400-618-8070400-618-8070
CISP-PTE渗透测试工程师
培训课时:8天(6天精讲+2天辅导)60课时
课程背景:
CISP即“注册信息安全专家”,是经中国信息安全产品测评认证中心实施国家认证,代表国家对信息安全人员资质的最高认可;是有关信息安全企业,信息安全咨询服务机构、信息安全测评认证机构和授权测评机构、社会各组织、团体、企事业有关信息系统建设、运行和应用管理的技术部门和标准化部门必备的专业岗位人员,其基本职能是对信息系统的安全提供技术保障,CISP严格的认证和培训程序赋予其具备专业资质和能力。目前,国内各大安全专业服务公司都具备相应数量的CISP专家。
注册信息安全专业人员-渗透测试,英文为 Certified Information Security Professional - Penetration Test Engineer ,简称 CISP-PTE。证书持有人员主要从事信息安全技术领域网站渗透测试工作,具有规划测试方案编写项目测试计划、编写测试用例、测试报告的基本知识和能力。
该注册考试是为了锻炼考生实际解决网络安全问题的能力,有效增强我国网络安全防御能力,促进国家企事业单位网络防御能力不断提高,以发现人才,选拔优秀人才而设立的技能水平考试
培训对象:
安全研究和攻防测试人员
安全管理人员
安全运维人员
企业信息化管理的中层领导
IT部门负责人
培训目标:
l 考生应该能够理解和发现这些漏洞,并且学会修复这些漏洞的方法,掌握更多的安全技术
l 考生应了解中间件的安全知识
l 考生应了解操作系统的安全基础知识
l 考生应了解数据库的安全基础知识,这里以 Mysql数据库为主
通过以上内容的学习,要求考生可以发现和修复网络中的漏洞,掌握更多的安全技能,提高个人的技术能力。具备渗透测试工程师的素养。
CISP-PTE考试试题知识点分布
CISP-PTE 考试题型为客观题、实操题。客观题为单项选择题,共 20 题,每 题 1 分;实操题共 80 分。总分共 100 分,得到 70 分以上(含 70 分)为通过。
“注册信息安全人员-渗透测试工程师”(CISP-PTE)需要学习和掌握 CISP-PTE 知识体系结构框架中的所有内容。
CISP-PTE 试题结构
知识类别 | 占比 | 题型 |
Web安全基础 | 40% | 实操 |
中间件安全基础 | 20% | 客观+实操 |
操作系统安全基础 | 20% | 客观+实操 |
数据库安全基础 | 20% | 客观+实操 |
授课方式
Ø 案例教学 —— 首先避免照本宣科,用案例讲解,生动形象的介绍项目管理的相关知识
Ø 结构化思维 —— 职业培训特点是简单实用,项目管理体系博大精深,本课以最快速度掌握知识要点
Ø 实践价值 —— 先为学员导入一定方法论,在尝试在工作场景中试着实践相关技术方法
Ø 深入浅出 —— 先培养学员对于渗透测试这门课程的兴趣,愿意学习参与才能有所收获
课程体系结构说明
CISP-PTE课程安排
每天课程时间为上9:00-5:30;
天数 | 模块名称 | 课程内容 |
第一天 | 初窥渗透测试 | 1. 关于漏洞挖掘的技巧分享 2. 渗透测试的常规流程 3. 渗透测试的分类 |
信息收集 | 1. 网站基本信息收集 2. 爆破子域名、目录、旁站、端口 3. 谷歌hack语法 4. 社会工程学 5. 其他高级技巧讲解 | |
认识木马、后门、肉鸡等等专业名词 | 1. 认识木马、后门、肉鸡等等专业名词 | |
了解计算机常见编码及加密方式 | 1. 了解计算机常见编码及加密方式 | |
实战演示 | 1. 实战演示黑客如何攻击网站并获取管理员权限 | |
本机搭建靶场环境 | 1. http基础知识讲解 2. 使用burp对数据包进行分析 3. 通过OSI模型分析互联网访问过程 4. 黑客必知的几种网络协议 5. wireshark进行协议数据包分析 | |
第二天 | sql注入 | 1. 深度剖析sql注入产生原理以及mysql工作原理 2. 详解mysql增删改查语法 3. sql注入实战靶场练习(基础) 4. 手工基础union注入练习 5. sqlmap自动化工具的使用 |
sql注入进阶 | 1. 剖析基于时间/布尔类型的盲注 2. 结合php代码以及mysql数据库特性分析报错注入 3. 通过gbk/utf-8编码讲解宽字节注入 4. 实例分析二次注入的利用过程以及产生原因 5. 代码审计sql注入 6. 万能密码 | |
第三天 | XSS跨站脚本攻击 | 1. 实例XSS相关代码讲解 2. XSS漏洞成因深度剖析 3. XSS基础payload挖掘技巧 4. XSS进阶bypass技巧 5. 实战练习社会工程学结合XSS漏洞进行盗取管理员cookie 6. XSS漏洞如何修复 |
代码审计/RCE | 1. 弱类型 2. 变量覆盖 3. 伪随机数 4. 正则匹配在ctf中常考点 5. php中存在风险的函数绕过总结 6. 常规命令执行和文件读取的函数 7. 剖析代码审计在web中考点与解题技巧 8. 漏洞代码审计赛题练习+讲解 | |
第四天 | 文件上传漏洞深入剖析 | 1. 文件上传漏洞原理深入剖析 2. 详解Apache、nginx、IIS中间件解析特性 3. 分析木马以及变种木马 4. 文件上传getshell练习 5. 文件上传的常见bypass技巧 6. 绕过黑名单的ctf题目练习、讲解 7. 结合中间件Apache/nginx如何getshell 8. 中间件题目练习 9. 通过条件竞争getshell 10. 漏洞赛题练习+讲解 |
暴力破解 | 1. 学习如何使用burpsuite及其高级用法 2. 认识暴力破解及扩展其利用点 3. 利用burp进行暴力破解 4. burp高级用法-编码数据进行爆破 5. 401页面、日期、纯数字爆破 | |
第五天 | 文件包含漏洞深入剖析 | 1. 文件包含漏洞原理深入剖析 2. 伪协议在文件包含漏洞中的使用 3. 文件包含进行读取敏感文件 4. 配合文件上传getshell 5. 文件包含日志文件getshell 6. 漏洞赛题练习+讲解 |
认识操作系统系统及常规语法介绍 | 1. 介绍linux与windows特性 2. Linux常见语法介绍 3. Windows常见语法介绍 4. Linux下管道符以及通配符的使用 5. nc(瑞士军刀语法及使用) | |
第六天 | 反序列化漏洞 | 1. 初识反序列化漏洞 2. 反序列化漏洞考点剖析 3. 代码审计构造exp |
windows系统安全 | 1. 文件系统安全(ftp) 2. 日志分析 3. 关于windows下的内网信息收集命令 | |
数据库安全 | 1. mysql数据库特性以及版本特性 2. mysql数据库语法介绍 3. mysql安全配置 | |
中间件安全 | 1. apache下的安全配置 2. IIS下的安全配置 3. WebLogic下的安全配置 4. Websphere下的安全配置 | |
第七、八天 | 靶场、题目实战 剖析cisp-pte出题点 解析解题思路 | |
乾颐堂提供:思科.华为.Python.PMP.CISP学习
CCNA|CCNP|CCIE|HCIA|HCIP|HCIE
路由交换|安全|DC数据中心|无线|云计算
乾颐堂客服热线:400-618-8070
乾颐堂官网:www.qytang.com
乾颐堂网络实验室 我们为您想的更多
|
姓名:
Q Q:
电话:
|
