企业免费推广平台
180****2135
注册信息安全专业人员CISP-PTE渗透测试工程师认证
培训班
地点 | 北京 | 北京 | 广州 | 北京 | 南京 | 广州 | 成都 | 上海 | 北京 |
时间 | 3月 15-23 | 4月 13-21 | 5月 18-26 | 7月 12-20 | 8月 19-27 | 9月 17-25 | 10月 19-27 | 11月 22-30 | 12月 13-21 |
本课程全国常年开班,如部分地区课程已结束,请致电:18034262135(微信同步)或QQ:347782498咨询*新培训信息!也可点击课程点播在线视频学习!此课程也可以供企业做内训,欢迎咨询!
一、 组织形式
指导单位:中国信息安全测评中心
主办单位:北京中培伟业管理咨询有限公司
二、 课程背景
为提高各单位信息安全整体水平,加强信息安全人员专业技能,促进信息安全人员持证上岗,现组织开展注册信息安全专业人员攻防领域(CISP-PTE)培训及认证工作,此认证是信息安全从业人员的水平证书,证明证书持有者具备从事信息安全技术领域网站渗透测试工作,具有规划测试方案、 编写项目测试计划、编写测试用例、测试报告的基本知识和能力。此证书为从事信息安全领域的工作人员提高专业资历提供了新的机遇,为各单位信息安全提供了技术储备、规范方法和专业人才,从根本上解决了信息安全从业人员的专业水平问题,从而提高各单位信息安全的综合实力,全面提升网络安全服务保障能力和水平,请各单位积极组织参加。
三、 CISP-PTE介绍
注册信息安全专业人员攻防领域(CISP-PTE)培训是由中国信息安全测评中心统一管理和规范的信息安全专业培训,是目前国内*为主流及被业界认可的专业攻防领域的资质培训。CISP-PTE目前是国内*针对网络安全渗透测试专业人才的资格认证,也是国家对信息安全人员资质的*高认可。
在整个注册信息安全专业人员-渗透测试(CISP-PTE)的知识体系结构中, 共包括 web 安全基础、中间件安全基础、操作系统安全基础、数据库安全基础这四个知识类,每个知识类根据其逻辑划分为多个知识体,每个知识体包含多个知识域,每个知识域由一个或多个知识子域组成。
CISP-PTE 知识体系结构共包含四个知识类,分别为:
1)web安全基础:主要包括HTTP协议、注入漏洞、XSS漏洞、SSRF漏洞、 CSRF漏洞、文件处理漏洞、访问控制漏洞、会话管理漏洞等相关的技术知识和实践。
2)中间件安全基础:主要包括Apache、IIS、Tomcat、weblogic、websphere、 Jboss 等相关的技术知识和实践。
3)操作系统安全基础:主要包括Windows操作系统、Linux操作系统相关技术知识和实践。
4)数据库安全基础:主要包括Mssql数据库、Mysql数据库、Oracle数据库、Redis 数据库相关技术知识和实践。
四、 培训特色
1.理论与实践相结合、案例分析与实验穿插进行;
2.专家精彩内容解析、学员专题讨论、分组研究;
3.通过全面知识理解、专题技能掌握和安全实践增强的授课方式。
五、 日程安排
课程体系严格遵照中国信息安全测评中心的课程大纲要求,具体培训课程设置如下:
CISP-PTE注册信息安全专业人员-渗透测试工程师知识体系大纲 | ||||
*部分 | ||||
知识类 | 知识体 | 知识域 | 知识子域 | 知识点 |
1-2天 操作系统安全基础 | Windows | 账户安全 | 账户的基本概念 | Windows用户账户和组账户权限的分配 |
账户风险与安全策略 | 了解Windows用户空口令风险 | |||
了解多用户同时使用的安全配置 | ||||
了解对用户登入事件进行审核方法 | ||||
了解对远程登入账号的检查 | ||||
文件系统安全 | 文件系统基础知识 | 掌握NTFS文件权限各类 | ||
NTFS权限设置 | 掌握通过ACL控制列表,设置目录或者文件的用户访问权限 | |||
掌握命令行下修改目录或者文件的访问权限的方法 | ||||
日志分析 | 系统日志的分类 | 了解Windows系统日志的种类 | ||
了解Windows安全日志的登入类型 | ||||
日志的审计方法 | 掌握日志审计的方法 | |||
Linux | 账户安全 | 账户的基本概念 | 了解Linux系统中的账号和组 | |
账户风险与安全策略 | 了解弱口令密码带来的风险 | |||
掌握检查空口令的方法 | ||||
掌握检查系统中是否存在其它ID为0的用户的方法 | ||||
文件系统安全 | 文件系统的格式 | 了解Linux文件系统的文件格式分类 | ||
安全访问与权限设置 | 掌握如何检查系统中存在的SUID和SGID程序 | |||
掌握检查系统中任何人都有写权限的目录的方法 | ||||
掌握修改目录和文件权限的方法 | ||||
掌握搜索文件内容的方法 | ||||
日志分析 | 系统日志的分类 | 了解Linux系统的日志种类 | ||
了解Linux日志文件 | ||||
系统日志的审计方法 | 掌握使用常用的日志查看命令,进行日志审计的方法 | |||
第二部分 | ||||
3-4天 数据库安全基础 | 关系型数据库 | MSSQL | MSSQL角色与权限 | 了解MSSQL数据库在操作系统中启动的权限 |
掌握MSSQL数据库中服务器角色和数据库角色 | ||||
掌握MSSQL存在SA弱口令和空口令带来的危害 | ||||
MSSQL存储过程安全 | 掌握MSSQL数据库执行系统命令或者操作系统文件的存储过程 | |||
掌握MSSQL提升权限的方法 | ||||
MYSQL | MYSQL权限与设置 | 了解MYSQL在操作系统中运行的权限 | ||
了解MYSQL账户的安全策略 | ||||
了解MYSQL远程访问的控制方法 | ||||
了解MYSQL数据库所在目录的权限控制 | ||||
MYSQL内置函数风险 | 掌握MYSQL数据库常用函数 | |||
掌握MYSQL数据库权限提升的方法 | ||||
Oracle | ORACLE角色与权限 | 了解ORACLE数据库的账号管理与授权 | ||
了解为不同管理员分配不同的账号的方法 | ||||
了解设置管理public角色的程序包执行权限 | ||||
ORACLE安全风险 | 了解限制库文件的访问权限 | |||
掌握ORACLE执行系统命令的方法 | ||||
非关系型数据库 | Redis | Redis权限与设置 | 了解Redis数据库运行权限 | |
了解Redis数据库的默认端口 | ||||
Redis未授权访问风险 | 掌握Redis未授权访问的危害 | |||
掌握Redis开启授权的方法 | ||||
第三部分 | ||||
5-6天 中间件安全基础 | 主流的中间件 | Apache | Apache服务器的安全设置 | 了解当前Apache服务器的运行权限 |
了解控制配置文件和日志文件的权限,防止未授权访问 | ||||
了解设置日志记录文件、记录内容、记录格式 | ||||
了解禁止Apache服务器列表显示文件的方法 | ||||
了解修改Apache服务器错误页面重定向的方法 | ||||
掌握设置WEB目录的读写权限,脚本执行权限的方法 | ||||
Apache服务器文件名解析漏洞 | 了解Apache服务器解析漏洞的利用方式 | |||
掌握Apache服务器文件名解析漏洞的防御措施 | ||||
Apache服务器日志审计方法 | 掌握Apache服务器日志审计方法 | |||
IIS | IIS服务器的安全设置 | 了解身份验证功能,能够对访问用户进行控制 | ||
了解利用账号控制WEB目录的访问权限,防止跨目录访问 | ||||
了解为每个站点设置单独的应用程序池和单独的用户的方法 | ||||
了解取消上传目录的可执行脚本的权限的方法 | ||||
启用或禁止日志记录,配置日志的记录选项 | ||||
IIS服务器常见漏洞 | 掌握IIS6、IIS7的文件名解析漏洞 | |||
掌握IIS6写权限的利用 | ||||
掌握IIS6存在的短文件名漏洞 | ||||
IIS服务器日志审计方法 | 掌握IIS日志的审计方法 | |||
Tomcat | Tomcat服务器的安全设置 | 了解Tomcat服务器启动的权限 | ||
了解Tomcat服务器后台管理地址和修改管理账号密码的方法 | ||||
了解隐藏Tomcat版本信息的方法 | ||||
了解如何关闭不必要的接口和功能 | ||||
了解如何禁止目录列表,防止文件名泄露 | ||||
掌握Tomcat服务器通过后台获取权限的方法 | ||||
掌握Tomcat样例目录session操纵漏洞 | ||||
Tomcat服务器的日志审计方法 | 了解Tomcat的日志种类 | |||
掌握Tomcat日志的审计方法 | ||||
JAVA开发的中间件 | weblogic | Weblogic的安全设置 | 了解Weblogic的启动权限 | |
了解修改Weblogic的默认开放端口的方法 | ||||
本站提醒: 以上信息由用户在商名网发布,信息的真实性请自行辨别。服务协议 - 信息投诉/删除/联系本站 北京中培伟业管理咨询有限公司 Copyright © 商名网营销建站平台 All Rights Reserved. | ||||
