400-888-5228

課程概述

信息安全作為我國信息化建設(shè)健康發(fā)展的重要因素,關(guān)系到貫徹落實科學發(fā)展觀、全面建設(shè)小康社會、構(gòu)建社會主義和諧社會及建設(shè)創(chuàng)新型社會等國家戰(zhàn)略舉措的實施,是國家安全的重要組成部分。在信息系統(tǒng)安全保障工作中,人是最核心、也是最活躍的因素,人員的信息安全意識、知識與技能已經(jīng)成為保障信息系統(tǒng)安全穩(wěn)定運行的重要基本要素之一。 注冊信息安全專業(yè)人員(CISP)是對我國網(wǎng)絡基礎(chǔ)設(shè)施和重要信息系統(tǒng)的信息安全專業(yè)人員開展在職培訓的重要形式,多年來為落實我國有關(guān)政策“加快信息安全人才培養(yǎng),增強全民信息安全意識”的指導精神,構(gòu)建信息安全人才體系發(fā)揮了巨大作用。

 

注冊信息安全專業(yè)人員-滲透測試,英文為 Certified Information Security Professional - Penetration Test Engineer ,簡稱 CISP-PTE。證書持有人員主要從事信息安全技術(shù)領(lǐng)域網(wǎng)站滲透測試工作,具有規(guī)劃測試方案、編寫項目測試計劃、編寫測試用例、測試報告的基本知識和能力。

課程對象

證書持有人主要從事信息安全技術(shù)領(lǐng)域網(wǎng)站滲透測試工作

具有規(guī)劃測試方案

編寫項目測試計劃

編寫測試用例

測試報告的基本知識和能力

準畢業(yè)生 OR 在校生

CISP-PTE 是對信息安全從業(yè)人員滲透測試技術(shù)能力的證明,同時也是有利的競爭力之一、興趣愛好者。

 

課程要求:

成為注冊信息安全專業(yè)人員滲透測試工程師(CISP-PTE),必須同時滿足以下基本要求:

  1. 申請成為注冊信息安全專業(yè)人員滲透測試工程師(CISP-PTE),要求具備一定滲透測試能力,或有意向從事滲透

測試的人員,包含信息安全相關(guān)專業(yè)高校生;

  1. 申請成為注冊信息安全專業(yè)人員滲透測試工程師(CISP-PTE)無學歷與工作經(jīng)驗的報考要求;
  2. 通過注冊信息安全專業(yè)人員攻防領(lǐng)域考試中心組織的 CISP-PTE 考試;
  3. 同意并遵守 CISP 職業(yè)道德準則;
  4. 滿足 CISP-PTE 注冊要求并成功通過 CISP-PTE 審核;

注:注冊信息安全專業(yè)人員-滲透測試工程師的資質(zhì)證書有效期為三年,證書失效后,需重新參加 CISP-PTE 注冊考試

課程目標

理解信息安全的重要性:認識到信息安全在國家信息化建設(shè)中的核心地位,以及個人在其中扮演的角色。

掌握滲透測試的基本知識和技能:通過系統(tǒng)學習,能夠熟練規(guī)劃和執(zhí)行網(wǎng)站滲透測試方案,編寫項目測試計劃和測試用例,以及撰寫詳盡的測試報告。

提升信息安全意識和職業(yè)道德:培養(yǎng)良好的信息安全意識,遵守職業(yè)道德準則,為成為合格的信息安全專業(yè)人員打下堅實的基礎(chǔ)。

發(fā)展實戰(zhàn)能力:通過實際操作和案例分析,提高發(fā)現(xiàn)和修復安全漏洞的能力,包括但不限于SQL注入、XSS攻擊、緩沖區(qū)溢出等。

系統(tǒng)學習網(wǎng)絡和系統(tǒng)安全知識:深入了解各種操作系統(tǒng)和數(shù)據(jù)庫的安全配置,掌握安全加固和應急響應技能。

準備CISP-PTE資格認證:滿足CISP-PTE的注冊要求,成功通過考試和審核,獲得證書。

課程收益

  • 掌握網(wǎng)站安全評估方法
  • 掌握網(wǎng)站安全檢測方法
  • 掌握網(wǎng)站安全加固方法
  • 掌握網(wǎng)站木馬檢測方法
  • 掌握網(wǎng)頁病毒清除方法
  • 掌握 SQL 注入攻擊及防范方法
  • 掌握 XSS 跨腳本攻擊及防范方法
  • 掌握緩沖區(qū)溢出攻擊及防范方法
  • 掌握機密數(shù)據(jù)破解方法
  • 掌握嗅探與防范方法
  • 掌握文件包含漏洞與防范方法
  • 掌握上傳漏洞與防范,DDOS 方法
  • 掌握 CC 攻擊及防范方法
  • 掌握數(shù)據(jù)庫安全配置方法
  • 掌握服務器安全配置方法
  • 發(fā)現(xiàn)計算機業(yè)務系統(tǒng)弱點
  • 發(fā)現(xiàn)計算機業(yè)務系統(tǒng)技術(shù)缺陷

課程時長8天

課程大綱

知識域知識子域知識點
知識域:Web安全基礎(chǔ)HTTP 協(xié)議HTTP 協(xié)議基礎(chǔ)知識
注入漏洞SQL 注入的基礎(chǔ)知識
XML 實體注入基礎(chǔ)知識
RFI 遠程文件包含漏洞的原理和修復方法
RCE 遠程代碼執(zhí)行漏洞的原理和修復方法
XSS 漏洞存儲型XSS 漏洞發(fā)現(xiàn)與防范
反射型XSS 漏洞發(fā)現(xiàn)與防范
Dom 型XSS 漏洞發(fā)現(xiàn)與防范
CSRF 漏洞CSRF 跨站請求偽造漏洞的分析與利用
SSRF 漏洞SSRF 服務端請求偽造漏洞的分析與利用
文件處理漏洞任意文件上傳漏洞產(chǎn)生的原因與修復方法
任意文件讀取漏洞產(chǎn)生的原因與修復方法
訪問控制漏洞垂直越權(quán)漏洞的分析與利用
水平越權(quán)漏洞的分析與利用
會話管理漏洞會話固定漏洞的產(chǎn)生原因和防范
會話劫持漏洞的產(chǎn)生原因和防范
Cookie 欺騙漏洞的產(chǎn)生原因和防范
知識域:中間件安全ApacheApache 服務器權(quán)限配置
Apache 服務器文件解析漏洞
Apache 服務器日志審計方法
Apache 服務器Web 目錄權(quán)限的設(shè)置
IISIIS6 文件解析漏洞利用
IIS6 寫權(quán)限漏洞的利用
IIS6 短文件名漏洞
IIS7 FastCGI 方式調(diào)用PHP 存在的解析漏洞
IIS 日志審計方法
TomcatTomcat 管理賬號密碼修改方法
Tomcat 通過后臺獲取權(quán)限的方法
Tomcat 服務器啟動權(quán)限設(shè)置
Tomcat 日志審計方法
WeblogicWeblogic 反序列化漏洞
Weblogic 管理后臺弱口令風險
Weblogic 服務端請求偽造漏洞
Weblogic 日志審計方法
JBossJBoss 反序列化漏洞
JBoss jmx-console/web-console 未授權(quán)訪問
JBoss jmx Invoker 遠程命令執(zhí)行
JBoss 日志審計方法
WebsphereWebsphere 賬號管理授權(quán)
Websphere 反序列化漏洞
Websphere 管理后臺弱口令風險
Websphere 日志審計方法
Windows 系統(tǒng)安全賬戶密碼弱口令風險
賬戶的分組和權(quán)限
NTFS 文件系統(tǒng)權(quán)限的設(shè)置
Windows 日志的種類和審計方法
第三方應用和服務存在的漏洞
Windows 權(quán)限提升方法
Linux 系統(tǒng)安全檢查用戶空口令的方法
設(shè)置賬戶認證失敗鎖定次數(shù)和時間
檢查除root以外的UID為0的用戶
查找系統(tǒng)中存在的SUID 和SGID 程序
查找任何人都有寫權(quán)限的目錄和文件
第三方應用和服務可能存在的漏洞
Linux 權(quán)限提升方法
系統(tǒng)日志的分類和審計方法
知識域:數(shù)據(jù)庫安全Mssql 數(shù)據(jù)庫安全Mssql 數(shù)據(jù)庫的查詢語法
Mssql 數(shù)據(jù)庫賬戶密碼存在弱口令的風險
Mssql 數(shù)據(jù)庫服務器啟動權(quán)限的設(shè)置
Mssql 數(shù)據(jù)庫的角色與權(quán)限的分配
Mssql 數(shù)據(jù)庫中常用的存儲過程
Mssql 數(shù)據(jù)庫備份和日志備份方法
Mssql 存儲過程提權(quán)的方法
Mysql 數(shù)據(jù)庫安全Mysql 數(shù)據(jù)庫的查詢語法
Mysql 賬戶密碼弱口令風險
Mysql 創(chuàng)建用戶并指定數(shù)據(jù)庫授權(quán)
Mysql 讀取文件和導出文件的方法
Mysql 提權(quán)的方法
Oracle 數(shù)據(jù)庫安全Oracle 數(shù)據(jù)庫的查詢語法
Oracle 數(shù)據(jù)庫執(zhí)行系統(tǒng)命令的方法
Oracle 數(shù)據(jù)庫賬號權(quán)限的分配
Oracle 數(shù)據(jù)庫賬號密碼策略配置
Oracle 數(shù)據(jù)庫日志審計
Redis 數(shù)據(jù)庫安全Redis 數(shù)據(jù)庫未授權(quán)訪問的危害
Redis 數(shù)據(jù)庫啟動權(quán)限的設(shè)置
Redis 寫入文件的方法

為什么選擇艾威

艾威培訓機構(gòu),自2003年成立以來,致力于為企業(yè)和個人提供最前沿的技術(shù)培訓服務。我們的課程結(jié)構(gòu)科學,由業(yè)界經(jīng)驗豐富的講師親自授課,確保您能在最短的時間內(nèi),以最高的效率掌握核心技能。

權(quán)威講師團隊:擁有多位來自業(yè)界的經(jīng)驗豐富的講師,他們不僅理論深厚,更有豐富的實戰(zhàn)經(jīng)驗。

實戰(zhàn)操作:課程注重實戰(zhàn)操作,讓您在理解理論的同時,通過大量實戰(zhàn)練習掌握每個知識點。

培訓咨詢

發(fā)表回復

您的電子郵箱地址不會被公開。 必填項已用*標注

同類課程推薦同類課程推薦
IT技術(shù)培訓課程分類