课程概述
信息安全作为我国信息化建设健康发展的重要因素,关系到贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会及建设创新型社会等国家战略举措的实施,是国家安全的重要组成部分。在信息系统安全保障工作中,人是最核心、也是最活跃的因素,人员的信息安全意识、知识与技能已经成为保障信息系统安全稳定运行的重要基本要素之一。 注册信息安全专业人员(CISP)是对我国网络基础设施和重要信息系统的信息安全专业人员开展在职培训的重要形式,多年来为落实我国有关政策“加快信息安全人才培养,增强全民信息安全意识”的指导精神,构建信息安全人才体系发挥了巨大作用。
注册信息安全专业人员-渗透测试,英文为 Certified Information Security Professional - Penetration Test Engineer ,简称 CISP-PTE。证书持有人员主要从事信息安全技术领域网站渗透测试工作,具有规划测试方案、编写项目测试计划、编写测试用例、测试报告的基本知识和能力。
课程对象
证书持有人主要从事信息安全技术领域网站渗透测试工作
具有规划测试方案
编写项目测试计划
编写测试用例
测试报告的基本知识和能力
准毕业生 OR 在校生
CISP-PTE 是对信息安全从业人员渗透测试技术能力的证明,同时也是有利的竞争力之一、兴趣爱好者。
课程要求:
成为注册信息安全专业人员渗透测试工程师(CISP-PTE),必须同时满足以下基本要求:
- 申请成为注册信息安全专业人员渗透测试工程师(CISP-PTE),要求具备一定渗透测试能力,或有意向从事渗透
测试的人员,包含信息安全相关专业高校生;
- 申请成为注册信息安全专业人员渗透测试工程师(CISP-PTE)无学历与工作经验的报考要求;
- 通过注册信息安全专业人员攻防领域考试中心组织的 CISP-PTE 考试;
- 同意并遵守 CISP 职业道德准则;
- 满足 CISP-PTE 注册要求并成功通过 CISP-PTE 审核;
注:注册信息安全专业人员-渗透测试工程师的资质证书有效期为三年,证书失效后,需重新参加 CISP-PTE 注册考试
课程目标
理解信息安全的重要性:认识到信息安全在国家信息化建设中的核心地位,以及个人在其中扮演的角色。
掌握渗透测试的基本知识和技能:通过系统学习,能够熟练规划和执行网站渗透测试方案,编写项目测试计划和测试用例,以及撰写详尽的测试报告。
提升信息安全意识和职业道德:培养良好的信息安全意识,遵守职业道德准则,为成为合格的信息安全专业人员打下坚实的基础。
发展实战能力:通过实际操作和案例分析,提高发现和修复安全漏洞的能力,包括但不限于SQL注入、XSS攻击、缓冲区溢出等。
系统学习网络和系统安全知识:深入了解各种操作系统和数据库的安全配置,掌握安全加固和应急响应技能。
准备CISP-PTE资格认证:满足CISP-PTE的注册要求,成功通过考试和审核,获得证书。
课程收益
- 掌握网站安全评估方法
- 掌握网站安全检测方法
- 掌握网站安全加固方法
- 掌握网站木马检测方法
- 掌握网页病毒清除方法
- 掌握 SQL 注入攻击及防范方法
- 掌握 XSS 跨脚本攻击及防范方法
- 掌握缓冲区溢出攻击及防范方法
- 掌握机密数据破解方法
- 掌握嗅探与防范方法
- 掌握文件包含漏洞与防范方法
- 掌握上传漏洞与防范,DDOS 方法
- 掌握 CC 攻击及防范方法
- 掌握数据库安全配置方法
- 掌握服务器安全配置方法
- 发现计算机业务系统弱点
- 发现计算机业务系统技术缺陷
课程时长8天
课程大纲
知识域 | 知识子域 | 知识点 |
知识域:Web安全基础 | HTTP 协议 | HTTP 协议基础知识 |
注入漏洞 | SQL 注入的基础知识 |
XML 实体注入基础知识 |
RFI 远程文件包含漏洞的原理和修复方法 |
RCE 远程代码执行漏洞的原理和修复方法 |
XSS 漏洞 | 存储型XSS 漏洞发现与防范 |
反射型XSS 漏洞发现与防范 |
Dom 型XSS 漏洞发现与防范 |
CSRF 漏洞 | CSRF 跨站请求伪造漏洞的分析与利用 |
SSRF 漏洞 | SSRF 服务端请求伪造漏洞的分析与利用 |
文件处理漏洞 | 任意文件上传漏洞产生的原因与修复方法 |
任意文件读取漏洞产生的原因与修复方法 |
访问控制漏洞 | 垂直越权漏洞的分析与利用 |
水平越权漏洞的分析与利用 |
会话管理漏洞 | 会话固定漏洞的产生原因和防范 |
会话劫持漏洞的产生原因和防范 |
Cookie 欺骗漏洞的产生原因和防范 |
知识域:中间件安全 | Apache | Apache 服务器权限配置 |
Apache 服务器文件解析漏洞 |
Apache 服务器日志审计方法 |
Apache 服务器Web 目录权限的设置 |
IIS | IIS6 文件解析漏洞利用 |
IIS6 写权限漏洞的利用 |
IIS6 短文件名漏洞 |
IIS7 FastCGI 方式调用PHP 存在的解析漏洞 |
IIS 日志审计方法 |
Tomcat | Tomcat 管理账号密码修改方法 |
Tomcat 通过后台获取权限的方法 |
Tomcat 服务器启动权限设置 |
Tomcat 日志审计方法 |
Weblogic | Weblogic 反序列化漏洞 |
Weblogic 管理后台弱口令风险 |
Weblogic 服务端请求伪造漏洞 |
Weblogic 日志审计方法 |
JBoss | JBoss 反序列化漏洞 |
JBoss jmx-console/web-console 未授权访问 |
JBoss jmx Invoker 远程命令执行 |
JBoss 日志审计方法 |
Websphere | Websphere 账号管理授权 |
Websphere 反序列化漏洞 |
Websphere 管理后台弱口令风险 |
Websphere 日志审计方法 |
Windows 系统安全 | 账户密码弱口令风险 |
账户的分组和权限 |
NTFS 文件系统权限的设置 |
Windows 日志的种类和审计方法 |
第三方应用和服务存在的漏洞 |
Windows 权限提升方法 |
Linux 系统安全 | 检查用户空口令的方法 |
设置账户认证失败锁定次数和时间 |
检查除root以外的UID为0的用户 |
查找系统中存在的SUID 和SGID 程序 |
查找任何人都有写权限的目录和文件 |
第三方应用和服务可能存在的漏洞 |
Linux 权限提升方法 |
系统日志的分类和审计方法 |
知识域:数据库安全 | Mssql 数据库安全 | Mssql 数据库的查询语法 |
Mssql 数据库账户密码存在弱口令的风险 |
Mssql 数据库服务器启动权限的设置 |
Mssql 数据库的角色与权限的分配 |
Mssql 数据库中常用的存储过程 |
Mssql 数据库备份和日志备份方法 |
Mssql 存储过程提权的方法 |
Mysql 数据库安全 | Mysql 数据库的查询语法 |
Mysql 账户密码弱口令风险 |
Mysql 创建用户并指定数据库授权 |
Mysql 读取文件和导出文件的方法 |
Mysql 提权的方法 |
Oracle 数据库安全 | Oracle 数据库的查询语法 |
Oracle 数据库执行系统命令的方法 |
Oracle 数据库账号权限的分配 |
Oracle 数据库账号密码策略配置 |
Oracle 数据库日志审计 |
Redis 数据库安全 | Redis 数据库未授权访问的危害 |
Redis 数据库启动权限的设置 |
Redis 写入文件的方法 |
为什么选择艾威
艾威培训机构,自2003年成立以来,致力于为企业和个人提供最前沿的技术培训服务。我们的课程结构科学,由业界经验丰富的讲师亲自授课,确保您能在最短的时间内,以最高的效率掌握核心技能。
权威讲师团队:拥有多位来自业界的经验丰富的讲师,他们不仅理论深厚,更有丰富的实战经验。
实战操作:课程注重实战操作,让您在理解理论的同时,通过大量实战练习掌握每个知识点。
培训咨询