77869288
滲透測試工程師(CISP-PTE)認證培訓
課程大綱
認證須知
開課計劃
學習QQ群
常見問題
信息安全作為我國信息化建設健康發展的重要因素,關系到貫徹落實科學發展觀、全面建設小康社會、構建社會主義和諧社會和建設創新型社會等國家戰略舉措的實施,是國家安全的重要組成部分。在信息系統安全保障工作中,人是最核心、也是最活躍的因素,人員的信息安全意識、知識與技能已經成為保障信息系統安全穩定運行的重要基本要素之一。
注冊信息安全專業人員(CISP)是對我國網絡基礎設施和重要信息系統的信息安全專業人員進行資質評定的重要形式。多年來為落實我國有關政策加快信息安全人才培養,增強全民信息安全意識的指導精神,構建信息安全人才體系發揮了巨大作用。
本大綱從我國國情出發,結合我國網絡基礎設施和重要信息系統安全保障的實際需求,以知識體系的全面性和實用性為原則,明確規定了注冊信息安全專業人員應當掌握的知識要點,是CISP教材編制,講師授課,學員學習,以及考試命題的重要依據。
課程介紹
注冊信息安全專業人員-滲透測試,英文為 Certified Information Security Professional - Penetration Test Engineer ,簡稱 CISP-PTE。證書持有人員主要從事信息安全技術領域網站滲透測試工作,具有規劃測試方案、 編寫項目測試計劃、編寫測試用例、測試報告的基本知識和能力。
CISP-PTE 知識體系使用組件模塊化的結構,包括知識類、知識體、知識域、知識子域四個層次。
— 知識類:是對滲透測試知識領域的總體劃分,包含信息安全專業人員需 要掌握的四大知識類別;
— 知識體:是知識類中由屬于同一技術領域的知識內容構成的相對獨立、 成體系的知識集合;
— 知識域:是對知識體進一步分解細化形成的完整的知識組件;
— 知識子域:是構成知識域的基本模塊,由一至多個具體知識要點構成。
在整個注冊信息安全專業人員-滲透測試(CISP-PTE)的知識體系結構中, 共包括 web 安全基礎、中間件安全基礎、操作系統安全基礎、數據庫安全基礎這 四個知識類,每個知識類根據其邏輯劃分為多個知識體,每個知識體包含多個知 識域,每個知識域由一個或多個知識子域組成。
CISP-PTE 知識體系結構共包含四個知識類,分別為:
— web安全基礎:主要包括HTTP協議、注入漏洞、XSS漏洞、SSRF漏洞、 CSRF 漏洞、文件處理漏洞、訪問控制漏洞、會話管理漏洞等相關的技術知識和實踐。
— 中間件安全基礎:主要包括Apache、IIS、Tomcat、weblogic、websphere、 Jboss 等相關的技術知識和實踐。
— 操作系統安全基礎:主要包括Windows操作系統、Linux操作系統相關技術知識和實踐。
— 數據庫安全基礎:主要包括Mssql數據庫、Mysql數據庫、Oracle數據庫、Redis 數據庫相關技術知識和實踐。
認證成本
培訓費用:14800元/人,考試認證等相關費用為5000元,補考費每次2500元
課程安排
知識類 | 章節 | 考核標準 |
內容 | ||
| HTTP 協議 | HTTP 協議基礎知識 |
注入漏洞 | SQL 注入的基礎知識 | |
XML 實體注入基礎知識 | ||
RFI 遠程文件包含漏洞的原理和修復方法 | ||
LFI 本地文件包含漏洞的原理和修復方法 | ||
RCE 遠程代碼執行漏洞的原理和修復方法 | ||
XSS 漏洞 | 存儲型 XSS 漏洞發現與防范 | |
反射型 XSS 漏洞發現與防范 | ||
Dom 型 XSS 漏洞發現與防范 | ||
CSRF 漏洞 | CSRF 跨站請求偽造漏洞的分析與利用 | |
SSRF 漏洞 | SSRF 服務端請求偽造漏洞的分析與利用 | |
文件處理漏洞 | 任意文件上傳漏洞產生的原因與修復方法 | |
任意文件讀取漏洞產生的原因與修復方法 | ||
訪問控制漏洞 | 垂直越權漏洞的分析與利用 | |
水平越權漏洞的分析與利用 | ||
會話管理漏洞 | 會話固定漏洞的產生原因和防范 | |
會話劫持漏洞的產生原因和防范 | ||
Cookie 欺騙漏洞的產生原因和防范 | ||
中間件安全 | Apache | Apache 服務器權限配置 |
Apache 服務器文件解析漏洞 | ||
Apache 服務器日志審計方法 | ||
Apache 服務器 Web 目錄權限的設置 | ||
IIS | IIS6 文件解析漏洞利用 | |
IIS6 寫權限漏洞的利用 | ||
IIS6 短文件名漏洞 | ||
IIS7 FastCGI 方式調用 PHP 存在的解析漏洞 | ||
IIS 日志審計方法 | ||
Tomcat | Tomcat 管理賬號密碼修改方法 | |
Tomcat 通過后臺獲取權限的方法 | ||
Tomcat 服務器啟動權限設置 | ||
Tomcat 日志審計方法 | ||
Weblogic | Weblogic 反序列化漏洞 | |
Weblogic 管理后臺弱口令風險 | ||
Weblogic 服務端請求偽造漏洞 | ||
Weblogic 日志審計方法 | ||
JBoss | JBoss 反序列化漏洞 | |
JBoss jmx-console/web-console 未授權訪問 | ||
JBoss jmx Invoker 遠程命令執行 | ||
JBoss 日志審計方法 | ||
Websphere | Websphere 賬號管理授權 | |
Websphere 反序列化漏洞 | ||
Websphere 管理后臺弱口令風險 | ||
Websphere 日志審計方法 | ||
操作系統安全 | Windows 系統安全 | 賬戶密碼弱口令風險 |
賬戶的分組和權限 | ||
NTFS 文件系統權限的設置 | ||
Windows 日志的種類和審計方法 | ||
第三方應用和服務存在的漏洞 | ||
Windows 權限提升方法 | ||
Linux 系統安全 | 檢查用戶空口令的方法 | |
設置賬戶認證失敗鎖定次數和時間 | ||
檢查除root以外的UID為0的用戶 | ||
查找系統中存在的 SUID 和 SGID 程序 | ||
查找任何人都有寫權限的目錄和文件 | ||
第三方應用和服務可能存在的漏洞 | ||
Linux 權限提升方法 | ||
系統日志的分類和審計方法 | ||
數據庫安全 | Mssql 數據庫安全 | Mssql 數據庫的查詢語法 |
Mssql 數據庫賬戶密碼存在弱口令的風險 | ||
Mssql 數據庫服務器啟動權限的設置 | ||
Mssql 數據庫的角色與權限的分配 | ||
Mssql 數據庫中常用的存儲過程 | ||
Mssql 數據庫備份和日志備份方法 | ||
Mssql 存儲過程提權的方法 | ||
Mysql 數據庫安全 | Mysql 數據庫的查詢語法 | |
Mysql 賬戶密碼弱口令風險 | ||
Mysql 創建用戶并指定數據庫授權 | ||
Mysql 讀取文件和導出文件的方法 | ||
Mysql 提權的方法 | ||
Oracle 數據庫安全 | Oracle 數據庫的查詢語法 | |
Oracle 數據庫執行系統命令的方法 | ||
Oracle 數據庫賬號權限的分配 | ||
Oracle 數據庫賬號密碼策略配置 | ||
Oracle 數據庫日志審計 | ||
Redis 數據庫安全 | Redis 數據庫未授權訪問的危害 | |
Redis 數據庫啟動權限的設置 | ||
Redis 寫入文件的方法 |
考試性質
該注冊考試是為了鍛煉考生實際解決網絡安全問題的能力,有效增強我國網 絡安全防御能力,促進國家企事業單位網絡防御能力不斷提高,以發現人才,選 拔優秀人才而設立的技能水平考試。
考試內容從多個角度出發,客觀題與實操題相結合的形式,來考核考生的能力,通過多個得分點,對考生全面的考核,考生需要了解最新的網絡安全技術,跟蹤最新的網絡安全動態,能夠在真實的網絡環境中發現問題和解決問題。也可以為網絡安全專業的學生提高自身價值,提高自身影響力,提供更好學習素材,也為更多的網絡安全愛好者提供了一個更加具有優勢的平臺。
考試目標
考生應掌握 WEB 安全基礎知識,了解 HTTP 協議基礎,以及一些常見的 web 安全漏洞包括注入漏洞,XSS 漏洞,CSRF 漏洞,SSRF 漏洞,文件處理漏 洞,訪問控制漏洞,會話管理漏洞。考生應該能夠理解和發現這些漏洞,并且 學會修復這些漏洞的方法,掌握更多的安全技術。
考生應了解中間件的安全知識,包括Apache,IIS,Tomcat,以及JAVA開發的中間件 Weblogic,Jboss, Websphere 等。了解中間件的特性以及安全加固的方法, 避免在安全設置上產生安全問題影響整個安全體系,了解最新的安全漏洞,能 夠對最新的漏洞做出響應,提高整體安全標準。
考生應了解操作系統的安全基礎知識,包括 Windows,Linux 操作系統賬戶的 分配與安全設置,文件系統權限的管理,日志審計的基本方法,以及第三方應 用安全。由此可以加強考生對操作系統安全的理解,了解常見的攻擊手段,以及操作系統安全加固的基礎知識,通過日志審計進行安全事件分析,掌握最新的系統內核漏信息,能夠及時修復漏洞,提高操作系統的安全性能。
考生應了解數據庫的安全基礎知識,這里以 Mssql,Mysql,Oracle,Redis 數據 庫為主,了解數據庫的使用方法和語法結構,掌握數據庫的安全設置以及權 限,角色的分配。了解常用的利用數據庫來進行文件操作和權限提升的方法以 及應對措施,控制數據庫運行權限,保證數據庫中的數據完整和安全運營。
通過以上內容的學習,要求考生可以發現和修復網絡中的漏洞,掌握更多的安全技能,提高個人的技術能力。具備滲透測試工程師的素養。
簡介
注冊信息安全專業人員-滲透測試方向注冊考試是為了鍛煉考生實際解決網絡安全問題的能力,有效提升我國網絡安全防御能力,促進國家企事業單位網絡安全健康發展,為發現人才,選拔優秀人才而設立的技能水平注冊考試。
本考試為業內首家實操型滲透測試技術水平注冊考試,考試內容從多個角度出發,將客觀題與實操題兩者結合,來考核考生的全面能力。通過多個得分點,充分檢驗考生對于最新網絡安全技術的掌握程度,展現考生在真實的網絡環境中發現問題和解決問題的能力。確保通過考試的考生能在實際工作中獨當一面。
CISP滲透測試方向注冊考試分為兩類:
1.注冊信息安全專業人員-滲透測試工程師,英文為Certified Information Security Professional - Penetration Testing Engineer(簡稱CISP-PTE)
2.注冊信息安全專業人員-滲透測試專家,英文為Certified Information Security Professional - Penetration Testing Specialist(簡稱CISP-PTS)
CISP-PTE考試形式
考試時間: 4個小時/240分鐘
考試形式: 單項選擇題 + 實操題
| 考試內容 | 考試形式 | 考試分數 | 考試時間 |
|---|---|---|---|
| 安全加固與防御 | 單項選擇 | 20 | 240分鐘 |
| Web安全基礎 | 實操 | 30 | |
| 日志與數據分析 | 實操 | 20 | |
| 滲透測試基礎 | 實操 | 30 |
CISP-PTS考試形式
考試時間: 4個小時/240分鐘
考試形式: 實操題
| 考試內容 | 考試形式 | 考試分數 | 考試時間 |
|---|---|---|---|
| 代碼審計 | 實操 | 20 | 240分鐘 |
| Web安全 | 實操 | 30 | |
| 日志與數據分析 | 實操 | 20 | |
| 滲透測試 | 實操 | 30 |
CISP-PTE注冊流程
試題結構
CISP-PTE 考試題型為客觀題、實操題。客觀題為單項選擇題,共 20 題,每 題 1 分;實操題共 80 分。總分共 100 分,得到 70 分以上(含 70 分)為通過。
“注冊信息安全人員-滲透測試工程師”(CISP-PTE)需要學習和掌握 CISP-PTE 知識體系結構框架中的所有內容。
知識類別 | 占比 | 題型 |
Web安全基礎 | 40% | 實操 |
中間件安全基礎 | 20% | 客觀+實操 |
操作系統安全基礎 | 20% | 客觀+實操 |
數據庫安全基礎 | 20% | 客觀+實操 |
考試要求
成為注冊信息安全專業人員-滲透測試工程師(CISP-PTE),必須同時滿足以下基本要求:
1、申請成為注冊信息安全專業人員-滲透測試工程師(CISP-PTE),具備一定滲透測試能力,或有意向從事滲透測試的人員,包含信息安全相關專業高校生;
2、申請成為注冊信息安全專業人員-滲透測試工程師(CISP-PTE)無學歷與工作經驗的報考要求;
3、通過CISP-攻防領域考試中心組織的CISP-PTE考試;
4、同意并遵守CISP-PTE職業準則;
5、滿足CISP-PTE注冊要求并成功通過CISP-PTE審核;
6、注冊信息安全專業人員-滲透測試工程師資質證書有效期三年,證書失效后,需重新參加CISP-PTE注冊考試;
CISP-PTE認可度怎么樣?
CISP證書是由中國信息安全測評中心頒發的證書,多年來已受到國內很多企業的認可,CISP-PTE是中國信息安全測評中心頒發的CISP滲透測試方向的證書,也能受到認可。
而且CISP-PTE關注于網絡安全實際動手能力,這個也是很多企業所看重的。
