【CISP-PTE课程介绍】
注册信息安全专业人员-渗透测试,英文为 Certified Information Security Professional - Penetration Test Engineer ,简称 CISP-PTE。证书持有人员主要从事信息安全技术领域网站渗透测试工作,具有规划测试方案、编写项目测试计划、编写测试用例、测试报告的基本知识和能力。
【CISP-PTE知识体系】
CISP-PTE 知识体系使用组件模块化的结构,包括知识类、知识体、知识域、 知识子域四个层次。
知识类:是对渗透测试知识领域的总体划分,包含信息安全专业人员需 要掌握的四大知识类别;
知识体:是知识类中由属于同一技术领域的知识内容构成的相对独立、 成体系的知识集合;
知识域:是对知识体进一步分解细化形成的完整的知识组件;
知识子域:是构成知识域的基本模块,由一至多个具体知识要点构成。
在整个注册信息安全专业人员-渗透测试(CISP-PTE)的知识体系结构中, 共包括 web 安全基础、中间件安全基础、操作系统安全基础、数据库安全基础这 四个知识类,每个知识类根据其逻辑划分为多个知识体,每个知识体包含多个知 识域,每个知识域由一个或多个知识子域组成。
CISP-PTE 知识体系结构共包含四个知识类,分别为:
web安全基础:
主要包括HTTP协议、注入漏洞、XSS漏洞、SSRF漏洞、 CSRF 漏洞、文件处理漏洞、访问控制漏洞、会话管理漏洞等相关的技术知识和实践。
中间件安全基础:
主要包括Apache、IIS、Tomcat、weblogic、websphere、 Jboss 等相关的技术知识和实践。
操作系统安全基础:
主要包括Windows操作系统、Linux操作系统相关技术知识和实践。
数据库安全基础:
主要包括Mssql数据库、Mysql数据库、Oracle数据库、Redis 数据库相关技术知识和实践。
【课程大纲】
第一章 操作系统安全基础 | ||
Windows 系统安全 | 账户安全 | 账户的基本概念 账户风险与安全策略 |
文件系统安全 | 文件系统基础知识 NTFS权限设置 | |
日志分析 | 系统日志的分类 日志的审计方法 | |
Linux 系统安全 | 账户安全 | 账户的基本概念 账户风险与安全策略 |
文件系统安全 | 文件系统基础知识 安全访问与权限设置 | |
日志分析 | 系统日志的分类 日志的审计方法 | |
第二章 数据库安全基础 | ||
关系型数据库 | MSSQL | MSSQL角色与权限 MSSQL存储过程安全 |
MYSQL | MYSQL权限与设置 MYSQL内置函数风险 | |
Oracle | ORACLE角色与权限 ORACLE安全风险 | |
非关系型数据库 | Redis | Redis权限与设置 Redis未授权访问风险 |
第三章 中间件安全基础 | ||
主流的中间件 | Apache | Apache服务器的安全设置 Apache服务器文件名解析漏洞 Apache服务器日志审计方法 |
IIS | IIS服务器的安全设置 IIS服务器常见漏洞 IIS服务器日志审计方法 | |
Tomcat | Tomcat服务器的安全设置 Tomcat服务器的日志审计方法 | |
JAVA开发的中间件 | weblogic | Weblogic的安全设置 Weblogic的漏洞利用与防范 Weblogic的日志审计方法 |
websphere | Websphere的安全设置 Websphere的漏洞利用与防范 Websphere的日志审计方法 | |
Jboss | Jboss的安全设置 Jboss的漏洞利用与防范 Jboss的日志审计方法 | |
第四章 web安全基础 | ||
HTTP协议 | HTTP请求方法 | HTTP1.0的请求方法 HTTP1.1新增的请求方法 |
HTTP状态码 | HTTP状态码的分类 HTTP状态码的含义 | |
HTTP协议响应头信息 | HTTP响应头的类型 HTTP响应头的含义 | |
HTTP协议的URL | URL的定义 URL的格式 | |
注入漏洞 | SQL注入 | SQL注入概念 SQL注入漏洞类型 SQL注入漏洞安全防护 |
XML注入 | XML注入概念 XML注入漏洞检测与防护 | |
代码注入 | 远程文件包含漏洞(RFI) 本地文件包含漏洞(LFI) 命令执行漏洞(CI) | |
注入漏洞 | 存储式XSS | 存储式XSS的概念 存储式XSS的检测 存储式XSS的安全防护 |
反射式XSS | 反射式XSS的概念 反射式XSS的利用与修复 | |
DOM式XSS | DOM式XSS的特征 DOM式XSS的防御 | |
注入漏洞 | SSRF漏洞 | 服务端请求伪造漏洞概念 服务端请求漏洞的检测与防护 |
CSRF漏洞 | 跨站请求伪造漏洞概念 跨站请求漏洞的危害与防御 | |
文件处理漏洞 | 任意文件上传 | 上传漏洞的原理与分析 上传漏洞的检测与防范 |
任意文件下载 | 文件下载漏洞的原理与分析 文件下载漏洞的检测与防范 | |
访问控制漏洞 | 横向越权 | 横向越权漏洞的概念 横向越权漏洞的检测与防范 |
垂直越权 | 垂直越权漏洞的概念 垂直越权漏洞的检测与防范 | |
会话管理漏洞 | 会话劫持 | 会话劫持漏洞的概念与原理 会话劫持漏洞基本防御方法 |
会话固定 | 会话固定漏洞的概念与原理 会话固定漏洞基本防御方法 |
【培训对象】
1、准毕业生OR在校生
2、信息安全从业人员
3、网络安全兴趣爱好者
4、有意向从事渗透测试工作者
【认证要求】
成为注册信息安全专业人员渗透测试工程师(CISP-PTE),必须同时满足以下基本要求:
1、申请成为注册信息安全专业人员渗透测试工程师(CISP-PTE),要求具备一定渗透测试能力,或有意向从事渗透测试的人员,包含信息安全相关专业高校生;
2、申请成为注册信息安全专业人员渗透测试工程师(CISP-PTE)无学历与工作经验的报考要求;
3、通过注册信息安全专业人员攻防领域考试中心组织的 CISP-PTE 考试;
4、同意并遵守 CISP 职业道德准则;
5、满足 CISP-PTE 注册要求并成功通过 CISP-PTE 审核;
注:注册信息安全专业人员-渗透测试工程师的资质证书有效期为三年,证书失效后,需重新参加 CISP-PTE 注册考试
【培训教材】
讲义
【认证培训及考试】
培训天数:8天,第9天安排考试
培训形式:面授
考试形式:机考,CISP-PTE 考试题型为客观题、实操题。客观题为单项选择题,共 20 题,每
题 1 分;实操题共 80 分。总分共 100 分,得到 70 分以上(含 70 分)为通过。
培训费用:19800元/人(明细:培训费用:14800元/人(包含教材(含标准)、结业证书),考 试 费:3000元/人;认证费:500元/人;三年年金:1500元/人,总计5000元(考试、认证、年金费用中心规定由培训机构代收代缴)
认证机构:中国信息安全测评中心颁发《国家注册信息系统安全专业人员-渗透测试工程师资质证书》
【培训讲师】
资深讲师