課程介紹
依據(jù)《信息安全保障人員認(rèn)證準(zhǔn)則》��,確定信息安全保障人員認(rèn)證(CISAW)滲透測試方向的考試目標(biāo)和要求��。 信息安全保障人員認(rèn)證(CISAW)滲透測試方向的考試主要考查考生對滲透測試基礎(chǔ)知識(shí)��、基本技能掌握程度和綜合運(yùn)用所學(xué)知識(shí)分析����、解決問題的能力�。
培訓(xùn)對象
從事相關(guān)工作的專業(yè)人員。
課程收益
1)推理論證能力 — 具有滲透測試技術(shù)方案與實(shí)施方案的設(shè)計(jì)���、漏洞修復(fù)方案的制定等方面的綜合能力�����;
2)實(shí)踐操作能力 — 具有滲透測試所需安全技能中的實(shí)際操作能力���,例如信息收集工具的使用,Web 應(yīng)用漏洞掃描器的使用��,漏洞利用工具的使用及常見漏洞的挖掘等能力��;
3)綜合應(yīng)用能力 — 具有滲透測試前期交互、信息收集�、漏洞掃描、漏洞挖掘����、漏洞利用等幾個(gè)階段所需技能的綜合應(yīng)用與把控能力。例如�,能夠理解滲透測試流程與方法,具備綜合利用管理措施和技術(shù)手段實(shí)施安全服務(wù)項(xiàng)目的能力���。
知識(shí)概要
-- 滲透測試概述��;
-- 信息收集��;
-- 漏洞掃描��;
-- 滲透測試技術(shù)���;
-- 高級滲透測試技術(shù)。
課程大綱
滲透測試概述
滲透測試概念�、流程與思路,滲透測試服務(wù)的基本介紹
網(wǎng)絡(luò)安全法與滲透測試職業(yè)道德規(guī)范
Web 服務(wù)器運(yùn)作原理
Web 應(yīng)用程序常見的編碼方式
HTTP 協(xié)議報(bào)文格式���、請求方法����、狀態(tài)碼
本地攻擊環(huán)境搭建的方法
BurpSuite 與 Firefox 插件的使用
信息收集
信息收集工具使用,包括 Google Hacking���、網(wǎng)絡(luò)空間搜索引擎���、Nmap
域名信息收集的方法與手段
服務(wù)器信息收集的方法與手段
Web 應(yīng)用信息收集收集的方法與手段
漏洞掃描
漏洞掃描流程與方法
漏洞掃描工具的基本使用�,包括 AWVS、Nessus
滲透測試技術(shù)
WebShell 原理與 WebShell 管理工具基本使用
文件上傳漏洞的原理��、漏洞利用����、防護(hù)和繞過的手段與方法
XSS 漏洞的原理、漏洞利用����、防護(hù)的手段與方法
CSRF 漏洞的原理、漏洞利用����、防護(hù)的手段與方法
SQL 漏洞的原理、漏洞利用��、防護(hù)的手段與方法
SQLMAP 工具的基本使用
代碼執(zhí)行漏洞的原理、漏洞利用�、防護(hù)的手段與方法
命令執(zhí)行漏洞的原理、漏洞利用���、防護(hù)的手段與方法
反序列化漏洞的原理����、漏洞利用��、防護(hù)的手段與方法
對常見身份認(rèn)證場景的攻擊手段與方法
越權(quán)的原理��、漏洞利用的手段與方法
邏輯漏洞常見場景的漏洞挖掘��、利用的手段與方法
SSRF���、XXE����、文件包含等漏洞的原理�、漏洞利用、防護(hù)的手段與方法
常見中間件漏洞利用及檢測方法
主機(jī)與數(shù)據(jù)庫漏洞利用及檢測方法
高級滲透測試技術(shù)
WebShell 查殺����、免殺技術(shù)
WAF 鑒別與探測
WAF 繞過思路與方法
反彈 Shell 方法與手段
權(quán)限提升的方法與手段
認(rèn)證過程
考試方式:閉卷���,筆試加實(shí)操,時(shí)長2.5 小時(shí)����,筆試分為單選30題,多選10題�����,試卷滿分70分�,實(shí)操滿分50分�����,總分120分����;
證書獲取:84 分(含)為合格����,成績合格的,可根據(jù)《信息安全保障人員認(rèn)證準(zhǔn)則》相關(guān)要求�,被授予基礎(chǔ)級或?qū)I(yè)級認(rèn)證證書�����。
開班信息
暫無開班信息