪問權(quán)限的方法日志分析系統(tǒng)日志的分類了解Windows系統(tǒng)日志的種類了解Windows安全日志的登入類型日志的審計(jì)方法掌握日志審計(jì)的方法Linux賬戶安全賬戶的基本概念了解Linux系統(tǒng)中的賬號和組賬戶風(fēng)險(xiǎn)與安全策略了解弱口令密碼帶來的風(fēng)險(xiǎn)掌握檢查空口令的方法掌握檢查系統(tǒng)中是否存在其它ID為0的用戶的方法文件系統(tǒng)安全文件系統(tǒng)的格式了解Linux文件系統(tǒng)的文件格式分類安全訪問與權(quán)限設(shè)置掌握如何檢查系統(tǒng)中存在的SUID和SGID程序掌握檢查系統(tǒng)中任何人都有寫權(quán)限的目錄的方法掌握修改目錄和文件權(quán)限的方法掌握搜索文件內(nèi)容的方法日志分析系統(tǒng)日志的分類了解Linux系統(tǒng)的日志種類了解Linux日志文件系統(tǒng)日志的審計(jì)方法掌握使用常用的日志查看命令,進(jìn)行日志審計(jì)的方法第二部分3-4天數(shù)據(jù)庫安全基礎(chǔ)關(guān)系型數(shù)據(jù)庫MSSQLMSSQL角色與權(quán)限了解MSSQL數(shù)據(jù)庫在操作系統(tǒng)中啟動(dòng)的權(quán)限掌握MSSQL數(shù)據(jù)庫中服務(wù)器角色和數(shù)據(jù)庫角色掌握MSSQL存在SA弱口令和空口令帶來的危害MSSQL存儲(chǔ)過程安全掌握MSSQL數(shù)據(jù)庫執(zhí)行系統(tǒng)命令或者操作系統(tǒng)文件的存儲(chǔ)過程掌握MSSQL提升權(quán)限的方法MYSQLMYSQL權(quán)限與設(shè)置了解MYSQL在操作系統(tǒng)中運(yùn)行的權(quán)限了解MYSQL賬戶的安全策略了解MYSQL遠(yuǎn)程訪問的控制方法了解MYSQL數(shù)據(jù)庫所在目錄的權(quán)限控制MYSQL內(nèi)置函數(shù)風(fēng)險(xiǎn)掌握MYSQL數(shù)據(jù)庫常用函數(shù)掌握MYSQL數(shù)據(jù)庫權(quán)限提升的方法OracleORACLE角色與權(quán)限了解ORACLE數(shù)據(jù)庫的賬號管理與授權(quán)了解為不同管理員分配不同的賬號的方法了解設(shè)置管理public角色的程序包執(zhí)行權(quán)限ORACLE安全風(fēng)險(xiǎn)了解限制庫文件的訪問權(quán)限掌握ORACLE執(zhí)行系統(tǒng)命令的方法非關(guān)系型數(shù)據(jù)庫RedisRedis權(quán)限與設(shè)置了解Redis數(shù)據(jù)庫運(yùn)行權(quán)限了解Redis數(shù)據(jù)庫的默認(rèn)端口Redis未授權(quán)訪問風(fēng)險(xiǎn)掌握Redis未授權(quán)訪問的危害掌握Redis開啟授權(quán)的方法第三部分5-6天中間件安全基礎(chǔ)主流的中間件ApacheApache服務(wù)器的安全設(shè)置了解當(dāng)前Apache服務(wù)器的運(yùn)行權(quán)限了解控制配置文件和日志文件的權(quán)限,防止未授權(quán)訪問了解設(shè)置日志記錄文件、記錄內(nèi)容、記錄格式了解禁止Apache服務(wù)器列表顯示文件的方法了解修改Apache服務(wù)器錯(cuò)誤頁面重定向的方法掌握設(shè)置WEB目錄的讀寫權(quán)限,腳本執(zhí)行權(quán)限的方法Apache服務(wù)器文件名解析漏洞了解Apache服務(wù)器解析漏洞的利用方式掌握Apache服務(wù)器文件名解析漏洞的防御措施Apache服務(wù)器日志審計(jì)方法掌握Apache服務(wù)器日志審計(jì)方法IISIIS服務(wù)器的安全設(shè)置了解身份驗(yàn)證功能,能夠?qū)υL問用戶進(jìn)行控制了解利用賬號控制WEB目錄的訪問權(quán)限,防止跨目錄訪問了解為每個(gè)站點(diǎn)設(shè)置單獨(dú)的應(yīng)用程序池和單獨(dú)的用戶的方法了解取消上傳目錄的可執(zhí)行腳本的權(quán)限的方法啟用或禁止日志記錄,配置日志的記錄選項(xiàng)IIS服務(wù)器常見漏洞掌握IIS6、IIS7的文件名解析漏洞掌握IIS6寫權(quán)限的利用掌握IIS6存在的短文件名漏洞IIS服務(wù)器日志審計(jì)方法掌握IIS日志的審計(jì)方法TomcatTomcat服務(wù)器的安全設(shè)置了解Tomcat服務(wù)器啟動(dòng)的權(quán)限了解Tomcat服務(wù)器后臺(tái)管理地址和修改管理賬號密碼的方法了解隱藏Tomcat版本信息的方法了解如何關(guān)閉不必要的接口和功能了解如何禁止目錄列表,防止文件名泄露掌握Tomcat服務(wù)器通過后臺(tái)獲取權(quán)限的方法掌握Tomcat樣例目錄session操縱漏洞Tomcat服務(wù)器的日志審計(jì)方法了解Tomcat的日志種類掌握Tomcat日志的審計(jì)方法JAVA開發(fā)的中間件
weblogicWeblogic的安全設(shè)置了解Weblogic的啟動(dòng)權(quán)限了解修改Weblogic的默認(rèn)開放端口的方法了解禁止Weblogic列表顯示文件的方法Weblogic的漏洞利用與防范掌握Weblogic后臺(tái)獲取權(quán)限的方法掌握Weblogic存在的SSRF漏洞掌握反序列化漏洞對Weblogic的影響Weblogic的日志審計(jì)方法掌握Weblogic日志的審計(jì)方法websphereWebsphere的安全設(shè)置了解Websphere管理的使用了解Websphere的安全配置Websphere的漏洞利用與防范掌握反序列化漏洞對Websphere的影響掌握Websphere后臺(tái)獲取權(quán)限的方法Websphere的日志審計(jì)方法掌握Websphere的日志審計(jì)JbossJboss的安全設(shè)置了解設(shè)置jmx-console/web-console密碼的方法了解開啟日志功能的方法了解設(shè)置通訊協(xié)議,開啟HTTPS訪問了解修改WEB的訪問端口Jboss的漏洞利用與防范掌握反序列化漏洞對Jboss的影響JMXInvokerServlet/jmx-console/web-console漏洞利用與防范Jboss的日志審計(jì)方法掌握J(rèn)boss日志審計(jì)的方法第四部分7-8天web安全基礎(chǔ)HTTP協(xié)議HTTP請求方法HTTP1.0的請求方法掌握HTTP1.0三種請求方法:GET/POST/HEAD掌握GET請求的標(biāo)準(zhǔn)格式掌握POST請求提交表彰,上傳文件的方法了解HEAD請求與GET請求的區(qū)別HTTP1.1新增的請求方法了解HTTP1.1新增了五種請求方法:OPTIONS/PUT/DELETE/TRACE和CONNECT方法的基本概念掌握HTTP1.1新增的五種請求的基本方法和產(chǎn)生的請求結(jié)果HTTP狀態(tài)碼HTTP狀態(tài)碼的分類了解HTTP狀態(tài)碼的規(guī)范了解HTTP狀態(tài)碼的作用掌握常見的HTTP狀態(tài)碼HTTP狀態(tài)碼的含義了解HTTP狀態(tài)碼2**、3**、4**、5**代表的含義掌握用計(jì)算機(jī)語言獲取HTTP狀態(tài)碼的方法HTTP協(xié)議響應(yīng)頭信息HTTP響應(yīng)頭的類型了解常見的HTTP響應(yīng)頭掌握HTTP響應(yīng)頭的作用HTTP響應(yīng)頭的含義了解HTTP響應(yīng)頭的名稱掌握HTTP響應(yīng)頭的格式HTTP協(xié)議的URLURL的定義了解URL的基本概念URL的格式了解URL的結(jié)構(gòu)掌握URL編碼格式注入漏洞SQL注入SQL注入概念了解SQL注入漏洞原理了解SQL注入漏洞對于數(shù)據(jù)安全的影響掌握SQL注入漏洞的方法SQL注入漏洞類型了解常見數(shù)據(jù)庫的SQL查詢語法掌握MSSQL\MYSQL\ORACLE數(shù)據(jù)庫的注入方法掌握SQL注入漏洞的類型SQL注入漏洞安全防護(hù)掌握SQL注入漏洞修復(fù)和防范方法掌握一些SQL注入漏洞檢測工具的使用方法XML注入XML注入概念了解什么是XML注入漏洞了解XML注入漏洞產(chǎn)生的原因XML注入漏洞檢測與防護(hù)掌握XML注入漏洞的利用方式掌握如何修復(fù)XML注入漏洞代碼注入遠(yuǎn)程文件包含漏洞(RFI)了解什么是遠(yuǎn)程文件包含漏洞了解遠(yuǎn)程文件包含漏洞所用到的函數(shù)掌握遠(yuǎn)程文件包含漏洞的利用方式掌握遠(yuǎn)程文件包含漏洞代碼審計(jì)方法掌握修復(fù)遠(yuǎn)程文件包含漏洞的方法本地文件包含漏洞(LFI)了解什么是本地文件包含漏洞了解本地文件包含漏洞產(chǎn)生的原因掌握本地文件包含漏洞利用的方式了解PHP語言中的封裝協(xié)議掌握本地文件包含漏洞修復(fù)方法命令執(zhí)行漏洞(CI)了解什么是命令注入漏洞了解命令注入漏洞對系統(tǒng)安全產(chǎn)生的危害掌握腳本語言中可以執(zhí)行系統(tǒng)命令的函數(shù)了解第三方組件存在的代碼執(zhí)行漏洞,如struts2掌握命令注入漏洞的修復(fù)方法XSS漏洞存儲(chǔ)式XSS存儲(chǔ)式XSS的概念了解什么是存儲(chǔ)式XSS漏洞了解存儲(chǔ)式XSS漏洞對安全的影響存儲(chǔ)式XSS的檢測了解存儲(chǔ)式XSS漏洞的特征和檢測方法掌握存儲(chǔ)式XSS漏洞的危害存儲(chǔ)式XSS的安全防護(hù)掌握修復(fù)存儲(chǔ)式XSS漏洞的方式了解常用WEB漏洞掃描工具對存儲(chǔ)式XSS漏洞掃描方法反射式XSS反射式XSS的概念了解什么是反射式XSS漏洞了解反射式XSS漏洞與存儲(chǔ)式XSS漏洞的區(qū)別反射式XSS的利用與修復(fù)了解反射式XSS漏洞的觸發(fā)形式了解反射式XSS漏洞利用的方式掌握反射式XSS漏洞檢測與修復(fù)方法DOM式XSSDOM式XSS的特征了解什么是DOM式XSS漏洞掌握DOM式XSS漏洞的觸發(fā)形式DOM式XSS的防御掌握DOM式XSS漏洞的檢測方法掌握DOM式XSS漏洞的修復(fù)方法請求偽造漏洞SSRF漏洞服務(wù)端請求偽造漏洞概念了解什么是SSRF漏洞了解利用SSRF漏洞進(jìn)行端口探測的方法服務(wù)端請求漏洞的檢測與防護(hù)掌握SSRF漏洞的檢測方法了解SSRF漏洞的修復(fù)方法CSRF漏洞跨站請求偽造漏洞概念了解CSRF漏洞產(chǎn)生的原因理解CSRF漏洞的原理跨站請求漏洞的危害與防御了解CSRF漏洞與XSS漏洞的區(qū)別掌握CSRF漏洞的挖掘和修復(fù)方法文件處理漏洞任意文件上傳上傳漏洞的原理與分析了解任意文件上傳漏洞產(chǎn)生的原因了解服務(wù)端語言對上傳文件類型限制方法上傳漏洞的檢測與防范了解任意文件上傳漏洞的危害掌握上傳漏洞的檢測思路和修復(fù)方法任意文件下載文件下載漏洞的原理與分析了解什么是文件下載漏洞掌握通過文件下載漏洞讀取服務(wù)端文件的方法文件下載漏洞的檢測與防范掌握能夠通過代碼審計(jì)和測試找到文件下載漏洞掌握修復(fù)文件下載漏洞的方法訪問控制漏洞橫向越權(quán)橫向越權(quán)漏洞的概念了解橫向越權(quán)漏洞的基本概念了解橫向越權(quán)漏洞的形式橫向越權(quán)漏洞的檢測與防范了解橫向越權(quán)漏洞對網(wǎng)站安全的影響掌握橫向越權(quán)漏洞的測試和修復(fù)方法垂直越權(quán)垂直越權(quán)漏洞的概念了解垂直越權(quán)漏洞的基本概念了解垂直越權(quán)漏洞的種類和形式垂直越權(quán)漏洞的檢測與防范了解對網(wǎng)站安全的影響掌握越權(quán)漏洞的測試方法和修復(fù)會(huì)話管理漏洞會(huì)話劫持會(huì)話劫持漏洞的概念與原理了解什么是會(huì)話劫持漏洞了解會(huì)話劫持漏洞的危害會(huì)話劫持漏洞基本防御方法了解Session機(jī)制了解httponly的設(shè)置方法