理论&实操 | CISAW-LPT渗透测试方向认证

2024年09月30日 新闻动态 作者: 阅读:12 views
weibo weixin Mail

中国网络安全审查认证和市场监管大数据中心依据《信息安全保障人员认证准则》,发布了信息安全保障人员认证(CISAW)渗透测试方向的考试和人员认证。

CISAW-LPT

渗透测试方向认证

信息安全保障人员认证(CISAW)渗透测试方向主要考核认证申请人员通过对目标网络和系统进行渗透测试,从而保障目标网络和系统免受恶意攻击,以及发现安全问题并提出改进建议的能力。特别注重考核认证申请人员对渗透测试流程,以及常见漏洞发现和利用原理的理解,考核认证申请人员是否能够熟练掌握Web系统渗透测试工具的高级操作技巧,以及独立完成基本的渗透测试服务的能力,从渗透测试人员道德、规范和技术全方面进行考核。

CISAW-LPT能力要求

本考试主要考查考生推理论证能力、实践操作能力和综合应用能力,具体能力要求如下:

  • 推理论证能力:考生应具有渗透测试技术方案与实施方案的设计、漏洞修复方案的制定等方面的综合能力。
  • 实践操作能力:考生应具有渗透测试所需安全技能中的实际操作能力,例如信息收集工具的使用,Web应用漏洞扫描器的使用,漏洞利用工具的使用及常见漏洞的挖掘等能力。
  • 综合应用能力:考生应具有渗透测试前期交互、信息收集、漏洞扫描、漏洞挖掘、漏洞利用等几个阶段所需技能的综合应用与把控能力。例如,能够理解渗透测试流程与方法,具备综合利用管理措施和技术手段实施安全服务项目的能力。

CISAW-LPT课程安排

时间培训主题形式
第一天了解渗透测试概念、流程与思路,渗透测试服务的基本介绍理论
了解网络安全法与渗透测试职业道德规范理论
了解Web服务器运作原理、Web应用程序常见的编码方式,深入剖析HTTP协议理论
了解本地攻击环境搭建的方法,熟悉BurpSuite与Firefox插件的基本使用理论&实操
熟悉Google Hacking、网络空间搜索引擎、Nmap的基本使用,熟悉常见域名、服务器与Web应用信息收集的方法与手段理论&实操
熟悉BurpSuite、AWVS、Nessus等Web漏洞扫描工具的基本使用理论&实操
第二天了解WebShell原理与WebShell管理工具基本使用,熟悉文件上传漏洞的原理、漏洞利用、防护和绕过的手段与方法,并在提供的实战场中模拟练习理论&实操
熟悉XSS漏洞的原理、漏洞利用、防护的手段与方法,并在提供的实战靶场中模拟练习理论&实操
熟悉CSRF漏洞的原理、漏洞利用、防护的手段与方法,并在提供的实战靶场中模拟练习理论&实操
第三天熟悉SQL漏洞的原理、漏洞利用、防护的手段与方法,熟悉SQLMAP工具的基本使用,并在提供的实战靶场中模拟练习理论&实操
熟悉代码执行漏洞的原理、漏洞利用、防护的手段与方法,并在提供的实战靶场中模拟练习理论&实操
熟悉命令执行漏洞的原理、漏洞利用、防护的手段与方法,并在提供的实战靶场中模拟练习理论&实操
熟悉反序列化漏洞的原理、漏洞利用、防护的手段与方法,并在提供的实战靶场中模拟练习理论&实操
第四天熟悉对常见身份认证场景的攻击手段与方法理论&实操
熟悉越权的原理、漏洞利用的手段与方法,并在提供的实战靶场中模拟练习理论&实操
熟悉逻辑漏洞常见场景的漏洞挖掘、利用的手段与方法理论
熟悉SSRF、XXE、文件包含等漏洞的原理、漏洞利用、防护的手段与方法理论
熟悉常见中间件漏洞利用及检测方法理论&实操
熟悉主机与数据库漏洞利用及检测方法理论&实操
第五天了解WebShell查杀、免杀技术,IAF签别与探测,反弹Shel1与权限提升的方法与手段理论
对综合靶场进行渗透测试实战练习实操

CISAW-LPT考试安排

考试时间:150分钟

考试题型:单选题、多选题、简单题以及实操题

考试分数:笔试试卷满分70分(单选题30题,每小题1分;多选题10题,每小题2分;简答题2题,每小题10分),上机实操考试满分50分(实操小题6题,每小题5分;综合实操2题,每小题10分),总分120分,84分(含)为合格分

CISAW-LPT考试知识域权重

笔试试卷权重占比
知识类型占比
渗透测试概述8%
信息收集15%
漏洞扫描15%
渗透测试技术54%
高级渗透测试技术8%
上机实操权重占比
知识类型占比
信息收集10%
漏洞扫描20%
渗透测试技术70%

CISAW-LPT培训费用

  • 培训费8800元/人(包括培训费、资料费)
  • 考试认证费 1080元/ 人
上一篇
下一篇