【CISP-PTE课程介绍】
注册信息安全专业人员-渗透测试,英文为 Certified Information Security Professional - Penetration Test Engineer ,简称 CISP-PTE。证书持有人员主要从事信息安全技术领域网站渗透测试工作,具有规划测试方案、编写项目测试计划、编写测试用例、测试报告的基本知识和能力。
【CISP-PTE知识体系】
CISP-PTE 知识体系使用组件模块化的结构,包括知识类、知识体、知识域、 知识子域四个层次。
知识类:是对渗透测试知识领域的总体划分,包含信息安全专业人员需 要掌握的四大知识类别;
知识体:是知识类中由属于同一技术领域的知识内容构成的相对独立、 成体系的知识集合;
知识域:是对知识体进一步分解细化形成的完整的知识组件;
知识子域:是构成知识域的基本模块,由一至多个具体知识要点构成。
【CISP-PTE考试】
试题结构:单项选择题20道,每题1分;实操题共80分。总分共100分,得到70分以上(含70分)为通过。
“专业技能实战培训(20%理论+80%实操)+仿真模拟上机考试+考试”
第一天 渗透测试基础 |
1、渗透测试概念与流程 2、Web架构的介绍 3、HTTP基础 4、burpsuite基础 5、上传漏洞利用 |
实战一:上传漏洞利用 实战二:网站暴力破解 |
第二天 Web渗透技术(一) |
1、扫描技术 2、Web安全概述 3、XSS漏洞 4、CSRF 漏洞 5、SSRF 漏洞 6、会话管理漏洞 |
实战一:端口扫描及分析 实战二:存储式跨站漏洞的利用 实战三:反射型跨站漏洞的利用 实战三:COOKIE欺骗腾讯或百度,盗用账户身份 |
第三天 Web渗透技术(二) |
1、sql注入漏洞 2、XML注入 3、远程文件包含漏洞(RFI) 4、本地文件包含漏洞(LFI) 5、远程命令执行漏洞(RCE) |
实战一:mysql手工注入 实战二:sql注入绕过实践 实战三:自动化注入应用 实战四:远程文件包含漏洞利用及弱防御的绕过 实战五:struts2漏洞利用 |
第四天 Web渗透技术(三) |
1、访问控制漏洞 2、中间件漏洞利用 3、网站木马 4、解析漏洞 |
实战一:反序列化漏洞利用 实战二:网站木马应用 实战三:IIS6/IIS7解析漏洞 |
第五天 安全配置(一) |
1、Mssql数据库安全 2、Mysql数据库安全 3、Oracle数据库安全 4、Redis数据库安全 |
实战一:数据库安全配置 实战二:Redis数据库未授权访问漏洞利用 |
第六天 安全配置(二) |
1、Windows 系统安全 2、linux 系统安全 3、中间件安全 4、日志审计 |
实战一:windows/Linux安全配置 实战二:中间件安全配置 实战三:中间件日志分析 |
第七天 仿真模拟上机考试 |
上午:模拟考试 下午:模拟题解析 |
|
第八天 上机考试 |
上机考试:4H 100道题,70分以上通过(其中,20%理论题、80%实操题) |