CISP-PTE证书介绍
注册信息安全专业人员-渗透测试工程师,英文为Certified Information Security Professional - Penetration TestEngineer ,简称CISP-PTE。是由中国信息安全测评中心针对攻防专业领域实施的资质培训, 是国内唯一针对网络安全渗透测试专业人才的资格认证,是目前国内最为主流及被业界认可的专业攻防领域的资质认证,也是国家对信息安全人员资质的最高认可。
CISP-PTE证书样本
CISP-PTE认证价值
▶个人价值
CISP—PTE作为专业的渗透测试工程师资格认证,能助力你在职业生涯中稳步提升。
央企国企、银行证券及政府部门比较在意是否持证,某些政企单位有的还会有补贴。
对传统安全企业也会作为入职加分项。
根据招聘网站显示,普通本科有3年工作经验的渗透测试岗位年薪在20w-30w。如果想在政府、国企及重点行业从业,以及获取企业信息安全服务资质,参与网络安全项目,这个证书是非常重要的。
▶企业价值
提升企业的信誉度和专业性,赢得更广阔的信任度和市场,拥有一批获得CISP—PTE认证的国家一流渗透测试人才,能保障企业的发展更上一层。
CISP-PTE适用人群
CISP-PTE考试报名无学历和工作经验的具体要求。
推荐人群:
1.准毕业生OR在校生;
2.信息安全领域工作人群;
3.网络安全,信息安全爱好者;
4.有意投身到渗透测试岗位的人群。
CISP-PTE考试报名
报考条件:
成为注册信息安全专业人员渗透测试工程师(CISP-PTE),必须同时满足以下基本要求:
1.申请成为注册信息安全专业人员渗透测试工程师(CISP-PTE),要求具备一定渗透测试能力,或有意向从事渗透测试的人员,包含信息安全相关专业高校生;
2.申请成为注册信息安全专业人员渗透测试工程师(CISP-PTE)无学历与工作经验的报考要求;3.通过注册信息安全专业人员攻防领域考试中心组织的CISP-PTE考试;
4.同意并遵守CISP职业道德准则;
5.满足CISP-PTE注册要求并成功通过CISP-PTE审核。
注:注册信息安全专业人员-渗透测试工程师的资质证书有效期为三年,证书失效后,需重新参加CISP-PTE注册考试。
考试形式:
线下机考,每月组织一次,具体时间由授权培训机构通知。
考题类型/数量:
客观题为单项选择题,共20题,每题1分;实操题共80分。
总分共100分,得到70分以上(含70分)为通过。
考试大纲:
CISP-PTE 知识体系结构共包含四个知识类,分别为:
1)web安全基础:主要包括HTTP协议、注入漏洞、XSS漏洞、SSRF漏洞、 CSRF漏洞、文件处理漏洞、访问控制漏洞、会话管理漏洞等相关的技术知识和实践。
2)中间件安全基础:主要包括Apache、IIS、Tomcat、weblogic、websphere、 Jboss 等相关的技术知识和实践。
3)操作系统安全基础:主要包括Windows操作系统、Linux操作系统相关技术知识和实践。
4)数据库安全基础:主要包括Mssql数据库、Mysql数据库、Oracle数据库、Redis 数据库相关技术知识和实践。
报考流程:
认证流程指导图
CISP-PTE培训服务
组织形式:
指导单位:中国信息安全测评中心
主办单位:北京中培伟业管理咨询有限公司
机构优势:
1.中培17年IT培训经验,先后获得20余项国内外IT培训认证资质。
2.中培是CISP-PTE官方授权培训机构,教学质量有保障。
3.中培专家团队具有丰富的教学经验和网络信息安全,渗透测试实践能力。
4.理论与实践并重,深入浅出,课堂气氛活跃,深受广大学员好评。
4.中培除线下面授,还提供视频(直播/录播)教学,培训形式丰富,满足不同学员需求。
中培CISP-PTE授权培训资质
收费标准:
中国信息安全测评中心统一收费标准:
培训费14800元/人,注册费5000元/人(包含:认证费、三年年金)
培训形式:
【线下面授班】 / 【线上直播班】
【线上录播班】 / 【企业定制】
增值服务:
CISP-PTE官方指定教材、全真模拟题库,专家讲义、12小时值班微信群,面授/直播免费重修一次,录播视频免费回放一年。
课程安排
(4天网络点播+5天线下面授)
|
知识类 |
知识域 |
知识点 |
|
第一章操作系统安全基础 |
账户安全 |
Windows用户账户和组账户权限的分配 |
|
了解Windows用户空口令风险 |
||
|
了解多用户同时使用的安全配置 |
||
|
了解对用户登入事件进行审核方法 |
||
|
了解对远程登入账号的检查 |
||
|
文件系统安全 |
掌握NTFS文件权限各类 |
|
|
掌握通过ACL控制列表,设置目录或者文件的用户访问权限 |
||
|
掌握命令行下修改目录或者文件的访问权限的方法 |
||
|
日志分析 |
了解Windows系统日志的种类 |
|
|
了解Windows安全日志的登入类型 |
||
|
掌握日志审计的方法 |
||
|
账户安全 |
了解Linux系统中的账号和组 |
|
|
了解弱口令密码带来的风险 |
||
|
掌握检查空口令的方法 |
||
|
掌握检查系统中是否存在其它ID为0的用户的方法 |
||
|
文件系统安全 |
了解Linux文件系统的文件格式分类 |
|
|
掌握如何检查系统中存在的SUID和SGID程序 |
||
|
掌握检查系统中任何人都有写权限的目录的方法 |
||
|
掌握修改目录和文件权限的方法 |
||
|
掌握搜索文件内容的方法 |
||
|
日志分析 |
了解Linux系统的日志种类 |
|
|
了解Linux日志文件 |
||
|
掌握使用常用的日志查看命令,进行日志审计的方法 |
||
|
第二章数据库安全基础 |
MSSQL |
了解MSSQL数据库在操作系统中启动的权限 |
|
掌握MSSQL数据库中服务器角色和数据库角色 |
||
|
掌握MSSQL存在SA弱口令和空口令带来的危害 |
||
|
掌握MSSQL数据库执行系统命令或者操作系统文件的存储过程 |
||
|
掌握MSSQL提升权限的方法 |
||
|
MYSQL |
了解MYSQL在操作系统中运行的权限 |
|
|
了解MYSQL账户的安全策略 |
||
|
了解MYSQL远程访问的控制方法 |
||
|
了解MYSQL数据库所在目录的权限控制 |
||
|
掌握MYSQL数据库常用函数 |
||
|
掌握MYSQL数据库权限提升的方法 |
||
|
Oracle |
了解ORACLE数据库的账号管理与授权 |
|
|
了解为不同管理员分配不同的账号的方法 |
||
|
了解设置管理public角色的程序包执行权限 |
||
|
了解限制库文件的访问权限 |
||
|
掌握ORACLE执行系统命令的方法 |
||
|
Redis |
了解Redis数据库运行权限 |
|
|
了解Redis数据库的默认端口 |
||
|
掌握Redis未授权访问的危害 |
||
|
掌握Redis开启授权的方法 |
||
|
第三章中间件安全基础 |
Apache |
了解当前Apache服务器的运行权限 |
|
了解控制配置文件和日志文件的权限,防止未授权访问 |
||
|
了解设置日志记录文件、记录内容、记录格式 |
||
|
了解禁止Apache服务器列表显示文件的方法 |
||
|
了解修改Apache服务器错误页面重定向的方法 |
||
|
掌握设置WEB目录的读写权限,脚本执行权限的方法 |
||
|
了解Apache服务器解析漏洞的利用方式 |
||
|
掌握Apache服务器文件名解析漏洞的防御措施 |
||
|
掌握Apache服务器日志审计方法 |
||
|
IIS |
了解身份验证功能,能够对访问用户进行控制 |
|
|
了解利用账号控制WEB目录的访问权限,防止跨目录访问 |
||
|
了解为每个站点设置单独的应用程序池和单独的用户的方法 |
||
|
了解取消上传目录的可执行脚本的权限的方法 |
||
|
启用或禁止日志记录,配置日志的记录选项 |
||
|
掌握IIS6、IIS7的文件名解析漏洞 |
||
|
掌握IIS6写权限的利用 |
||
|
掌握IIS6存在的短文件名漏洞 |
||
|
掌握IIS日志的审计方法 |
||
|
Tomcat |
了解Tomcat服务器启动的权限 |
|
|
了解Tomcat服务器后台管理地址和修改管理账号密码的方法 |
||
|
了解隐藏Tomcat版本信息的方法 |
||
|
了解如何关闭不必要的接口和功能 |
||
|
了解如何禁止目录列表,防止文件名泄露 |
||
|
掌握Tomcat服务器通过后台获取权限的方法 |
||
|
掌握Tomcat样例目录session操纵漏洞 |
||
|
了解Tomcat的日志种类 |
||
|
掌握Tomcat日志的审计方法 |
||
|
weblogic |
了解Weblogic的启动权限 |
|
|
了解修改Weblogic的默认开放端口的方法 |
||
|
了解禁止Weblogic列表显示文件的方法 |
||
|
掌握Weblogic后台获取权限的方法 |
||
|
掌握Weblogic存在的SSRF漏洞 |
||
|
掌握反序列化漏洞对Weblogic的影响 |
||
|
掌握Weblogic日志的审计方法 |
||
|
websphere |
了解Websphere管理的使用 |
|
|
了解Websphere的安全配置 |
||
|
掌握反序列化漏洞对Websphere的影响 |
||
|
掌握Websphere后台获取权限的方法 |
||
|
掌握Websphere的日志审计 |
||
|
Jboss |
了解设置jmx-console/web-console密码的方法 |
|
|
了解开启日志功能的方法 |
||
|
了解设置通讯协议,开启HTTPS访问 |
||
|
了解修改WEB的访问端口 |
||
|
掌握反序列化漏洞对Jboss的影响 |
||
|
JMXInvokerServlet/jmx-console/web-console 漏洞利用与防范 |
||
|
掌握Jboss日志审计的方法 |
||
|
第四章web安全基础 |
HTTP请求方法 |
掌握HTTP1.0三种请求方法:GET/POST/HEAD |
|
掌握GET请求的标准格式 |
||
|
掌握POST请求提交表彰,上传文件的方法 |
||
|
了解HEAD请求与GET请求的区别 |
||
|
了解HTTP1.1新增了五种请求方法: OPTIONS/PUT/DELETE/TRACE和CONNECT方法的基本概念 |
||
|
掌握HTTP1.1新增的五种请求的基本方法和产生的请求结果 |
||
|
HTTP状态码 |
了解HTTP状态码的规范 |
|
|
了解HTTP状态码的作用 |
||
|
掌握常见的HTTP状态码 |
||
|
了解HTTP状态码2**、3**、4**、5**代表的含义 |
||
|
掌握用计算机语言获取HTTP状态码的方法 |
||
|
HTTP协议响应头信息 |
了解常见的HTTP响应头 |
|
|
掌握HTTP响应头的作用 |
||
|
了解HTTP响应头的名称 |
||
|
掌握HTTP响应头的格式 |
||
|
HTTP协议的URL |
了解URL的基本概念 |
|
|
了解URL的结构 |
||
|
掌握URL编码格式 |
||
|
SQL注入 |
了解SQL注入漏洞原理 |
|
|
了解SQL注入漏洞对于数据安全的影响 |
||
|
掌握SQL注入漏洞的方法 |
||
|
了解常见数据库的SQL查询语法 |
||
|
掌握MSSQLMYSQLORACLE数据库的注入方法 |
||
|
掌握SQL注入漏洞的类型 |
||
|
掌握SQL注入漏洞修复和防范方法 |
||
|
掌握一些SQL注入漏洞检测工具的使用方法 |
||
|
XML注入 |
了解什么是XML注入漏洞 |
|
|
了解XML注入漏洞产生的原因 |
||
|
掌握XML注入漏洞的利用方式 |
||
|
掌握如何修复XML注入漏洞 |
||
|
代码注入 |
了解什么是远程文件包含漏洞 |
|
|
了解远程文件包含漏洞所用到的函数 |
||
|
掌握远程文件包含漏洞的利用方式 |
||
|
掌握远程文件包含漏洞代码审计方法 |
||
|
掌握修复远程文件包含漏洞的方法 |
||
|
了解什么是本地文件包含漏洞 |
||
|
了解本地文件包含漏洞产生的原因 |
||
|
掌握本地文件包含漏洞利用的方式 |
||
|
了解PHP语言中的封装协议 |
||
|
掌握本地文件包含漏洞修复方法 |
||
|
了解什么是命令注入漏洞 |
||
|
了解命令注入漏洞对系统安全产生的危害 |
||
|
掌握脚本语言中可以执行系统命令的函数 |
||
|
了解第三方组件存在的代码执行漏洞,如struts2 |
||
|
掌握命令注入漏洞的修复方法 |
||
|
存储式XSS |
了解什么是存储式XSS漏洞 |
|
|
了解存储式XSS漏洞对安全的影响 |
||
|
了解存储式XSS漏洞的特征和检测方法 |
||
|
掌握存储式XSS漏洞的危害 |
||
|
掌握修复存储式XSS漏洞的方式 |
||
|
了解常用WEB漏洞扫描工具对存储式XSS漏洞扫描方法 |
||
|
反射式XSS |
了解什么是反射式XSS漏洞 |
|
|
了解反射式XSS漏洞与存储式XSS漏洞的区别 |
||
|
了解反射式XSS漏洞的触发形式 |
||
|
了解反射式XSS漏洞利用的方式 |
||
|
掌握反射式XSS漏洞检测与修复方法 |
||
|
DOM式XSS |
了解什么是DOM式XSS漏洞 |
|
|
掌握DOM式XSS漏洞的触发形式 |
||
|
掌握DOM式XSS漏洞的检测方法 |
||
|
掌握DOM式XSS漏洞的修复方法 |
||
|
SSRF漏洞 |
了解什么是SSRF漏洞 |
|
|
了解利用SSRF漏洞进行端口探测的方法 |
||
|
掌握SSRF漏洞的检测方法 |
||
|
了解SSRF漏洞的修复方法 |
||
|
CSRF漏洞 |
了解CSRF漏洞产生的原因 |
|
|
理解CSRF漏洞的原理 |
||
|
了解CSRF漏洞与XSS漏洞的区别 |
||
|
掌握CSRF漏洞的挖掘和修复方法 |
||
|
任意文件上传 |
了解任意文件上传漏洞产生的原因 |
|
|
了解服务端语言对上传文件类型限制方法 |
||
|
了解任意文件上传漏洞的危害 |
||
|
掌握上传漏洞的检测思路和修复方法 |
||
|
任意文件下载 |
了解什么是文件下载漏洞 |
|
|
掌握通过文件下载漏洞读取服务端文件的方法 |
||
|
掌握能够通过代码审计和测试找到文件下载漏洞 |
||
|
掌握修复文件下载漏洞的方法 |
||
|
横向越权 |
了解横向越权漏洞的基本概念 |
|
|
了解横向越权漏洞的形式 |
||
|
了解横向越权漏洞对网站安全的影响 |
||
|
掌握横向越权漏洞的测试和修复方法 |
||
|
垂直越权 |
了解垂直越权漏洞的基本概念 |
|
|
了解垂直越权漏洞的种类和形式 |
||
|
了解对网站安全的影响 |
||
|
掌握越权漏洞的测试方法和修复 |
||
|
会话劫持 |
了解什么是会话劫持漏洞 |
|
|
了解会话劫持漏洞的危害 |
||
|
了解Session机制 |
||
|
了解httponly的设置方法 |
||
|
掌握会话劫持漏洞防御方法 |
||
|
会话固定 |
了解什么是会话固定漏洞 |
|
|
了解会话固定漏洞的检测方法 |
||
|
了解会话固定漏洞的形成的原因 |
||
|
了解会话固定漏洞的风险 |
||
|
掌握会话固定漏洞的防范方法 |
近期开班:
|
培训课程 |
培训地点 |
培训时间 |
|
CISP-PTE渗透测试工程师认证(面授+直播) |
|
|
|
|
|
|
|
|
|
注:10人以上团队可申请加开当地面授,具体情况可致电:400-808-2006
报名咨询:
中培往届学员请直接咨询您的班主任或课程顾问
新学员请通过以下方式咨询:
24小时客服热线:4008082006
方老师电话微信:13910781835
相关内容推荐
CISP注册信息安全专业人员认证
CISP知识点的思维导图——知识点再多也能轻松记忆!
如何报考CISP,从培训到下证需要多久?
本文由拔丝英语网 - buzzrecipe.com(精选英语文章+课程)收藏,供学习使用,分享转发是更大的支持!由 中培IT培训原创,版权归原作者所有。
发表评论