注册信息安全专业人员CISP-PTE渗透测试工程师认证培训班(北京,1月26-31日)
【举办单位】北京曼顿培训网 www.mdpxb.com
【咨询电话】4006820825 010-56133998 13810210257
【培训日期】北京,2021年1月26-31日;北京,2021年3月24-28日
【培训地点】北京
【课程背景】
为提高各单位信息安全整体水平,加强信息安全人员专业技能,促进信息安全人员持证上岗,现组织开展注册信息安全专业人员攻防领域(CISP-PTE)培训及认证工作,此认证是信息安全从业人员的水平证书,证明证书持有者具备从事信息安全技术领域网站渗透测试工作,具有规划测试方案、 编写项目测试计划、编写测试用例、测试报告的基本知识和能力。此证书为从事信息安全领域的工作人员提高专业资历提供了新的机遇,为各单位信息安全提供了技术储备、规范方法和专业人才,从根本上解决了信息安全从业人员的专业水平问题,从而提高各单位信息安全的综合实力,全面提升网络安全服务保障能力和水平,请各单位积极组织参加。
三、CISP-PTE介绍
注册信息安全专业人员攻防领域(CISP-PTE)培训是由中国信息安全测评中心统一管理和规范的信息安全专业培训,是目前国内最为主流及被业界认可的专业攻防领域的资质培训。CISP-PTE目前是国内唯一针对网络安全渗透测试专业人才的资格认证,也是国家对信息安全人员资质的最高认可。
在整个注册信息安全专业人员-渗透测试(CISP-PTE)的知识体系结构中, 共包括 web 安全基础、中间件安全基础、操作系统安全基础、数据库安全基础这四个知识类,每个知识类根据其逻辑划分为多个知识体,每个知识体包含多个知识域,每个知识域由一个或多个知识子域组成。
CISP-PTE 知识体系结构共包含四个知识类,分别为:
1)web安全基础:主要包括HTTP协议、注入漏洞、XSS漏洞、SSRF漏洞、 CSRF漏洞、文件处理漏洞、访问控制漏洞、会话管理漏洞等相关的技术知识和实践。
2)中间件安全基础:主要包括Apache、IIS、Tomcat、weblogic、websphere、 Jboss 等相关的技术知识和实践。
3)操作系统安全基础:主要包括Windows操作系统、Linux操作系统相关技术知识和实践。
4)数据库安全基础:主要包括Mssql数据库、Mysql数据库、Oracle数据库、Redis 数据库相关技术知识和实践。
【课程特色】
1.理论与实践相结合、案例分析与实验穿插进行;
2.专家精彩内容解析、学员专题讨论、分组研究;
3.通过全面知识理解、专题技能掌握和安全实践增强的授课方式。
【课程大纲】
第四部分
第四章web安全基础
HTTP协议
HTTP请求方法
HTTP1.0的请求方法
掌握HTTP1.0三种请求方法:GET/POST/HEAD
■掌握GET请求的标准格式
■掌握POST请求提交表彰,
上传文件的方法
■了解HEAD请求与GET请求的区别
HTTP1.1新增的请求方法
了解HTTP1.1新增了五种请求方法:OPTIONS/PUT/DELETE/TRACE和CONNECT方法的基本概念
■掌握HTTP1.1新增的五种请求的基本方法和产生的请求结果
HTTP状态码
HTTP状态码的分类
了解HTTP状态码的规范
■了解HTTP状态码的作用
■掌握常见的HTTP状态码
HTTP状态码的含义
了解HTTP状态码2**、3**、4**、5**代表的含义
■掌握用计算机语言获取HTTP状态码的方法
HTTP协议响应头信息
HTTP响应头的类型
了解常见的HTTP响应头
■掌握HTTP响应头的作用
HTTP响应头的含义
了解HTTP响应头的名称
■掌握HTTP响应头的格式
HTTP协议的URL
URL的定义
了解URL的基本概念
URL的格式
了解URL的结构
■掌握URL编码格式
注入漏洞
SQL注入SQL注入概念
了解SQL注入漏洞原理
■了解SQL注入漏洞对于数据安全的影响
■掌握SQL注入漏洞的方法
SQL注入漏洞类型
了解常见数据库的SQL查询语法
■掌握MSSQL\MYSQL\ORACLE数据库的注入方法
■掌握SQL注入漏洞的类型
SQL注入漏洞安全防护
掌握SQL注入漏洞修复和防范方法
■掌握一些SQL注入漏洞检测工具的使用方法
XML注入XML注入概念
了解什么是XML注入漏洞
■了解XML注入漏洞产生的原因
XML注入漏洞检测与防护
掌握XML注入漏洞的利用方式
■掌握如何修复XML注入漏洞
代码注入
远程文件包含漏洞(RFI)
了解什么是远程文件包含漏洞
■了解远程文件包含漏洞所用到的函数
■掌握远程文件包含漏洞的利用方式
■掌握远程文件包含漏洞代码审计方法
■掌握修复远程文件包含漏洞的方法
本地文件包含漏洞(LFI)
了解什么是本地文件包含漏洞
■了解本地文件包含漏洞产生的原因
■掌握本地文件包含漏洞利用的方式
■了解PHP语言中的封装协议
■掌握本地文件包含漏洞修复方法
命令执行漏洞(CI)
了解什么是命令注入漏洞
■了解命令注入漏洞对系统安全产生的危害
■掌握脚本语言中可以执行系统命令的函数
■了解第三方组件存在的代码执行漏洞,如struts2
■掌握命令注入漏洞的修复方法
XSS漏洞存储式XSS
存储式XSS的概念
了解什么是存储式XSS漏洞
■了解存储式XSS漏洞对安全的影响
存储式XSS的检测
了解存储式XSS漏洞的特征和检测方法
■掌握存储式XSS漏洞的危害
存储式XSS的安全防护
掌握修复存储式XSS漏洞的方式
■了解常用WEB漏洞扫描工具对存储式XSS漏洞扫描方法
反射式XSS
反射式XSS的概念
了解什么是反射式XSS漏洞
■了解反射式XSS漏洞与存储式XSS漏洞的区别
反射式XSS的利用与修复
了解反射式XSS漏洞的触发形式
■了解反射式XSS漏洞利用的方式
■掌握反射式XSS漏洞检测与修复方法
DOM式XSS
DOM式XSS的特征
了解什么是DOM式XSS漏洞
■掌握DOM式XSS漏洞的触发形式
DOM式XSS的防御
掌握DOM式XSS漏洞的检测方法
■掌握DOM式XSS漏洞的修复方法
请求伪造漏洞
SSRF漏洞
服务端请求伪造漏洞概念
了解什么是SSRF漏洞
■了解利用SSRF漏洞进行端口探测的方法
服务端请求漏洞的检测与防护
掌握SSRF漏洞的检测方法
■了解SSRF漏洞的修复方法
CSRF漏洞
跨站请求伪造漏洞概念
了解CSRF漏洞产生的原因
■理解CSRF漏洞的原理
跨站请求漏洞的危害与防御
了解CSRF漏洞与XSS漏洞的区别
■掌握CSRF漏洞的挖掘和修复方法
文件处理漏洞
任意文件上传上传漏洞的原理与分析
了解任意文件上传漏洞产生的原因
■了解服务端语言对上传文件类型限制方法
上传漏洞的检测与防范
了解任意文件上传漏洞的危害
■掌握上传漏洞的检测思路和修复方法
任意文件下载
文件下载漏洞的原理与分析
了解什么是文件下载漏洞
■掌握通过文件下载漏洞读取服务端文件的方法
文件下载漏洞的检测与防范
掌握能够通过代码审计和测试找到文件下载漏洞
■掌握修复文件下载漏洞的方法
访问控制漏洞
横向越权
横向越权漏洞的概念
了解横向越权漏洞的基本概念
■了解横向越权漏洞的形式
横向越权漏洞的检测与防范
了解横向越权漏洞对网站安全的影响
■掌握横向越权漏洞的测试和修复方法
垂直越权
垂直越权漏洞的概念
了解垂直越权漏洞的基本概念
■了解垂直越权漏洞的种类和形式
垂直越权漏洞的检测与防范
了解对网站安全的影响
■掌握越权漏洞的测试方法和修复
会话管理漏洞
会话劫持
会话劫持漏洞的概念与原理
了解什么是会话劫持漏洞
■了解会话劫持漏洞的危害
会话劫持漏洞基本防御方法
了解Session机制
■了解httponly的设置方法
■掌握会话劫持漏洞防御方法
会话固定
会话固定漏洞的概念与原理
了解什么是会话固定漏洞
■了解会话固定漏洞的检测方法
会话固定漏洞基本防御方法
了解会话固定漏洞的形成的原因
■了解会话固定漏洞的风险
■掌握会话固定漏洞的防范方法
第6天 考试
【讲师介绍】
刘老师,曼顿培训网(www.mdpxb.com)资深讲师。曾任阿里巴巴高级工程师,超过15年IT运维与IT培训从业经验,主要从事企业网络服务的运维、大数据和云平台的运维、企业网络服务需求分析和网络构建、网络割接等项目;通过和企业对接进行IT运维的培训,培养IT运维、IT安全运维学员超过3000名;具备丰富的企业运维和网络构建等项目经验,尤其在金融、运营商、政府等行业有丰富的项目实施经验。目前主要专业领域集中于Linux&Cisco企业服务、IT服务管理、信息安全等方面,曾服务的主要客户有:阿里巴巴、北京市丰台区人民政府、北京XXX金融有限公司、北京吉利大学、北京XXXXIT培训中心、中兴集团大数据中心等。长期从事Linux&Cisco、信息安全(CISP/CISSP/Secrity+,cisp-pte等培训工作。
贺老师,曼顿培训网(www.mdpxb.com)资深讲师。曾任北京丁牛科技有限公司安全部,渗透测试组组长,中国金融认证中心信息安全工程师,银联系统CTF线下赛-三等奖,主要项目经历包括Web渗透、APP安全测试(android)、微信小程序、API接口、CTF、逆向、后渗透及持久化方面,知识面比较广。
【费用及报名】
1、费用:培训费19800元(含培训费、讲义费);如需食宿,会务组可统一安排,费用自理。
2、报名咨询:4006820825 010-56133998 56028090 13810210257 鲍老师
3、报名流程:电话登记--填写报名表--发出培训确认函
4、备注:如课程已过期,请访问我们的网站,查询最新课程
5、详细资料请访问北京曼顿培训网:www.mdpxb.com (每月在全国开设四百多门公开课,欢迎报名学习)