概述

什么是CISP-PTE?
注册信息安全专业人员-渗透测试,英文为 Certified Information Security Professional – Penetration Test Engineer ,简称 CISP-PTE。
2017年信息安全评测中心联合360企业集团推出国内首个渗透测试认证,证书也是国测认证,持证人员可以享受360企业安全服务部门免面试的福利

面向人群有哪些?
考试特点:无报考门槛




学习流程

CISP-PTE 考试试题结构 

CISP-PTE 考试题型为客观题、实操题。客观题为单项选择题,共 20 题,每 题 1 分;实操题共 80 分。总分共 100 分,得到 70 分以上(含 70 分)为通过。

“注册信息安全人员-渗透测试工程师”(CISP-PTE)需要学习和掌握 CISP-PTE 知识体系结构框架中的所有内容。

知识类别 占比 题型
Web安全基础 40%   实操
中间件安全基础   20% 客观+实操
操作系统安全基础 20%   客观+实操
数据库安全基础 20% 客观+实操 

CISP-PTE考试内容有哪些?

web安全:
主要包括HTTP协议、注入漏洞、XSS漏洞、SSRF漏洞、 CSRF 漏洞、文件处理漏洞、访问控制漏洞、会话管理漏洞等相关的技术知识和实践。

操作系统安全:
主要包括Windows操作系统、Linux操作系统相关技术知识和实践。

渗透测试方法:
主要包括信息收集,漏洞发现,漏洞利用 相关技术知识和实践。

中间件安全
主要包括Apache、IIS、Tomcat、weblogic、websphere、 Jboss 等相关的技术知识和实践。

数据库安全
主要包括Mssql数据库、Mysql数据库、Oracle数据库、Redis 数据库相关技术知识和实践。


课程目标

获取证书:
通过考试,可以获得由中国信息安全测评中心颁发的国家级技术能力证书。

个人优势:
通过考试的学员拥有在职场中直接上岗独当一面工作的能力。因此在求职时有自己的优势。

增加薪资:
由于CISP-PTE考试形式主要以实操为主,充分考核了考生的在企业安全中遇到的网络安全问题,因此证书含金量颇高,是薪资谈判时的重要砝码。

跨界资格
网络安全是一个学科复杂、知识繁多专业要求高的岗位。对于对网络安全有兴趣的人员,想要转行的人员来说,获得CISP-PTE证书就至关重要了

学习能力
证书的取得的目标在于要不断充实自己,可以向企业表明自己具有学习能力,而且有意识地在不断充实自己。

证明能力
通过考试获得了证书,也是向自己及除自己之外的人证明了自己渗透测试技术能力。

课程大纲

第一天 CISP-PTE考试大纲内容讲解及考试重点
信息安全基础
HTTP协议基础
WEB安全知识体系介绍
信息收集(端口扫描、目录扫描、敏感文件泄漏)
SQL注入漏洞原理、类型(整型、字符型、cookie、时间延时注入、盲注等类型)
第二天 SQL注入漏洞原理、类型(整型、字符型、cookie、时间延时注入、盲注等类型)
数据库基础(数据库结构、数据库权限、常见的查询语句、增删改查语句)
SQL注入,手工注入实战(配合刚学的数据库查询语句)
SQL注入工具SQLMap的使用(tamper的使用、文件读写等方法)
第三天 SQL注入工具SQLMap的使用(tamper的使用、文件读写等方法)
XSS漏洞(存储型、反射型、DOM型)原理、XSS漏洞实战、XSS漏洞绕过方式
XSS漏洞防御与修复
SSRF原理与实战、CSRF原理与实战、SSRF、CSRF漏洞防御与修复
第四天 文件上传漏洞原理、实战;文件上传类型、文件上传绕过(Type、扩展名、JS等)
文件上传漏洞的防御与修复
任意文件下载漏洞原理、实战
任意文件下载防御与修复

第五天 文件包含漏洞原理、PHP中的文件包含(本地包含、远程包含)
文件包含漏洞的防御与修复
命令执行漏洞原理、远程命令执行漏洞防御
远程代码执行漏洞原理、防御
Java反序列化漏洞、防御(Jboss、webLogic等)
第六天 弱口令漏洞实战与防御
中间件弱口令部署木马(Tomcat、WebLogic、JBoss)
中间件解析漏洞(IIS解析漏洞、Nginx解析漏洞、Apache解析漏洞等)
中间件的目录遍历
中间件目录遍历漏洞的修复
第七天 访问控制漏洞(横向越权、垂直越权漏洞的原理与修复)
会话劫持漏洞(Session的原理、HttpOnly)、会话劫持漏洞修复
常见木马的使用(PHP木马、ASP木马、ASPX木马)
Web扫描器的使用(WVS、AppScan等)
提权(简单提权、win2003提权、win2008提权、linux提权)
第八天 提权(简单提权、win2003提权、win2008提权、linux提权)
中间件日志、数据库日志、系统日志分析,定位攻击者的攻击方式和IP
本期培训知识点汇总
第九天 根据知识点和考试大纲进行针对性题目练习、讲解
第十天 考试