課程介紹
依據《信息安全保障人員認證準則》,確定信息安全保障人員認證(CISAW)滲透測試方向的考試目標和要求。 信息安全保障人員認證(CISAW)滲透測試方向的考試主要考查考生對滲透測試基礎知識、基本技能掌握程度和綜合運用所學知識分析、解決問題的能力。
培訓對象
從事相關工作的專業人員。
課程收益
1)推理論證能力 — 具有滲透測試技術方案與實施方案的設計、漏洞修復方案的制定等方面的綜合能力;
2)實踐操作能力 — 具有滲透測試所需安全技能中的實際操作能力,例如信息收集工具的使用,Web 應用漏洞掃描器的使用,漏洞利用工具的使用及常見漏洞的挖掘等能力;
3)綜合應用能力 — 具有滲透測試前期交互、信息收集、漏洞掃描、漏洞挖掘、漏洞利用等幾個階段所需技能的綜合應用與把控能力。例如,能夠理解滲透測試流程與方法,具備綜合利用管理措施和技術手段實施安全服務項目的能力。
知識概要
-- 滲透測試概述;
-- 信息收集;
-- 漏洞掃描;
-- 滲透測試技術;
-- 高級滲透測試技術。
課程大綱
滲透測試概述
滲透測試概念、流程與思路,滲透測試服務的基本介紹
網絡安全法與滲透測試職業道德規范
Web 服務器運作原理
Web 應用程序常見的編碼方式
HTTP 協議報文格式、請求方法、狀態碼
本地攻擊環境搭建的方法
BurpSuite 與 Firefox 插件的使用
信息收集
信息收集工具使用,包括 Google Hacking、網絡空間搜索引擎、Nmap
域名信息收集的方法與手段
服務器信息收集的方法與手段
Web 應用信息收集收集的方法與手段
漏洞掃描
漏洞掃描流程與方法
漏洞掃描工具的基本使用,包括 AWVS、Nessus
滲透測試技術
WebShell 原理與 WebShell 管理工具基本使用
文件上傳漏洞的原理、漏洞利用、防護和繞過的手段與方法
XSS 漏洞的原理、漏洞利用、防護的手段與方法
CSRF 漏洞的原理、漏洞利用、防護的手段與方法
SQL 漏洞的原理、漏洞利用、防護的手段與方法
SQLMAP 工具的基本使用
代碼執行漏洞的原理、漏洞利用、防護的手段與方法
命令執行漏洞的原理、漏洞利用、防護的手段與方法
反序列化漏洞的原理、漏洞利用、防護的手段與方法
對常見身份認證場景的攻擊手段與方法
越權的原理、漏洞利用的手段與方法
邏輯漏洞常見場景的漏洞挖掘、利用的手段與方法
SSRF、XXE、文件包含等漏洞的原理、漏洞利用、防護的手段與方法
常見中間件漏洞利用及檢測方法
主機與數據庫漏洞利用及檢測方法
高級滲透測試技術
WebShell 查殺、免殺技術
WAF 鑒別與探測
WAF 繞過思路與方法
反彈 Shell 方法與手段
權限提升的方法與手段
認證過程
考試方式:閉卷,筆試加實操,時長2.5 小時,筆試分為單選30題,多選10題,試卷滿分70分,實操滿分50分,總分120分;
證書獲取:84 分(含)為合格,成績合格的,可根據《信息安全保障人員認證準則》相關要求,被授予基礎級或專業級認證證書。
開班信息
暫無開班信息