首页>全部课程>CISP-PTE渗透测试工程师
CISP-PTE渗透测试工程师
报名课程可获赠300.0元助学金,助学金说明 >>
直播面授
时间图标 培训课时 60课时,8天(6天讲+2天考前辅导)
标题图标 课程介绍 标题图标

CISP即“注册信息安全专家”,是经中国信息安全产品测评认证中心实施国家认证,代表国家对信息安全人员资质的最高认可;是有关信息安全企业,信息安全咨询服务机构、信息安全测评认证机构和授权测评机构、社会各组织、团体、企事业有关信息系统建设、运行和应用管理的技术部门和标准化部门必备的专业岗位人员,其基本职能是对信息系统的安全提供技术保障,CISP严格的认证和培训程序赋予其具备专业资质和能力。目前,国内各大安全专业服务公司都具备相应数量的CISP专家。

注册信息安全专业人员-渗透测试,英文为 Certified Information Security Professional - Penetration Test Engineer ,简称 CISP-PTE。证书持有人员主要从事信息安全技术领域网站渗透测试工作,具有规划测试方案编写项目测试计划、编写测试用例、测试报告的基本知识和能力。

该注册考试是为了锻炼考生实际解决网络安全问题的能力,有效增强我国网络安全防御能力,促进国家企事业单位网络防御能力不断提高,以发现人才,选拔优秀人才而设立的技能水平考试


标题图标 学员基础 标题图标

安全研究和攻防测试人员

安全管理人员

安全运维人员

企业信息化管理的中层领导

IT部门负责人


标题图标 课程目标 标题图标

考生应该能够理解和发现这些漏洞,并且学会修复这些漏洞的方法,掌握更多的安全技术

考生应了解中间件的安全知识

考生应了解操作系统的安全基础知识

考生应了解数据库的安全基础知识,这里以 Mssql,Mysql,Oracle,Redis 数据库为主

通过以上内容的学习,要求考生可以发现和修复网络中的漏洞,掌握更多的安全技能,提高个人的技术能力。具备渗透测试工程师的素养。


标题图标 课程大纲 标题图标

知识类

章节

考核标准及知识点

攻防基础

考试介绍和课程安排


培训课件和场景准备

(培训中同步分发给学员)

攻防趋势技术要点概览

业界和国内外重点和核心

攻防渗透基础

踩点扫描、漏洞发现等

网络安全

网络安全概述

协议基础和wireshark分析

网络设备安全

FW/IDS/WAF

网络攻防命令

Win/linux/路由交换等

外网突破概述

介绍主要的几个方法

内网渗透概述

简述内网渗透的技术

WEB 安全基础 

HTTP 协议

HTTP 协议基础知识

注入漏洞

SQL 注入的基础知识

XML 实体注入基础知识

RFI 远程文件包含漏洞的原理和修复方法

LFI 本地文件包含漏洞的原理和修复方法

RCE 远程代码执行漏洞的原理和修复方法

XSS 漏洞

存储型 XSS 漏洞发现与防范

反射型 XSS 漏洞发现与防范

Dom 型 XSS 漏洞发现与防范

CSRF 漏洞

CSRF 跨站请求伪造漏洞的分析与利用

SSRF 漏洞

SSRF 服务端请求伪造漏洞的分析与利用

文件处理漏洞

任意文件上传漏洞产生的原因与修复方法

任意文件读取漏洞产生的原因与修复方法

访问控制漏洞

垂直越权漏洞的分析与利用

水平越权漏洞的分析与利用

会话管理漏洞

会话固定漏洞的产生原因和防范

会话劫持漏洞的产生原因和防范

Cookie 欺骗漏洞的产生原因和防范

操作系统安全

Windows 系统安全

账户密码弱口令风险

账户的分组和权限

NTFS 文件系统权限的设置

Windows 日志的种类和审计方法

第三方应用和服务存在的漏洞

Windows 权限提升方法

Linux 系统安全

检查用户空口令的方法

设置账户认证失败锁定次数和时间

检查除root以外的UID为0的用户

查找系统中存在的 SUID 和 SGID 程序

查找任何人都有写权限的目录和文件

第三方应用和服务可能存在的漏洞

Linux 权限提升方法

系统日志的分类和审计方法

中间件安全 
 
 

Apache

Apache 服务器权限配置

Apache 服务器文件解析漏洞

Apache 服务器日志审计方法

Apache 服务器 Web 目录权限的设置

IIS

IIS6 文件解析漏洞利用

IIS6 写权限漏洞的利用

IIS6 短文件名漏洞

IIS7 FastCGI 方式调用 PHP 存在的解析漏洞

IIS 日志审计方法

Tomcat

Tomcat 管理账号密码修改方法

Tomcat 通过后台获取权限的方法

Tomcat 服务器启动权限设置

Tomcat 日志审计方法

Weblogic

Weblogic 反序列化漏洞

Weblogic 管理后台弱口令风险

Weblogic 服务端请求伪造漏洞

Weblogic 日志审计方法

JBoss

JBoss 反序列化漏洞

JBoss jmx-console/web-console 未授权访问

JBoss jmx Invoker 远程命令执行

JBoss 日志审计方法

Websphere

Websphere 账号管理授权

Websphere 反序列化漏洞

Websphere 管理后台弱口令风险

Websphere 日志审计方法

数据库安全 
 
 

Mssql 数据库安全

Mssql 数据库的查询语法

Mssql 数据库账户密码存在弱口令的风险

Mssql 数据库服务器启动权限的设置

Mssql 数据库的角色与权限的分配

Mssql 数据库中常用的存储过程

Mssql 数据库备份和日志备份方法

Mssql 存储过程提权的方法

Mysql 数据库安全

Mysql 数据库的查询语法

Mysql 账户密码弱口令风险

Mysql 创建用户并指定数据库授权

Mysql 读取文件和导出文件的方法

Mysql 提权的方法

Oracle 数据库安全

Oracle 数据库的查询语法

Oracle 数据库执行系统命令的方法

Oracle 数据库账号权限的分配

Oracle 数据库账号密码策略配置

Oracle 数据库日志审计

Redis 数据库安全

Redis 数据库未授权访问的危害

Redis 数据库启动权限的设置

Redis 写入文件的方法

综合串讲演练

前期课程总结

串联思路和题型解读

考试模拟(多套)

快速熟悉考试流程和题眼

考后复盘

针对技术缺陷和不足进行点评

技术答疑

温习重点和思路发散


下载课程大纲