CISP即“注冊信息安全專家”,是經中國信息安全產品測評認證中心實施國家認證,代表國家對信息安全人員資質的最高認可;是有關信息安全企業,信息安全咨詢服務機構、信息安全測評認證機構和授權測評機構、社會各組織、團體、企事業有關信息系統建設、運行和應用管理的技術部門和標準化部門必備的專業崗位人員,其基本職能是對信息系統的安全提供技術保障,CISP嚴格的認證和培訓程序賦予其具備專業資質和能力。目前,國內各大安全專業服務公司都具備相應數量的CISP專家。
注冊信息安全專業人員-滲透測試,英文為 Certified Information Security Professional - Penetration Test Engineer ,簡稱 CISP-PTE。證書持有人員主要從事信息安全技術領域網站滲透測試工作,具有規劃測試方案編寫項目測試計劃、編寫測試用例、測試報告的基本知識和能力。
該注冊考試是為了鍛煉考生實際解決網絡安全問題的能力,有效增強我國網絡安全防御能力,促進國家企事業單位網絡防御能力不斷提高,以發現人才,選拔優秀人才而設立的技能水平考試
安全研究和攻防測試人員
安全管理人員
安全運維人員
企業信息化管理的中層領導
IT部門負責人
考生應該能夠理解和發現這些漏洞,并且學會修復這些漏洞的方法,掌握更多的安全技術
考生應了解中間件的安全知識
考生應了解操作系統的安全基礎知識
考生應了解數據庫的安全基礎知識,這里以 Mssql,Mysql,Oracle,Redis 數據庫為主
通過以上內容的學習,要求考生可以發現和修復網絡中的漏洞,掌握更多的安全技能,提高個人的技術能力。具備滲透測試工程師的素養。
知識類 | 章節 | 考核標準及知識點 |
攻防基礎 | 考試介紹和課程安排 | |
培訓課件和場景準備 | (培訓中同步分發給學員) | |
攻防趨勢技術要點概覽 | 業界和國內外重點和核心 | |
攻防滲透基礎 | 踩點掃描、漏洞發現等 | |
網絡安全 | 網絡安全概述 | 協議基礎和wireshark分析 |
網絡設備安全 | FW/IDS/WAF等 | |
網絡攻防命令 | Win/linux/路由交換等 | |
外網突破概述 | 介紹主要的幾個方法 | |
內網滲透概述 | 簡述內網滲透的技術 | |
WEB 安全基礎 | HTTP 協議 | HTTP 協議基礎知識 |
注入漏洞 | SQL 注入的基礎知識 | |
XML 實體注入基礎知識 | ||
RFI 遠程文件包含漏洞的原理和修復方法 | ||
LFI 本地文件包含漏洞的原理和修復方法 | ||
RCE 遠程代碼執行漏洞的原理和修復方法 | ||
XSS 漏洞 | 存儲型 XSS 漏洞發現與防范 | |
反射型 XSS 漏洞發現與防范 | ||
Dom 型 XSS 漏洞發現與防范 | ||
CSRF 漏洞 | CSRF 跨站請求偽造漏洞的分析與利用 | |
SSRF 漏洞 | SSRF 服務端請求偽造漏洞的分析與利用 | |
文件處理漏洞 | 任意文件上傳漏洞產生的原因與修復方法 | |
任意文件讀取漏洞產生的原因與修復方法 | ||
訪問控制漏洞 | 垂直越權漏洞的分析與利用 | |
水平越權漏洞的分析與利用 | ||
會話管理漏洞 | 會話固定漏洞的產生原因和防范 | |
會話劫持漏洞的產生原因和防范 | ||
Cookie 欺騙漏洞的產生原因和防范 | ||
操作系統安全 | Windows 系統安全 | 賬戶密碼弱口令風險 |
賬戶的分組和權限 | ||
NTFS 文件系統權限的設置 | ||
Windows 日志的種類和審計方法 | ||
第三方應用和服務存在的漏洞 | ||
Windows 權限提升方法 | ||
Linux 系統安全 | 檢查用戶空口令的方法 | |
設置賬戶認證失敗鎖定次數和時間 | ||
檢查除root以外的UID為0的用戶 | ||
查找系統中存在的 SUID 和 SGID 程序 | ||
查找任何人都有寫權限的目錄和文件 | ||
第三方應用和服務可能存在的漏洞 | ||
Linux 權限提升方法 | ||
系統日志的分類和審計方法 | ||
中間件安全 | Apache | Apache 服務器權限配置 |
Apache 服務器文件解析漏洞 | ||
Apache 服務器日志審計方法 | ||
Apache 服務器 Web 目錄權限的設置 | ||
IIS | IIS6 文件解析漏洞利用 | |
IIS6 寫權限漏洞的利用 | ||
IIS6 短文件名漏洞 | ||
IIS7 FastCGI 方式調用 PHP 存在的解析漏洞 | ||
IIS 日志審計方法 | ||
Tomcat | Tomcat 管理賬號密碼修改方法 | |
Tomcat 通過后臺獲取權限的方法 | ||
Tomcat 服務器啟動權限設置 | ||
Tomcat 日志審計方法 | ||
Weblogic | Weblogic 反序列化漏洞 | |
Weblogic 管理后臺弱口令風險 | ||
Weblogic 服務端請求偽造漏洞 | ||
Weblogic 日志審計方法 | ||
JBoss | JBoss 反序列化漏洞 | |
JBoss jmx-console/web-console 未授權訪問 | ||
JBoss jmx Invoker 遠程命令執行 | ||
JBoss 日志審計方法 | ||
Websphere | Websphere 賬號管理授權 | |
Websphere 反序列化漏洞 | ||
Websphere 管理后臺弱口令風險 | ||
Websphere 日志審計方法 | ||
數據庫安全 | Mssql 數據庫安全 | Mssql 數據庫的查詢語法 |
Mssql 數據庫賬戶密碼存在弱口令的風險 | ||
Mssql 數據庫服務器啟動權限的設置 | ||
Mssql 數據庫的角色與權限的分配 | ||
Mssql 數據庫中常用的存儲過程 | ||
Mssql 數據庫備份和日志備份方法 | ||
Mssql 存儲過程提權的方法 | ||
Mysql 數據庫安全 | Mysql 數據庫的查詢語法 | |
Mysql 賬戶密碼弱口令風險 | ||
Mysql 創建用戶并指定數據庫授權 | ||
Mysql 讀取文件和導出文件的方法 | ||
Mysql 提權的方法 | ||
Oracle 數據庫安全 | Oracle 數據庫的查詢語法 | |
Oracle 數據庫執行系統命令的方法 | ||
Oracle 數據庫賬號權限的分配 | ||
Oracle 數據庫賬號密碼策略配置 | ||
Oracle 數據庫日志審計 | ||
Redis 數據庫安全 | Redis 數據庫未授權訪問的危害 | |
Redis 數據庫啟動權限的設置 | ||
Redis 寫入文件的方法 | ||
綜合串講演練 | 前期課程總結 | 串聯思路和題型解讀 |
考試模擬(多套) | 快速熟悉考試流程和題眼 | |
考后復盤 | 針對技術缺陷和不足進行點評 | |
技術答疑 | 溫習重點和思路發散 |