課程介紹
依據(jù)《信息安全保障人員認(rèn)證準(zhǔn)則》,確定信息安全保障人員認(rèn)證(CISAW)滲透測(cè)試方向的考試目標(biāo)和要求�。 信息安全保障人員認(rèn)證(CISAW)滲透測(cè)試方向的考試主要考查考生對(duì)滲透測(cè)試基礎(chǔ)知識(shí)、基本技能掌握程度和綜合運(yùn)用所學(xué)知識(shí)分析��、解決問(wèn)題的能力�。
培訓(xùn)對(duì)象
從事相關(guān)工作的專(zhuān)業(yè)人員��。
課程收益
1)推理論證能力 — 具有滲透測(cè)試技術(shù)方案與實(shí)施方案的設(shè)計(jì)��、漏洞修復(fù)方案的制定等方面的綜合能力��;
2)實(shí)踐操作能力 — 具有滲透測(cè)試所需安全技能中的實(shí)際操作能力,例如信息收集工具的使用�����,Web 應(yīng)用漏洞掃描器的使用�,漏洞利用工具的使用及常見(jiàn)漏洞的挖掘等能力;
3)綜合應(yīng)用能力 — 具有滲透測(cè)試前期交互��、信息收集��、漏洞掃描����、漏洞挖掘�、漏洞利用等幾個(gè)階段所需技能的綜合應(yīng)用與把控能力。例如�����,能夠理解滲透測(cè)試流程與方法����,具備綜合利用管理措施和技術(shù)手段實(shí)施安全服務(wù)項(xiàng)目的能力。
知識(shí)概要
-- 滲透測(cè)試概述����;
-- 信息收集�����;
-- 漏洞掃描�;
-- 滲透測(cè)試技術(shù)�����;
-- 高級(jí)滲透測(cè)試技術(shù)��。
課程大綱
滲透測(cè)試概述
滲透測(cè)試概念�、流程與思路,滲透測(cè)試服務(wù)的基本介紹
網(wǎng)絡(luò)安全法與滲透測(cè)試職業(yè)道德規(guī)范
Web 服務(wù)器運(yùn)作原理
Web 應(yīng)用程序常見(jiàn)的編碼方式
HTTP 協(xié)議報(bào)文格式��、請(qǐng)求方法����、狀態(tài)碼
本地攻擊環(huán)境搭建的方法
BurpSuite 與 Firefox 插件的使用
信息收集
信息收集工具使用,包括 Google Hacking���、網(wǎng)絡(luò)空間搜索引擎、Nmap
域名信息收集的方法與手段
服務(wù)器信息收集的方法與手段
Web 應(yīng)用信息收集收集的方法與手段
漏洞掃描
漏洞掃描流程與方法
漏洞掃描工具的基本使用�,包括 AWVS����、Nessus
滲透測(cè)試技術(shù)
WebShell 原理與 WebShell 管理工具基本使用
文件上傳漏洞的原理�、漏洞利用、防護(hù)和繞過(guò)的手段與方法
XSS 漏洞的原理�、漏洞利用、防護(hù)的手段與方法
CSRF 漏洞的原理���、漏洞利用����、防護(hù)的手段與方法
SQL 漏洞的原理����、漏洞利用、防護(hù)的手段與方法
SQLMAP 工具的基本使用
代碼執(zhí)行漏洞的原理����、漏洞利用、防護(hù)的手段與方法
命令執(zhí)行漏洞的原理���、漏洞利用�、防護(hù)的手段與方法
反序列化漏洞的原理�����、漏洞利用、防護(hù)的手段與方法
對(duì)常見(jiàn)身份認(rèn)證場(chǎng)景的攻擊手段與方法
越權(quán)的原理����、漏洞利用的手段與方法
邏輯漏洞常見(jiàn)場(chǎng)景的漏洞挖掘、利用的手段與方法
SSRF�、XXE、文件包含等漏洞的原理����、漏洞利用、防護(hù)的手段與方法
常見(jiàn)中間件漏洞利用及檢測(cè)方法
主機(jī)與數(shù)據(jù)庫(kù)漏洞利用及檢測(cè)方法
高級(jí)滲透測(cè)試技術(shù)
WebShell 查殺���、免殺技術(shù)
WAF 鑒別與探測(cè)
WAF 繞過(guò)思路與方法
反彈 Shell 方法與手段
權(quán)限提升的方法與手段
認(rèn)證過(guò)程
考試方式:閉卷�����,筆試加實(shí)操�,時(shí)長(zhǎng)2.5 小時(shí)���,筆試分為單選30題���,多選10題���,試卷滿(mǎn)分70分����,實(shí)操滿(mǎn)分50分,總分120分��;
證書(shū)獲?�。?4 分(含)為合格��,成績(jī)合格的�,可根據(jù)《信息安全保障人員認(rèn)證準(zhǔn)則》相關(guān)要求,被授予基礎(chǔ)級(jí)或?qū)I(yè)級(jí)認(rèn)證證書(shū)�。
開(kāi)班信息
暫無(wú)開(kāi)班信息