CISP-PTE课程大纲:
时间 | 培训内容 |
第一天 | CISP-PTE考试大纲内容讲解及考试重点 |
信息安全基础 | |
HTTP协议基础 | |
WEB安全知识体系介绍 | |
信息收集(端口扫描、目录扫描、敏感文件泄漏) | |
SQL注入漏洞原理、类型(整型、字符型、cookie、时间延时注入、盲注等类型) | |
第二天 | SQL注入漏洞原理、类型(整型、字符型、cookie、时间延时注入、盲注等类型) |
数据库基础(数据库结构、数据库权限、常见的查询语句、增删改查语句) | |
SQL注入,手工注入实战(配合刚学的数据库查询语句) | |
SQL注入工具SQLMap的使用(tamper的使用、文件读写等方法) | |
第三天 | SQL注入工具SQLMap的使用(tamper的使用、文件读写等方法) |
XSS漏洞(存储型、反射型、DOM型)原理、XSS漏洞实战、XSS漏洞绕过方式 | |
XSS漏洞防御与修复 | |
SSRF原理与实战、CSRF原理与实战、SSRF、CSRF漏洞防御与修复 | |
第四天 | 文件上传漏洞原理、实战;文件上传类型、文件上传绕过(Type、扩展名、JS等) |
文件上传漏洞的防御与修复 | |
任意文件下载漏洞原理、实战 | |
任意文件下载防御与修复 | |
第五天 | 文件包含漏洞原理、PHP中的文件包含(本地包含、远程包含) |
文件包含漏洞的防御与修复 | |
命令执行漏洞原理、远程命令执行漏洞防御 | |
远程代码执行漏洞原理、防御 | |
Java反序列化漏洞、防御(Jboss、webLogic等) | |
第六天 | 弱口令漏洞实战与防御 |
中间件弱口令部署木马(Tomcat、WebLogic、JBoss) | |
中间件解析漏洞(IIS解析漏洞、Nginx解析漏洞、Apache解析漏洞等) | |
中间件的目录遍历 | |
中间件目录遍历漏洞的修复 | |
第七天 | 访问控制漏洞(横向越权、垂直越权漏洞的原理与修复) |
会话劫持漏洞(Session的原理、HttpOnly)、会话劫持漏洞修复 | |
常见木马的使用(PHP木马、ASP木马、ASPX木马) | |
Web扫描器的使用(WVS、AppScan等) | |
提权(简单提权、win2003提权、win2008提权、linux提权) | |
第八天 | 提权(简单提权、win2003提权、win2008提权、linux提权) |
中间件日志、数据库日志、系统日志分析,定位攻击者的攻击方式和IP | |
本期培训知识点汇总 | |
第九天 | 根据知识点和考试大纲进行针对性题目练习、讲解 |
第十天 | 考试 |