課程概述 信息安全作為我國(guó)信息化建設(shè)健康發(fā)展的重要因素,關(guān)系到貫徹落實(shí)科學(xué)發(fā)展觀、全面建設(shè)小康社會(huì)、構(gòu)建社會(huì)主義和諧社會(huì)及建設(shè)創(chuàng)新型社會(huì)等國(guó)家戰(zhàn)略舉措的實(shí)施,是國(guó)家安全的重要組成部分。在信息系統(tǒng)安全保障工作中,人是最核心、也是最活躍的因素,人員的信息安全意識(shí)、知識(shí)與技能已經(jīng)成為保障信息系統(tǒng)安全穩(wěn)定運(yùn)行的重要基本要素之一。 注冊(cè)信息安全專業(yè)人員(CISP)是對(duì)我國(guó)網(wǎng)絡(luò)基礎(chǔ)設(shè)施和重要信息系統(tǒng)的信息安全專業(yè)人員開(kāi)展在職培訓(xùn)的重要形式,多年來(lái)為落實(shí)我國(guó)有關(guān)政策“加快信息安全人才培養(yǎng),增強(qiáng)全民信息安全意識(shí)”的指導(dǎo)精神,構(gòu)建信息安全人才體系發(fā)揮了巨大作用。
注冊(cè)信息安全專業(yè)人員-滲透測(cè)試,英文為 Certified Information Security Professional - Penetration Test Engineer ,簡(jiǎn)稱 CISP-PTE。證書持有人員主要從事信息安全技術(shù)領(lǐng)域網(wǎng)站滲透測(cè)試工作,具有規(guī)劃測(cè)試方案、編寫項(xiàng)目測(cè)試計(jì)劃、編寫測(cè)試用例、測(cè)試報(bào)告的基本知識(shí)和能力。
課程對(duì)象 證書持有人主要從事信息安全技術(shù)領(lǐng)域網(wǎng)站滲透測(cè)試工作
具有規(guī)劃測(cè)試方案
編寫項(xiàng)目測(cè)試計(jì)劃
編寫測(cè)試用例
測(cè)試報(bào)告的基本知識(shí)和能力
準(zhǔn)畢業(yè)生 OR 在校生
CISP-PTE 是對(duì)信息安全從業(yè)人員滲透測(cè)試技術(shù)能力的證明,同時(shí)也是有利的競(jìng)爭(zhēng)力之一、興趣愛(ài)好者。
課程要求:
成為注冊(cè)信息安全專業(yè)人員滲透測(cè)試工程師(CISP-PTE),必須同時(shí)滿足以下基本要求:
申請(qǐng)成為注冊(cè)信息安全專業(yè)人員滲透測(cè)試工程師(CISP-PTE),要求具備一定滲透測(cè)試能力,或有意向從事滲透 測(cè)試的人員,包含信息安全相關(guān)專業(yè)高校生;
申請(qǐng)成為注冊(cè)信息安全專業(yè)人員滲透測(cè)試工程師(CISP-PTE)無(wú)學(xué)歷與工作經(jīng)驗(yàn)的報(bào)考要求; 通過(guò)注冊(cè)信息安全專業(yè)人員攻防領(lǐng)域考試中心組織的 CISP-PTE 考試; 同意并遵守 CISP 職業(yè)道德準(zhǔn)則; 滿足 CISP-PTE 注冊(cè)要求并成功通過(guò) CISP-PTE 審核; 注:注冊(cè)信息安全專業(yè)人員-滲透測(cè)試工程師的資質(zhì)證書有效期為三年,證書失效后,需重新參加 CISP-PTE 注冊(cè)考試
課程目標(biāo) 理解信息安全的重要性: 認(rèn)識(shí)到信息安全在國(guó)家信息化建設(shè)中的核心地位,以及個(gè)人在其中扮演的角色。
掌握滲透測(cè)試的基本知識(shí)和技能: 通過(guò)系統(tǒng)學(xué)習(xí),能夠熟練規(guī)劃和執(zhí)行網(wǎng)站滲透測(cè)試方案,編寫項(xiàng)目測(cè)試計(jì)劃和測(cè)試用例,以及撰寫詳盡的測(cè)試報(bào)告。
提升信息安全意識(shí)和職業(yè)道德: 培養(yǎng)良好的信息安全意識(shí),遵守職業(yè)道德準(zhǔn)則,為成為合格的信息安全專業(yè)人員打下堅(jiān)實(shí)的基礎(chǔ)。
發(fā)展實(shí)戰(zhàn)能力: 通過(guò)實(shí)際操作和案例分析,提高發(fā)現(xiàn)和修復(fù)安全漏洞的能力,包括但不限于SQL注入、XSS攻擊、緩沖區(qū)溢出等。
系統(tǒng)學(xué)習(xí)網(wǎng)絡(luò)和系統(tǒng)安全知識(shí): 深入了解各種操作系統(tǒng)和數(shù)據(jù)庫(kù)的安全配置,掌握安全加固和應(yīng)急響應(yīng)技能。
準(zhǔn)備CISP-PTE資格認(rèn)證: 滿足CISP-PTE的注冊(cè)要求,成功通過(guò)考試和審核,獲得證書。
課程收益 掌握網(wǎng)站安全評(píng)估方法 掌握網(wǎng)站安全檢測(cè)方法 掌握網(wǎng)站安全加固方法 掌握網(wǎng)站木馬檢測(cè)方法 掌握網(wǎng)頁(yè)病毒清除方法 掌握 SQL 注入攻擊及防范方法 掌握 XSS 跨腳本攻擊及防范方法 掌握緩沖區(qū)溢出攻擊及防范方法 掌握機(jī)密數(shù)據(jù)破解方法 掌握嗅探與防范方法 掌握文件包含漏洞與防范方法 掌握上傳漏洞與防范,DDOS 方法 掌握 CC 攻擊及防范方法 掌握數(shù)據(jù)庫(kù)安全配置方法 掌握服務(wù)器安全配置方法 發(fā)現(xiàn)計(jì)算機(jī)業(yè)務(wù)系統(tǒng)弱點(diǎn) 發(fā)現(xiàn)計(jì)算機(jī)業(yè)務(wù)系統(tǒng)技術(shù)缺陷
課程時(shí)長(zhǎng)8天 課程大綱 知識(shí)域 知識(shí)子域 知識(shí)點(diǎn) 知識(shí)域:Web安全基礎(chǔ) HTTP 協(xié)議 HTTP 協(xié)議基礎(chǔ)知識(shí) 注入漏洞 SQL 注入的基礎(chǔ)知識(shí) XML 實(shí)體注入基礎(chǔ)知識(shí) RFI 遠(yuǎn)程文件包含漏洞的原理和修復(fù)方法 RCE 遠(yuǎn)程代碼執(zhí)行漏洞的原理和修復(fù)方法 XSS 漏洞 存儲(chǔ)型XSS 漏洞發(fā)現(xiàn)與防范 反射型XSS 漏洞發(fā)現(xiàn)與防范 Dom 型XSS 漏洞發(fā)現(xiàn)與防范 CSRF 漏洞 CSRF 跨站請(qǐng)求偽造漏洞的分析與利用 SSRF 漏洞 SSRF 服務(wù)端請(qǐng)求偽造漏洞的分析與利用 文件處理漏洞 任意文件上傳漏洞產(chǎn)生的原因與修復(fù)方法 任意文件讀取漏洞產(chǎn)生的原因與修復(fù)方法 訪問(wèn)控制漏洞 垂直越權(quán)漏洞的分析與利用 水平越權(quán)漏洞的分析與利用 會(huì)話管理漏洞 會(huì)話固定漏洞的產(chǎn)生原因和防范 會(huì)話劫持漏洞的產(chǎn)生原因和防范 Cookie 欺騙漏洞的產(chǎn)生原因和防范 知識(shí)域:中間件安全 Apache Apache 服務(wù)器權(quán)限配置 Apache 服務(wù)器文件解析漏洞 Apache 服務(wù)器日志審計(jì)方法 Apache 服務(wù)器Web 目錄權(quán)限的設(shè)置 IIS IIS6 文件解析漏洞利用 IIS6 寫權(quán)限漏洞的利用 IIS6 短文件名漏洞 IIS7 FastCGI 方式調(diào)用PHP 存在的解析漏洞 IIS 日志審計(jì)方法 Tomcat Tomcat 管理賬號(hào)密碼修改方法 Tomcat 通過(guò)后臺(tái)獲取權(quán)限的方法 Tomcat 服務(wù)器啟動(dòng)權(quán)限設(shè)置 Tomcat 日志審計(jì)方法 Weblogic Weblogic 反序列化漏洞 Weblogic 管理后臺(tái)弱口令風(fēng)險(xiǎn) Weblogic 服務(wù)端請(qǐng)求偽造漏洞 Weblogic 日志審計(jì)方法 JBoss JBoss 反序列化漏洞 JBoss jmx-console/web-console 未授權(quán)訪問(wèn) JBoss jmx Invoker 遠(yuǎn)程命令執(zhí)行 JBoss 日志審計(jì)方法 Websphere Websphere 賬號(hào)管理授權(quán) Websphere 反序列化漏洞 Websphere 管理后臺(tái)弱口令風(fēng)險(xiǎn) Websphere 日志審計(jì)方法 Windows 系統(tǒng)安全 賬戶密碼弱口令風(fēng)險(xiǎn) 賬戶的分組和權(quán)限 NTFS 文件系統(tǒng)權(quán)限的設(shè)置 Windows 日志的種類和審計(jì)方法 第三方應(yīng)用和服務(wù)存在的漏洞 Windows 權(quán)限提升方法 Linux 系統(tǒng)安全 檢查用戶空口令的方法 設(shè)置賬戶認(rèn)證失敗鎖定次數(shù)和時(shí)間 檢查除root以外的UID為0的用戶 查找系統(tǒng)中存在的SUID 和SGID 程序 查找任何人都有寫權(quán)限的目錄和文件 第三方應(yīng)用和服務(wù)可能存在的漏洞 Linux 權(quán)限提升方法 系統(tǒng)日志的分類和審計(jì)方法 知識(shí)域:數(shù)據(jù)庫(kù)安全 Mssql 數(shù)據(jù)庫(kù)安全 Mssql 數(shù)據(jù)庫(kù)的查詢語(yǔ)法 Mssql 數(shù)據(jù)庫(kù)賬戶密碼存在弱口令的風(fēng)險(xiǎn) Mssql 數(shù)據(jù)庫(kù)服務(wù)器啟動(dòng)權(quán)限的設(shè)置 Mssql 數(shù)據(jù)庫(kù)的角色與權(quán)限的分配 Mssql 數(shù)據(jù)庫(kù)中常用的存儲(chǔ)過(guò)程 Mssql 數(shù)據(jù)庫(kù)備份和日志備份方法 Mssql 存儲(chǔ)過(guò)程提權(quán)的方法 Mysql 數(shù)據(jù)庫(kù)安全 Mysql 數(shù)據(jù)庫(kù)的查詢語(yǔ)法 Mysql 賬戶密碼弱口令風(fēng)險(xiǎn) Mysql 創(chuàng)建用戶并指定數(shù)據(jù)庫(kù)授權(quán) Mysql 讀取文件和導(dǎo)出文件的方法 Mysql 提權(quán)的方法 Oracle 數(shù)據(jù)庫(kù)安全 Oracle 數(shù)據(jù)庫(kù)的查詢語(yǔ)法 Oracle 數(shù)據(jù)庫(kù)執(zhí)行系統(tǒng)命令的方法 Oracle 數(shù)據(jù)庫(kù)賬號(hào)權(quán)限的分配 Oracle 數(shù)據(jù)庫(kù)賬號(hào)密碼策略配置 Oracle 數(shù)據(jù)庫(kù)日志審計(jì) Redis 數(shù)據(jù)庫(kù)安全 Redis 數(shù)據(jù)庫(kù)未授權(quán)訪問(wèn)的危害 Redis 數(shù)據(jù)庫(kù)啟動(dòng)權(quán)限的設(shè)置 Redis 寫入文件的方法
為什么選擇艾威 艾威培訓(xùn)機(jī)構(gòu),自2003年成立以來(lái),致力于為企業(yè)和個(gè)人提供最前沿的技術(shù)培訓(xùn)服務(wù)。我們的課程結(jié)構(gòu)科學(xué),由業(yè)界經(jīng)驗(yàn)豐富的講師親自授課,確保您能在最短的時(shí)間內(nèi),以最高的效率掌握核心技能。
權(quán)威講師團(tuán)隊(duì):擁有多位來(lái)自業(yè)界的經(jīng)驗(yàn)豐富的講師,他們不僅理論深厚,更有豐富的實(shí)戰(zhàn)經(jīng)驗(yàn)。
實(shí)戰(zhàn)操作:課程注重實(shí)戰(zhàn)操作,讓您在理解理論的同時(shí),通過(guò)大量實(shí)戰(zhàn)練習(xí)掌握每個(gè)知識(shí)點(diǎn)。
培訓(xùn)咨詢