注冊信息安全專業(yè)人員CISP-PTE滲透測試工程師認(rèn)證培訓(xùn)班(北京,1月26-31日)
【舉辦單位】北京曼頓培訓(xùn)網(wǎng) www.mdpxb.com
【咨詢電話】4006820825 010-56133998 13810210257
【培訓(xùn)日期】北京,2021年1月26-31日;北京,2021年3月24-28日
【培訓(xùn)地點(diǎn)】北京
【課程背景】
為提高各單位信息安全整體水平,加強(qiáng)信息安全人員專業(yè)技能,促進(jìn)信息安全人員持證上崗,現(xiàn)組織開展注冊信息安全專業(yè)人員攻防領(lǐng)域(CISP-PTE)培訓(xùn)及認(rèn)證工作,此認(rèn)證是信息安全從業(yè)人員的水平證書,證明證書持有者具備從事信息安全技術(shù)領(lǐng)域網(wǎng)站滲透測試工作,具有規(guī)劃測試方案、 編寫項(xiàng)目測試計(jì)劃、編寫測試用例、測試報告的基本知識和能力。此證書為從事信息安全領(lǐng)域的工作人員提高專業(yè)資歷提供了新的機(jī)遇,為各單位信息安全提供了技術(shù)儲備、規(guī)范方法和專業(yè)人才,從根本上解決了信息安全從業(yè)人員的專業(yè)水平問題,從而提高各單位信息安全的綜合實(shí)力,全面提升網(wǎng)絡(luò)安全服務(wù)保障能力和水平,請各單位積極組織參加。
三、CISP-PTE介紹
注冊信息安全專業(yè)人員攻防領(lǐng)域(CISP-PTE)培訓(xùn)是由中國信息安全測評中心統(tǒng)一管理和規(guī)范的信息安全專業(yè)培訓(xùn),是目前國內(nèi)最為主流及被業(yè)界認(rèn)可的專業(yè)攻防領(lǐng)域的資質(zhì)培訓(xùn)。CISP-PTE目前是國內(nèi)唯一針對網(wǎng)絡(luò)安全滲透測試專業(yè)人才的資格認(rèn)證,也是國家對信息安全人員資質(zhì)的最高認(rèn)可。
在整個注冊信息安全專業(yè)人員-滲透測試(CISP-PTE)的知識體系結(jié)構(gòu)中, 共包括 web 安全基礎(chǔ)、中間件安全基礎(chǔ)、操作系統(tǒng)安全基礎(chǔ)、數(shù)據(jù)庫安全基礎(chǔ)這四個知識類,每個知識類根據(jù)其邏輯劃分為多個知識體,每個知識體包含多個知識域,每個知識域由一個或多個知識子域組成。
CISP-PTE 知識體系結(jié)構(gòu)共包含四個知識類,分別為:
1)web安全基礎(chǔ):主要包括HTTP協(xié)議、注入漏洞、XSS漏洞、SSRF漏洞、 CSRF漏洞、文件處理漏洞、訪問控制漏洞、會話管理漏洞等相關(guān)的技術(shù)知識和實(shí)踐。
2)中間件安全基礎(chǔ):主要包括Apache、IIS、Tomcat、weblogic、websphere、 Jboss 等相關(guān)的技術(shù)知識和實(shí)踐。
3)操作系統(tǒng)安全基礎(chǔ):主要包括Windows操作系統(tǒng)、Linux操作系統(tǒng)相關(guān)技術(shù)知識和實(shí)踐。
4)數(shù)據(jù)庫安全基礎(chǔ):主要包括Mssql數(shù)據(jù)庫、Mysql數(shù)據(jù)庫、Oracle數(shù)據(jù)庫、Redis 數(shù)據(jù)庫相關(guān)技術(shù)知識和實(shí)踐。
【課程特色】
1.理論與實(shí)踐相結(jié)合、案例分析與實(shí)驗(yàn)穿插進(jìn)行;
2.專家精彩內(nèi)容解析、學(xué)員專題討論、分組研究;
3.通過全面知識理解、專題技能掌握和安全實(shí)踐增強(qiáng)的授課方式。
【課程大綱】
第四部分
第四章web安全基礎(chǔ)
HTTP協(xié)議
HTTP請求方法
HTTP1.0的請求方法
掌握HTTP1.0三種請求方法:GET/POST/HEAD
■掌握GET請求的標(biāo)準(zhǔn)格式
■掌握POST請求提交表彰,
上傳文件的方法
■了解HEAD請求與GET請求的區(qū)別
HTTP1.1新增的請求方法
了解HTTP1.1新增了五種請求方法:OPTIONS/PUT/DELETE/TRACE和CONNECT方法的基本概念
■掌握HTTP1.1新增的五種請求的基本方法和產(chǎn)生的請求結(jié)果
HTTP狀態(tài)碼
HTTP狀態(tài)碼的分類
了解HTTP狀態(tài)碼的規(guī)范
■了解HTTP狀態(tài)碼的作用
■掌握常見的HTTP狀態(tài)碼
HTTP狀態(tài)碼的含義
了解HTTP狀態(tài)碼2**、3**、4**、5**代表的含義
■掌握用計(jì)算機(jī)語言獲取HTTP狀態(tài)碼的方法
HTTP協(xié)議響應(yīng)頭信息
HTTP響應(yīng)頭的類型
了解常見的HTTP響應(yīng)頭
■掌握HTTP響應(yīng)頭的作用
HTTP響應(yīng)頭的含義
了解HTTP響應(yīng)頭的名稱
■掌握HTTP響應(yīng)頭的格式
HTTP協(xié)議的URL
URL的定義
了解URL的基本概念
URL的格式
了解URL的結(jié)構(gòu)
■掌握URL編碼格式
注入漏洞
SQL注入SQL注入概念
了解SQL注入漏洞原理
■了解SQL注入漏洞對于數(shù)據(jù)安全的影響
■掌握SQL注入漏洞的方法
SQL注入漏洞類型
了解常見數(shù)據(jù)庫的SQL查詢語法
■掌握MSSQL\MYSQL\ORACLE數(shù)據(jù)庫的注入方法
■掌握SQL注入漏洞的類型
SQL注入漏洞安全防護(hù)
掌握SQL注入漏洞修復(fù)和防范方法
■掌握一些SQL注入漏洞檢測工具的使用方法
XML注入XML注入概念
了解什么是XML注入漏洞
■了解XML注入漏洞產(chǎn)生的原因
XML注入漏洞檢測與防護(hù)
掌握XML注入漏洞的利用方式
■掌握如何修復(fù)XML注入漏洞
代碼注入
遠(yuǎn)程文件包含漏洞(RFI)
了解什么是遠(yuǎn)程文件包含漏洞
■了解遠(yuǎn)程文件包含漏洞所用到的函數(shù)
■掌握遠(yuǎn)程文件包含漏洞的利用方式
■掌握遠(yuǎn)程文件包含漏洞代碼審計(jì)方法
■掌握修復(fù)遠(yuǎn)程文件包含漏洞的方法
本地文件包含漏洞(LFI)
了解什么是本地文件包含漏洞
■了解本地文件包含漏洞產(chǎn)生的原因
■掌握本地文件包含漏洞利用的方式
■了解PHP語言中的封裝協(xié)議
■掌握本地文件包含漏洞修復(fù)方法
命令執(zhí)行漏洞(CI)
了解什么是命令注入漏洞
■了解命令注入漏洞對系統(tǒng)安全產(chǎn)生的危害
■掌握腳本語言中可以執(zhí)行系統(tǒng)命令的函數(shù)
■了解第三方組件存在的代碼執(zhí)行漏洞,如struts2
■掌握命令注入漏洞的修復(fù)方法
XSS漏洞存儲式XSS
存儲式XSS的概念
了解什么是存儲式XSS漏洞
■了解存儲式XSS漏洞對安全的影響
存儲式XSS的檢測
了解存儲式XSS漏洞的特征和檢測方法
■掌握存儲式XSS漏洞的危害
存儲式XSS的安全防護(hù)
掌握修復(fù)存儲式XSS漏洞的方式
■了解常用WEB漏洞掃描工具對存儲式XSS漏洞掃描方法
反射式XSS
反射式XSS的概念
了解什么是反射式XSS漏洞
■了解反射式XSS漏洞與存儲式XSS漏洞的區(qū)別
反射式XSS的利用與修復(fù)
了解反射式XSS漏洞的觸發(fā)形式
■了解反射式XSS漏洞利用的方式
■掌握反射式XSS漏洞檢測與修復(fù)方法
DOM式XSS
DOM式XSS的特征
了解什么是DOM式XSS漏洞
■掌握DOM式XSS漏洞的觸發(fā)形式
DOM式XSS的防御
掌握DOM式XSS漏洞的檢測方法
■掌握DOM式XSS漏洞的修復(fù)方法
請求偽造漏洞
SSRF漏洞
服務(wù)端請求偽造漏洞概念
了解什么是SSRF漏洞
■了解利用SSRF漏洞進(jìn)行端口探測的方法
服務(wù)端請求漏洞的檢測與防護(hù)
掌握SSRF漏洞的檢測方法
■了解SSRF漏洞的修復(fù)方法
CSRF漏洞
跨站請求偽造漏洞概念
了解CSRF漏洞產(chǎn)生的原因
■理解CSRF漏洞的原理
跨站請求漏洞的危害與防御
了解CSRF漏洞與XSS漏洞的區(qū)別
■掌握CSRF漏洞的挖掘和修復(fù)方法
文件處理漏洞
任意文件上傳上傳漏洞的原理與分析
了解任意文件上傳漏洞產(chǎn)生的原因
■了解服務(wù)端語言對上傳文件類型限制方法
上傳漏洞的檢測與防范
了解任意文件上傳漏洞的危害
■掌握上傳漏洞的檢測思路和修復(fù)方法
任意文件下載
文件下載漏洞的原理與分析
了解什么是文件下載漏洞
■掌握通過文件下載漏洞讀取服務(wù)端文件的方法
文件下載漏洞的檢測與防范
掌握能夠通過代碼審計(jì)和測試找到文件下載漏洞
■掌握修復(fù)文件下載漏洞的方法
訪問控制漏洞
橫向越權(quán)
橫向越權(quán)漏洞的概念
了解橫向越權(quán)漏洞的基本概念
■了解橫向越權(quán)漏洞的形式
橫向越權(quán)漏洞的檢測與防范
了解橫向越權(quán)漏洞對網(wǎng)站安全的影響
■掌握橫向越權(quán)漏洞的測試和修復(fù)方法
垂直越權(quán)
垂直越權(quán)漏洞的概念
了解垂直越權(quán)漏洞的基本概念
■了解垂直越權(quán)漏洞的種類和形式
垂直越權(quán)漏洞的檢測與防范
了解對網(wǎng)站安全的影響
■掌握越權(quán)漏洞的測試方法和修復(fù)
會話管理漏洞
會話劫持
會話劫持漏洞的概念與原理
了解什么是會話劫持漏洞
■了解會話劫持漏洞的危害
會話劫持漏洞基本防御方法
了解Session機(jī)制
■了解httponly的設(shè)置方法
■掌握會話劫持漏洞防御方法
會話固定
會話固定漏洞的概念與原理
了解什么是會話固定漏洞
■了解會話固定漏洞的檢測方法
會話固定漏洞基本防御方法
了解會話固定漏洞的形成的原因
■了解會話固定漏洞的風(fēng)險
■掌握會話固定漏洞的防范方法
第6天 考試
【講師介紹】
劉老師,曼頓培訓(xùn)網(wǎng)(www.mdpxb.com)資深講師。曾任阿里巴巴高級工程師,超過15年IT運(yùn)維與IT培訓(xùn)從業(yè)經(jīng)驗(yàn),主要從事企業(yè)網(wǎng)絡(luò)服務(wù)的運(yùn)維、大數(shù)據(jù)和云平臺的運(yùn)維、企業(yè)網(wǎng)絡(luò)服務(wù)需求分析和網(wǎng)絡(luò)構(gòu)建、網(wǎng)絡(luò)割接等項(xiàng)目;通過和企業(yè)對接進(jìn)行IT運(yùn)維的培訓(xùn),培養(yǎng)IT運(yùn)維、IT安全運(yùn)維學(xué)員超過3000名;具備豐富的企業(yè)運(yùn)維和網(wǎng)絡(luò)構(gòu)建等項(xiàng)目經(jīng)驗(yàn),尤其在金融、運(yùn)營商、政府等行業(yè)有豐富的項(xiàng)目實(shí)施經(jīng)驗(yàn)。目前主要專業(yè)領(lǐng)域集中于Linux&Cisco企業(yè)服務(wù)、IT服務(wù)管理、信息安全等方面,曾服務(wù)的主要客戶有:阿里巴巴、北京市豐臺區(qū)人民政府、北京XXX金融有限公司、北京吉利大學(xué)、北京XXXXIT培訓(xùn)中心、中興集團(tuán)大數(shù)據(jù)中心等。長期從事Linux&Cisco、信息安全(CISP/CISSP/Secrity+,cisp-pte等培訓(xùn)工作。
賀老師,曼頓培訓(xùn)網(wǎng)(www.mdpxb.com)資深講師。曾任北京丁牛科技有限公司安全部,滲透測試組組長,中國金融認(rèn)證中心信息安全工程師,銀聯(lián)系統(tǒng)CTF線下賽-三等獎,主要項(xiàng)目經(jīng)歷包括Web滲透、APP安全測試(android)、微信小程序、API接口、CTF、逆向、后滲透及持久化方面,知識面比較廣。
【費(fèi)用及報名】
1、費(fèi)用:培訓(xùn)費(fèi)19800元(含培訓(xùn)費(fèi)、講義費(fèi));如需食宿,會務(wù)組可統(tǒng)一安排,費(fèi)用自理。
2、報名咨詢:4006820825 010-56133998 56028090 13810210257 鮑老師
3、報名流程:電話登記--填寫報名表--發(fā)出培訓(xùn)確認(rèn)函
4、備注:如課程已過期,請?jiān)L問我們的網(wǎng)站,查詢最新課程
5、詳細(xì)資料請?jiān)L問北京曼頓培訓(xùn)網(wǎng):www.mdpxb.com (每月在全國開設(shè)四百多門公開課,歡迎報名學(xué)習(xí))