介绍
注册信息安全专业-渗透测试师,英文为Certified Information Security Professional - Penetration Test Engineer(简称CISP-PTE),是经测评认证中心实施的国家认证,代表国家对信息安全渗透测试人员资质的最高认可,也是信息安全企业申请安全服务资质必备的条件。
培训安排 | 培训内容 | 随堂实验 |
第一天 《渗透测试基础》 |
1. 渗透测试概念与流程 2. Web架构的介绍 3. HTTP基础 4. BurpSuite基础 5. 上传漏洞利用 | 1. 暴力破解网站密码 2. 上传漏洞利用 3. 其他实验视情况而定 |
第二天 《Web渗透技术(一)》 |
1. 扫描技术 2. Web安全概念 3. XSS漏洞 4. CSRF漏洞 5. SSRF漏洞 6. 会话管理漏洞 | 1. 端口扫描及分析 2. 存储型跨站漏洞的利用 3. 反射型跨站漏洞的利用 4. Cookie欺骗 5. 其他实验视情况而定 |
第三天 《Web渗透技术(二)》 |
1. SQL注入漏洞 2. XML注入 3. 远程文件包含漏洞(RFI) 4. 本地文件包含漏洞(LFI) 5. 远程命令执行漏洞(RCE) | 1. MySQL手工注入 2. SQL注入绕过实践 3. 自动化注入应用 4. 远程文件包含漏洞利用及弱防御的绕过 5. Struts2漏洞利用 6. 其他实验视情况而定 |
第四天 《Web渗透技术(三)》 |
1. 访问控制漏洞 2. 中间件漏洞利用 3. 网站木马 4. 解析漏洞 | 1. 反序列化漏洞利用 2. 网站木马利用 3. IIS6/IIS7解析漏洞 4. 其他实验视情况而定 |
第五天 《安全配置(一)》 |
1. MSSQL数据库安全 2. MySQL数据库安全 3. Oracle数据库安全 4. Redis数据库安全 | 1. 数据库安全配置 2. Redis数据库未授权访问漏洞利用 3. 其他实验视情况而定 |
第六天 《安全配置(二)》 |
1. Windows系统安全 2. Linux系统安全 3. 中间件安全 4. 日志审计 | 1. Windows/Linux安全配置 2. 中间件安全配置 3. 中间件日志分析 4. 其他实验视情况而定 |
第七天 | 上机考试 |