认证培训

CERTIFICATION

CISP-PTE注册信息安全专业人员-渗透测试

基本信息

CISP-PTE课程介绍】

注册信息安全专业人员-渗透测试,英文为 Certified Information Security Professional - Penetration Test Engineer ,简称 CISP-PTE。证书持有人员主要从事信息安全技术领域网站渗透测试工作,具有规划测试方案、编写项目测试计划、编写测试用例、测试报告的基本知识和能力。

CISP-PTE知识体系】

CISP-PTE 知识体系使用组件模块化的结构,包括知识类、知识体、知识域、 知识子域四个层次。

知识类:是对渗透测试知识领域的总体划分,包含信息安全专业人员需 要掌握的四大知识类别; 

知识体:是知识类中由属于同一技术领域的知识内容构成的相对独立、 成体系的知识集合; 

知识域:是对知识体进一步分解细化形成的完整的知识组件

知识子域:是构成知识域的基本模块,由一至多个具体知识要点构成。

CISP-PTE考试】

试题结构:单项选择题20道,每题1分;实操题共80分。总分共100分,得到70分以上(含70)为通过。



课程安排

“专业技能实战培训(20%理论+80%实操)+仿真模拟上机考试+考试”

第一天

渗透测试基础

1、渗透测试概念与流程

2、Web架构的介绍

3、HTTP基础

4、burpsuite基础

5、上传漏洞利用

实战一:上传漏洞利用

实战二:网站暴力破解

第二天

Web渗透技术(一)

1、扫描技术

2、Web安全概述

3、XSS漏洞

4、CSRF 漏洞

5、SSRF 漏洞

6、会话管理漏洞

实战一:端口扫描及分析

实战二:存储式跨站漏洞的利用

实战三:反射型跨站漏洞的利用

实战三:COOKIE欺骗腾讯或百度,盗用账户身份

第三天

Web渗透技术(二)

1、sql注入漏洞

2、XML注入

3、远程文件包含漏洞(RFI)

4、本地文件包含漏洞(LFI)

5、远程命令执行漏洞(RCE)

实战一:mysql手工注入

实战二:sql注入绕过实践

实战三:自动化注入应用

实战四:远程文件包含漏洞利用及弱防御的绕过

实战五:struts2漏洞利用

第四天

Web渗透技术(三)

1、访问控制漏洞

2、中间件漏洞利用

3、网站木马

4、解析漏洞

实战一:反序列化漏洞利用

实战二:网站木马应用

实战三:IIS6/IIS7解析漏洞

第五天

安全配置(一)

1、Mssql数据库安全

2、Mysql数据库安全

3、Oracle数据库安全

4、Redis数据库安全

实战一:数据库安全配置

实战二:Redis数据库未授权访问漏洞利用

第六天

安全配置(二)

1、Windows 系统安全

2、linux 系统安全

3、中间件安全

4、日志审计

实战一:windows/Linux安全配置

实战二:中间件安全配置

实战三:中间件日志分析

第七天

仿真模拟上机考试

上午:模拟考试

下午:模拟题解析

第八天

上机考试

上机考试:4H

100道题,70分以上通过(其中,20%理论题、80%实操题)

相关证书

QQ图片20190312134242