CISP-PTE国家注册信息安全渗透测试工程师认证

信息安全作为我国信息化建设健康发展的重要因素,关系到贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会及建设创新型社会等国家战略举措的实施,是国家安全的重要组成部分。在信息系统安全保障工作中,人是最核心、也是最活跃的因素,人员的信息安全意识、知识与技能已经成为保障信息系统安全稳定运行的重要基本要素之一。 注册信息安全专业人员(CISP)是对我国网络基础设施和重要信息系统的信息安全专业人员开展在职培训的重要形式,多年来为落实我国有关政策“加快信息安全人才培养,增强全民信息安全意识”的指导精神,构建信息安全人才体系发挥了巨大作用。

注册信息安全专业人员-渗透测试,英文为 Certified Information Security Professional – Penetration Test Engineer ,简称 CISP-PTE。证书持有人员主要从事信息安全技术领域网站渗透测试工作,具有规划测试方案、 编写项目测试计划、编写测试用例、测试报告的基本知识和能力。

认证知识体系结构

CISP-PTE 知识体系结构共包含四个知识类,分别为:

  • web安全基础:主要包括HTTP协议、注入漏洞、XSS漏洞、SSRF漏洞、 CSRF 漏洞、文件处理漏洞、访问控制漏洞、会话管理漏洞等相关的技术知识和实践。
  • 中间件安全基础:主要包括Apache、IIS、Tomcat、weblogic、websphere、 Jboss 等相关的技技术知识和实践。
  • 操作系统安全基础:主要包括Windows操作系统、Linux操作系统相关技术知识和实践。
  • 数据库安全基础:主要包括Mssql数据库、Mysql数据库、Oracle数据库、Redis 数据库相关技术知识和实践。

知识域与知识点

知识域知识子域知识点
一、知识域:Web安全基础HTTP 协议HTTP 协议基础知识
注入漏洞SQL 注入的基础知识
XML 实体注入基础知识
RFI 远程文件包含漏洞的原理和修复方法
RCE 远程代码执行漏洞的原理和修复方法
XSS 漏洞存储型 XSS 漏洞发现与防范
反射型 XSS 漏洞发现与防范
Dom 型 XSS 漏洞发现与防范
CSRF 漏洞CSRF 跨站请求伪造漏洞的分析与利用
SSRF 漏洞SSRF 服务端请求伪造漏洞的分析与利用
文件处理漏洞任意文件上传漏洞产生的原因与修复方法
任意文件读取漏洞产生的原因与修复方法
访问控制漏洞垂直越权漏洞的分析与利用
水平越权漏洞的分析与利用
会话管理漏洞会话固定漏洞的产生原因和防范
会话劫持漏洞的产生原因和防范
Cookie 欺骗漏洞的产生原因和防范
二、知识域:中间件安全Apache Apache 服务器权限配置
Apache 服务器文件解析漏洞
Apache 服务器日志审计方法
Apache 服务器 Web 目录权限的设置
IISIIS6 文件解析漏洞利用
IIS6 写权限漏洞的利用
IIS6 短文件名漏洞
IIS7 FastCGI 方式调用 PHP 存在的解析漏洞
IIS 日志审计方法
TomcatTomcat 管理账号密码修改方法
Tomcat 通过后台获取权限的方法
Tomcat 服务器启动权限设置
Tomcat 日志审计方法
WeblogicWeblogic 反序列化漏洞
Weblogic 管理后台弱口令风险
Weblogic 服务端请求伪造漏洞
Weblogic 日志审计方法
JBossJBoss 反序列化漏洞
JBoss jmx-console/web-console 未授权访问
JBoss jmx Invoker 远程命令执行
JBoss 日志审计方法
WebsphereWebsphere 账号管理授权
Websphere 反序列化漏洞
Websphere 管理后台弱口令风险
Websphere 日志审计方法
三、知识域:操作系统安全基础Windows 系统安全账户密码弱口令风险
账户的分组和权限
NTFS 文件系统权限的设置
Windows 日志的种类和审计方法
第三方应用和服务存在的漏洞
Windows 权限提升方法
Linux 系统安全检查用户空口令的方法
设置账户认证失败锁定次数和时间
检查除root以外的UID为0的用户
查找系统中存在的 SUID 和 SGID 程序
查找任何人都有写权限的目录和文件
第三方应用和服务可能存在的漏洞
Linux 权限提升方法
系统日志的分类和审计方法
四、知识域:数据库安全Mssql 数据库安全Mssql 数据库的查询语法
Mssql 数据库账户密码存在弱口令的风险
Mssql 数据库服务器启动权限的设置
Mssql 数据库的角色与权限的分配
Mssql 数据库中常用的存储过程
Mssql 数据库备份和日志备份方法
Mssql 存储过程提权的方法
Mysql 数据库安全Mysql 数据库的查询语法
Mysql 账户密码弱口令风险
Mysql 创建用户并指定数据库授权
Mysql 读取文件和导出文件的方法
Mysql 提权的方法
Oracle 数据库安全Oracle 数据库的查询语法
Oracle 数据库执行系统命令的方法
Oracle 数据库账号权限的分配
Oracle 数据库账号密码策略配置
Oracle 数据库日志审计
Redis 数据库安全Redis 数据库未授权访问的危害
Redis 数据库启动权限的设置
Redis 写入文件的方法

培训对象

适用人群:

1、准毕业生OR在校生

2、信息安全从业人员

3、网络安全兴趣爱好者

4、有意向从事渗透测试工作者

认证要求

成为注册信息安全专业人员渗透测试工程师(CISP-PTE),必须同时满足以下基本要求:

1、申请成为注册信息安全专业人员渗透测试工程师(CISP-PTE),要求具备一定渗透测试能力,或有意向从事渗透测试的人员,包含信息安全相关专业高校生;

2、申请成为注册信息安全专业人员渗透测试工程师(CISP-PTE)无学历与工作经验的报考要求;

3、通过注册信息安全专业人员攻防领域考试中心组织的 CISP-PTE 考试;

4、同意并遵守 CISP 职业道德准则;

5、满足 CISP-PTE 注册要求并成功通过 CISP-PTE 审核;

注:注册信息安全专业人员-渗透测试工程师的资质证书有效期为三年,证书失效后,需重新参加 CISP-PTE 注册考试

培训教材

讲义

认证培训及考试

培训天数:8天,第9天安排考试

培训形式:面授

考试形式:机考,CISP-PTE 考试题型为客观题、实操题。客观题为单项选择题,共 20 题,每

题 1 分;实操题共 80 分。总分共 100 分,得到 70 分以上(含 70 分)为通过。

培训费用:19800元/人(明细:培训费用:14800元/人(包含教材(含标准)、结业证书),考 试 费:3000元/人;认证费:500元/人;三年年金:1500元/人,总计5000元(考试、认证、年金费用中心规定由培训机构代收代缴)

认证机构:中国信息安全测评中心颁发《国家注册信息系统安全专业人员-渗透测试工程师资质证书》

培训讲师

资深讲师

证书样例

上一篇
下一篇