昆明CISP-PTE培训课程 2024-04-18 10:25:02

CISP-PTE培训课程

一、课程介绍

CISP-PTE，注册渗透测试工程师认证的意思，英文全称为Certified Information Security Professiona - Penetration Testing Engineer。证书持有人主要从事信息安全技术领域渗透测试工作，具有漏洞验证、制定渗透测试方案与测试计划、编写测试用例、实施测试、输出测试报告的基本知识和能力。

二、课程内容

Windows：
Windows用户账户和组账户权限的分配; 了解Windows用户空口令风险; 了解多用户同时使用的安全配置; 了解对用户登入事件进行审核方法; 了解对远程登入账号的检查; 掌握NTFS文件权限各类; 掌握通过ACL控制列表，设置目录或者文件的用户访问权限; 掌握命令行下修改目录或者文件的访问权限的方法; 了解Windows系统日志的种类; 了解Windows安全日志的登入类型; 掌握日志审计的方法

Linux：
了解Linux系统中的账号和组; 了解弱口令密码带来的风险; 掌握检查空口令的方法; 掌握检查系统中是否存在其它ID为0的用户的方法; 了解Linux文件系统的文件格式分类; 掌握如何检查系统中存在的SUID和SGID程序; 掌握检查系统中任何人都有写权限的目录的方法; 掌握修改目录和文件权限的方法; 掌握搜索文件内容的方法; 了解Linux系统的日志种类; 了解Linux日志文件; 掌握使用常用的日志查看命令，进行日志审计的方法

MSSQL：
了解MSSQL数据库在操作系统中启动的权限; 掌握MSSQL数据库中服务器角色和数据库角色; 掌握MSSQL存在SA弱口令和空口令带来的危害; 掌握MSSQL数据库执行系统命令或者操作系统文件的存储过程; 掌握MSSQL提升权限的方法

MYSQL：
了解MYSQL在操作系统中运行的权限; 了解MYSQL账户的安全策略; 了解MYSQL远程访问的控制方法; 了解MYSQL数据库所在目录的权限控制; 掌握MYSQL数据库常用函数; 掌握MYSQL数据库权限提升的方法

Oracle：
了解ORACLE数据库的账号管理与授权; 了解为不同管理员分配不同的账号的方法; 了解设置管理public角色的程序包执行权限; 了解限制库文件的访问权限; 掌握ORACLE执行系统命令的方法

Redis：
了解Redis数据库运行权限; 了解Redis数据库的默认端口; 掌握Redis未授权访问的危害; 掌握Redis开启授权的方法

Apache：
了解当前Apache服务器的运行权限; 了解控制配置文件和日志文件的权限，防止未授权访问; 了解设置日志记录文件、记录内容、记录格式; 了解禁止Apache服务器列表显示文件的方法; 了解修改Apache服务器错误页面重定向的方法; 掌握设置WEB目录的读写权限，脚本执行权限的方法

IIS：
了解身份验证功能，能够对访问用户进行控制; 了解利用账号控制WEB目录的访问权限，防止跨目录访问; 了解为每个站点设置单独的应用程序池和单独的用户的方法; 了解取消上传目录的可执行脚本的权限的方法; 启用或禁止日志记录，配置日志的记录选项; 掌握IIS6、IIS7的文件名解析漏洞; 掌握IIS6写权限的利用; 掌握IIS6存在的短文件名漏洞; 掌握IIS日志的审计方法

Tomcat：
了解Tomcat服务器启动的权限; 了解Tomcat服务器后台管理地址和修改管理账号密码的方法; 了解隐藏Tomcat版本信息的方法; 了解如何关闭不必要的接口和功能; 了解如何禁止目录列表，防止文件名泄露; 掌握Tomcat服务器通过后台获取权限的方法; 掌握Tomcat样例目录session操纵漏洞; 了解Tomcat的日志种类; 掌握Tomcat日志的审计方法

weblogic：
了解Weblogic的启动权限; 了解修改Weblogic的默认开放端口的方法; 了解禁止Weblogic列表显示文件的方法; 掌握Weblogic后台获取权限的方法; 掌握Weblogic存在的SSRF漏洞; 掌握反序列化漏洞对Weblogic的影响; 掌握Weblogic日志的审计方法

websphere：
了解Websphere管理的使用; 了解Websphere的安全配置; 掌握反序列化漏洞对Websphere的影响; 掌握Websphere后台获取权限的方法; 掌握Websphere的日志审计

 Jboss：
了解设置jmx-console/web-console密码的方法; 了解开启日志功能的方法; 了解设置通讯协议，开启HTTPS访问; 了解修改WEB的访问端口; 掌握反序列化漏洞对Jboss的影响; JMXInvokerServlet/jmx-console/web-console漏洞利用与防范; 掌握Jboss日志审计的方法

三、课程优势

1、提升职业竞争力：CISP-PTE认证是对个人在网络安全渗透测试方面能力的认可，持有此证书的人员在求职过程中更具竞争力，更容易获得雇主的青睐。
2、满足合规要求：在一些特定的行业和部门，CISP-PTE认证可能是合规性要求的一部分，持有证书可以帮助企业和组织满足这些要求。
3、提高专业技术能力：通过CISP-PTE的系统学习和培训，可以提高个人在网络安全渗透测试方面的专业技术能力，包括WEB安全、操作系统安全、数据库安全等方面的知识。
4、降低企业安全风险：员工持有CISP-PTE证书，意味着企业拥有更多具备专业网络安全技能的人员，这有助于降低企业的网络信息安全风险。
5、强化企业的信誉：如果企业拥有多位CISP-PTE认证的专家，这将成为企业安全能力的一个重要标志。这不仅可以提高客户对企业的信任度，还可以强化企业在行业内的声誉。
6、满足项目投标要求：在一些或大型企业的项目投标中，可能会对投标方的安全能力有所要求，包括安全人员的认证。持有CISP-PTE认证的安全人员可以满足这些要求，提高投标成功的概率。

四、报考条件

渗透测试能力或意向。申请者需要具备一定的渗透测试能力，或有意向从事渗透测试工作，适合信息安全相关专业的高校生。
培训和合格证书。申请者必须参加并成功完成由信息安全测评中心授权的培训机构组织的CISP专业培训，并取得培训合格证书。
通过考试。申请者需要通过注册信息安全专业人员攻防领域考试中心组织的CISP-PTE考试。
遵守职业准则。申请者需要同意并遵守CISP-PTE的职业准则。
满足注册要求。申请者必须满足CISP-PTE的注册要求，并成功通过审核。

五、职业准则

作为国家注册信息安全专业人员应该遵循其应有的道德准则，中国信息安全测评中心为CISP认证人员设定了职业道德准则。
(1)维护国家、社会和公众的信息安全
自觉维护国家信息安全，拒绝并抵制泄露国家秘密和破坏国家信息基础设施的行为
自觉维护网络社会安全，拒绝并抵制通过计算机网络系统谋取非法利益和破坏社会和谐的行为;
自觉维护公众信息安全，拒绝并抵制通过计算机网络系统侵犯公众合法权益和泄露个人隐私的行为。

(2)诚实守信，遵纪守法
不通过计算机网络系统进行造谣、欺诈、诽谤、弄虚作假等违反诚信原则的行为;
不利用个人的信息安全技术能力实施或组织各种违法犯罪行为;
不在公众网络传播反动、暴力、黄色、低俗信息及非法软件。

(3)努力工作，尽职尽责
热爱信息安全工作岗位，充分认识信息安全专业工作的责任和使命为发现和消除本单位或雇主的信息系统安全风险做出应有的努力和贡献帮助和指导信息安全同行提升信息安全保障知识和能力，为有需要的人谨慎负责地提出应对信息安全问题的建议和帮助

(4)发展自身，维护荣誉
通过持续学习保持并提升自身的信息安全知识;
利用日常工作、学术交流等各种方式保持和提升信息安全实践能力;
以CISP身份为荣，积极参与各种证后活动，避免任何损害CISP声誉形象的行为。