注冊信息安全專業(yè)人員CISP-PTE滲透測試工程師認證培訓班(北京����,1月26-31日)
【舉辦單位】北京曼頓培訓網 www.mdpxb.com
【咨詢電話】4006820825 010-56133998 13810210257
【培訓日期】北京�,2021年1月26-31日�����;北京�,2021年3月24-28日
【培訓地點】北京
【課程背景】
為提高各單位信息安全整體水平,加強信息安全人員專業(yè)技能����,促進信息安全人員持證上崗,現(xiàn)組織開展注冊信息安全專業(yè)人員攻防領域(CISP-PTE)培訓及認證工作���,此認證是信息安全從業(yè)人員的水平證書��,證明證書持有者具備從事信息安全技術領域網站滲透測試工作���,具有規(guī)劃測試方案、 編寫項目測試計劃��、編寫測試用例����、測試報告的基本知識和能力��。此證書為從事信息安全領域的工作人員提高專業(yè)資歷提供了新的機遇�,為各單位信息安全提供了技術儲備��、規(guī)范方法和專業(yè)人才�,從根本上解決了信息安全從業(yè)人員的專業(yè)水平問題,從而提高各單位信息安全的綜合實力�,全面提升網絡安全服務保障能力和水平,請各單位積極組織參加���。
三���、CISP-PTE介紹
注冊信息安全專業(yè)人員攻防領域(CISP-PTE)培訓是由中國信息安全測評中心統(tǒng)一管理和規(guī)范的信息安全專業(yè)培訓,是目前國內最為主流及被業(yè)界認可的專業(yè)攻防領域的資質培訓���。CISP-PTE目前是國內唯一針對網絡安全滲透測試專業(yè)人才的資格認證,也是國家對信息安全人員資質的最高認可��。
在整個注冊信息安全專業(yè)人員-滲透測試(CISP-PTE)的知識體系結構中���, 共包括 web 安全基礎�、中間件安全基礎�����、操作系統(tǒng)安全基礎、數(shù)據(jù)庫安全基礎這四個知識類��,每個知識類根據(jù)其邏輯劃分為多個知識體��,每個知識體包含多個知識域��,每個知識域由一個或多個知識子域組成��。
CISP-PTE 知識體系結構共包含四個知識類�,分別為:
1)web安全基礎:主要包括HTTP協(xié)議、注入漏洞���、XSS漏洞���、SSRF漏洞、 CSRF漏洞���、文件處理漏洞�����、訪問控制漏洞���、會話管理漏洞等相關的技術知識和實踐�。
2)中間件安全基礎:主要包括Apache�、IIS、Tomcat���、weblogic�����、websphere����、 Jboss 等相關的技術知識和實踐���。
3)操作系統(tǒng)安全基礎:主要包括Windows操作系統(tǒng)�����、Linux操作系統(tǒng)相關技術知識和實踐。
4)數(shù)據(jù)庫安全基礎:主要包括Mssql數(shù)據(jù)庫�����、Mysql數(shù)據(jù)庫、Oracle數(shù)據(jù)庫�、Redis 數(shù)據(jù)庫相關技術知識和實踐。
【課程特色】
1.理論與實踐相結合�、案例分析與實驗穿插進行;
2.專家精彩內容解析�、學員專題討論、分組研究��;
3.通過全面知識理解���、專題技能掌握和安全實踐增強的授課方式��。
【課程大綱】
第四部分
第四章web安全基礎
HTTP協(xié)議
HTTP請求方法
HTTP1.0的請求方法
掌握HTTP1.0三種請求方法:GET/POST/HEAD
■掌握GET請求的標準格式
■掌握POST請求提交表彰����,
上傳文件的方法
■了解HEAD請求與GET請求的區(qū)別
HTTP1.1新增的請求方法
了解HTTP1.1新增了五種請求方法:OPTIONS/PUT/DELETE/TRACE和CONNECT方法的基本概念
■掌握HTTP1.1新增的五種請求的基本方法和產生的請求結果
HTTP狀態(tài)碼
HTTP狀態(tài)碼的分類
了解HTTP狀態(tài)碼的規(guī)范
■了解HTTP狀態(tài)碼的作用
■掌握常見的HTTP狀態(tài)碼
HTTP狀態(tài)碼的含義
了解HTTP狀態(tài)碼2**����、3**、4**���、5**代表的含義
■掌握用計算機語言獲取HTTP狀態(tài)碼的方法
HTTP協(xié)議響應頭信息
HTTP響應頭的類型
了解常見的HTTP響應頭
■掌握HTTP響應頭的作用
HTTP響應頭的含義
了解HTTP響應頭的名稱
■掌握HTTP響應頭的格式
HTTP協(xié)議的URL
URL的定義
了解URL的基本概念
URL的格式
了解URL的結構
■掌握URL編碼格式
注入漏洞
SQL注入SQL注入概念
了解SQL注入漏洞原理
■了解SQL注入漏洞對于數(shù)據(jù)安全的影響
■掌握SQL注入漏洞的方法
SQL注入漏洞類型
了解常見數(shù)據(jù)庫的SQL查詢語法
■掌握MSSQL\MYSQL\ORACLE數(shù)據(jù)庫的注入方法
■掌握SQL注入漏洞的類型
SQL注入漏洞安全防護
掌握SQL注入漏洞修復和防范方法
■掌握一些SQL注入漏洞檢測工具的使用方法
XML注入XML注入概念
了解什么是XML注入漏洞
■了解XML注入漏洞產生的原因
XML注入漏洞檢測與防護
掌握XML注入漏洞的利用方式
■掌握如何修復XML注入漏洞
代碼注入
遠程文件包含漏洞(RFI)
了解什么是遠程文件包含漏洞
■了解遠程文件包含漏洞所用到的函數(shù)
■掌握遠程文件包含漏洞的利用方式
■掌握遠程文件包含漏洞代碼審計方法
■掌握修復遠程文件包含漏洞的方法
本地文件包含漏洞(LFI)
了解什么是本地文件包含漏洞
■了解本地文件包含漏洞產生的原因
■掌握本地文件包含漏洞利用的方式
■了解PHP語言中的封裝協(xié)議
■掌握本地文件包含漏洞修復方法
命令執(zhí)行漏洞(CI)
了解什么是命令注入漏洞
■了解命令注入漏洞對系統(tǒng)安全產生的危害
■掌握腳本語言中可以執(zhí)行系統(tǒng)命令的函數(shù)
■了解第三方組件存在的代碼執(zhí)行漏洞�����,如struts2
■掌握命令注入漏洞的修復方法
XSS漏洞存儲式XSS
存儲式XSS的概念
了解什么是存儲式XSS漏洞
■了解存儲式XSS漏洞對安全的影響
存儲式XSS的檢測
了解存儲式XSS漏洞的特征和檢測方法
■掌握存儲式XSS漏洞的危害
存儲式XSS的安全防護
掌握修復存儲式XSS漏洞的方式
■了解常用WEB漏洞掃描工具對存儲式XSS漏洞掃描方法
反射式XSS
反射式XSS的概念
了解什么是反射式XSS漏洞
■了解反射式XSS漏洞與存儲式XSS漏洞的區(qū)別
反射式XSS的利用與修復
了解反射式XSS漏洞的觸發(fā)形式
■了解反射式XSS漏洞利用的方式
■掌握反射式XSS漏洞檢測與修復方法
DOM式XSS
DOM式XSS的特征
了解什么是DOM式XSS漏洞
■掌握DOM式XSS漏洞的觸發(fā)形式
DOM式XSS的防御
掌握DOM式XSS漏洞的檢測方法
■掌握DOM式XSS漏洞的修復方法
請求偽造漏洞
SSRF漏洞
服務端請求偽造漏洞概念
了解什么是SSRF漏洞
■了解利用SSRF漏洞進行端口探測的方法
服務端請求漏洞的檢測與防護
掌握SSRF漏洞的檢測方法
■了解SSRF漏洞的修復方法
CSRF漏洞
跨站請求偽造漏洞概念
了解CSRF漏洞產生的原因
■理解CSRF漏洞的原理
跨站請求漏洞的危害與防御
了解CSRF漏洞與XSS漏洞的區(qū)別
■掌握CSRF漏洞的挖掘和修復方法
文件處理漏洞
任意文件上傳上傳漏洞的原理與分析
了解任意文件上傳漏洞產生的原因
■了解服務端語言對上傳文件類型限制方法
上傳漏洞的檢測與防范
了解任意文件上傳漏洞的危害
■掌握上傳漏洞的檢測思路和修復方法
任意文件下載
文件下載漏洞的原理與分析
了解什么是文件下載漏洞
■掌握通過文件下載漏洞讀取服務端文件的方法
文件下載漏洞的檢測與防范
掌握能夠通過代碼審計和測試找到文件下載漏洞
■掌握修復文件下載漏洞的方法
訪問控制漏洞
橫向越權
橫向越權漏洞的概念
了解橫向越權漏洞的基本概念
■了解橫向越權漏洞的形式
橫向越權漏洞的檢測與防范
了解橫向越權漏洞對網站安全的影響
■掌握橫向越權漏洞的測試和修復方法
垂直越權
垂直越權漏洞的概念
了解垂直越權漏洞的基本概念
■了解垂直越權漏洞的種類和形式
垂直越權漏洞的檢測與防范
了解對網站安全的影響
■掌握越權漏洞的測試方法和修復
會話管理漏洞
會話劫持
會話劫持漏洞的概念與原理
了解什么是會話劫持漏洞
■了解會話劫持漏洞的危害
會話劫持漏洞基本防御方法
了解Session機制
■了解httponly的設置方法
■掌握會話劫持漏洞防御方法
會話固定
會話固定漏洞的概念與原理
了解什么是會話固定漏洞
■了解會話固定漏洞的檢測方法
會話固定漏洞基本防御方法
了解會話固定漏洞的形成的原因
■了解會話固定漏洞的風險
■掌握會話固定漏洞的防范方法
第6天 考試
【講師介紹】
劉老師����,曼頓培訓網(www.mdpxb.com)資深講師。曾任阿里巴巴高級工程師�,超過15年IT運維與IT培訓從業(yè)經驗,主要從事企業(yè)網絡服務的運維���、大數(shù)據(jù)和云平臺的運維���、企業(yè)網絡服務需求分析和網絡構建、網絡割接等項目;通過和企業(yè)對接進行IT運維的培訓���,培養(yǎng)IT運維����、IT安全運維學員超過3000名;具備豐富的企業(yè)運維和網絡構建等項目經驗�,尤其在金融、運營商����、政府等行業(yè)有豐富的項目實施經驗�����。目前主要專業(yè)領域集中于Linux&Cisco企業(yè)服務、IT服務管理����、信息安全等方面,曾服務的主要客戶有:阿里巴巴����、北京市豐臺區(qū)人民政府、北京XXX金融有限公司��、北京吉利大學�、北京XXXXIT培訓中心、中興集團大數(shù)據(jù)中心等��。長期從事Linux&Cisco��、信息安全(CISP/CISSP/Secrity+,cisp-pte等培訓工作�����。
賀老師�����,曼頓培訓網(www.mdpxb.com)資深講師。曾任北京丁��?萍加邢薰景踩��,滲透測試組組長�����,中國金融認證中心信息安全工程師�����,銀聯(lián)系統(tǒng)CTF線下賽-三等獎����,主要項目經歷包括Web滲透、APP安全測試(android)�����、微信小程序�、API接口、CTF���、逆向�、后滲透及持久化方面,知識面比較廣���。
【費用及報名】
1、費用:培訓費19800元(含培訓費���、講義費)�����;如需食宿����,會務組可統(tǒng)一安排,費用自理���。
2����、報名咨詢:4006820825 010-56133998 56028090 13810210257 鮑老師
3����、報名流程:電話登記--填寫報名表--發(fā)出培訓確認函
4����、備注:如課程已過期��,請訪問我們的網站����,查詢最新課程
5、詳細資料請訪問北京曼頓培訓網:www.mdpxb.com (每月在全國開設四百多門公開課�,歡迎報名學習)
已認證
