關于舉辦注冊信息安全專業人員CISP-PTE 滲透測試工程師認證培訓的通知
講師(shi):高老師(shi) 瀏覽次數:2548
課程(cheng)描述INTRODUCTION
注冊信息安全專業人員CISP-PTE 滲透測試(shi)工程師認(ren)證培訓
培訓講師:高老師(shi)
課程價格:¥元(yuan)/人
培訓天數:4天(tian)
日(ri)程(cheng)安排SCHEDULE
課程大綱Syllabus
注冊信息安全專業人員CISP-PTE 滲透測試工程師認證培訓
一、課程背景(jing)
為(wei)提(ti)(ti)高各(ge)單(dan)位信(xin)息(xi)安(an)(an)全(quan)(quan)整(zheng)體水(shui)(shui)平,加強(qiang)信(xin)息(xi)安(an)(an)全(quan)(quan)人(ren)(ren)員(yuan)(yuan)(yuan)專業(ye)(ye)技(ji)(ji)能,促(cu)進信(xin)息(xi)安(an)(an)全(quan)(quan)人(ren)(ren)員(yuan)(yuan)(yuan)持證(zheng)(zheng)上崗,現組織(zhi)開展(zhan)注冊信(xin)息(xi)安(an)(an)全(quan)(quan)專業(ye)(ye)人(ren)(ren)員(yuan)(yuan)(yuan)攻防(fang)領(ling)域(CISP-PTE)培訓(xun)及認證(zheng)(zheng)工(gong)作(zuo),此(ci)認證(zheng)(zheng)是(shi)信(xin)息(xi)安(an)(an)全(quan)(quan)從業(ye)(ye)人(ren)(ren)員(yuan)(yuan)(yuan)的水(shui)(shui)平證(zheng)(zheng)書(shu),證(zheng)(zheng)明證(zheng)(zheng)書(shu)持有(you)者(zhe)具備(bei)從事(shi)信(xin)息(xi)安(an)(an)全(quan)(quan)技(ji)(ji)術領(ling)域網(wang)(wang)站(zhan)滲(shen)透測(ce)(ce)試(shi)工(gong)作(zuo),具有(you)規(gui)劃(hua)測(ce)(ce)試(shi)方案、 編(bian)寫項(xiang)目測(ce)(ce)試(shi)計(ji)劃(hua)、編(bian)寫測(ce)(ce)試(shi)用例、測(ce)(ce)試(shi)報(bao)告的基本知識(shi)和(he)能力(li)。此(ci)證(zheng)(zheng)書(shu)為(wei)從事(shi)信(xin)息(xi)安(an)(an)全(quan)(quan)領(ling)域的工(gong)作(zuo)人(ren)(ren)員(yuan)(yuan)(yuan)提(ti)(ti)高專業(ye)(ye)資歷提(ti)(ti)供了(le)新的機遇,為(wei)各(ge)單(dan)位信(xin)息(xi)安(an)(an)全(quan)(quan)提(ti)(ti)供了(le)技(ji)(ji)術儲備(bei)、規(gui)范方法和(he)專業(ye)(ye)人(ren)(ren)才(cai),從根本上解決了(le)信(xin)息(xi)安(an)(an)全(quan)(quan)從業(ye)(ye)人(ren)(ren)員(yuan)(yuan)(yuan)的專業(ye)(ye)水(shui)(shui)平問題,從而提(ti)(ti)高各(ge)單(dan)位信(xin)息(xi)安(an)(an)全(quan)(quan)的綜合實(shi)力(li),全(quan)(quan)面提(ti)(ti)升網(wang)(wang)絡安(an)(an)全(quan)(quan)服務保(bao)障能力(li)和(he)水(shui)(shui)平,請各(ge)單(dan)位積(ji)極組織(zhi)參加。
二、CISP-PTE介紹(shao)
注冊信息(xi)安(an)全(quan)(quan)專業(ye)(ye)人員(yuan)攻(gong)防領域(CISP-PTE)培訓是(shi)由(you)中國(guo)信息(xi)安(an)全(quan)(quan)測評中心統(tong)一管理和規范的(de)信息(xi)安(an)全(quan)(quan)專業(ye)(ye)培訓,是(shi)目前國(guo)內最(zui)為(wei)主流(liu)及被(bei)業(ye)(ye)界認(ren)可的(de)專業(ye)(ye)攻(gong)防領域的(de)資質培訓。CISP-PTE目前是(shi)國(guo)內*針對網絡安(an)全(quan)(quan)滲透測試專業(ye)(ye)人才的(de)資格認(ren)證,也是(shi)國(guo)家對信息(xi)安(an)全(quan)(quan)人員(yuan)資質的(de)最(zui)高(gao)認(ren)可。
在(zai)整個(ge)注冊(ce)信(xin)息安(an)全(quan)(quan)專業(ye)人(ren)員(yuan)-滲透(tou)測試(CISP-PTE)的知識(shi)(shi)體系結構中(zhong), 共包括 web 安(an)全(quan)(quan)基礎、中(zhong)間件安(an)全(quan)(quan)基礎、操作系統安(an)全(quan)(quan)基礎、數據(ju)庫安(an)全(quan)(quan)基礎這(zhe)四個(ge)知識(shi)(shi)類(lei)(lei),每(mei)(mei)個(ge)知識(shi)(shi)類(lei)(lei)根據(ju)其邏輯劃分為多個(ge)知識(shi)(shi)體,每(mei)(mei)個(ge)知識(shi)(shi)體包含多個(ge)知識(shi)(shi)域,每(mei)(mei)個(ge)知識(shi)(shi)域由(you)一(yi)個(ge)或多個(ge)知識(shi)(shi)子域組成(cheng)。
CISP-PTE 知識(shi)體(ti)系結構共包含四個(ge)知識(shi)類,分別為(wei):
1)web安全(quan)基礎:主要包括(kuo)HTTP協議、注入漏(lou)(lou)(lou)洞(dong)(dong)、XSS漏(lou)(lou)(lou)洞(dong)(dong)、SSRF漏(lou)(lou)(lou)洞(dong)(dong)、 CSRF漏(lou)(lou)(lou)洞(dong)(dong)、文(wen)件處理漏(lou)(lou)(lou)洞(dong)(dong)、訪問控制漏(lou)(lou)(lou)洞(dong)(dong)、會話管理漏(lou)(lou)(lou)洞(dong)(dong)等相關的技術知識和實踐。
2)中間件安全(quan)基礎(chu):主要包(bao)括Apache、IIS、Tomcat、weblogic、websphere、 Jboss 等相關的技術知識和(he)實(shi)踐。
3)操作(zuo)系統安全基礎(chu):主要包括Windows操作(zuo)系統、Linux操作(zuo)系統相關技(ji)術知識(shi)和(he)實踐。
4)數(shu)據(ju)庫(ku)(ku)(ku)(ku)安全基礎:主(zhu)要包括Mssql數(shu)據(ju)庫(ku)(ku)(ku)(ku)、Mysql數(shu)據(ju)庫(ku)(ku)(ku)(ku)、Oracle數(shu)據(ju)庫(ku)(ku)(ku)(ku)、Redis 數(shu)據(ju)庫(ku)(ku)(ku)(ku)相關(guan)技術知識和實踐。
三、課程大綱(gang)
第一部(bu)分:操作系統(tong)安全基(ji)礎
一(yi)、Windows
1.賬(zhang)戶安全
.賬戶的基(ji)本概念
.Windows用(yong)戶(hu)賬戶(hu)和組(zu)賬戶(hu)權(quan)限的分配(pei)
.賬(zhang)戶風險與安全策(ce)略(lve)
了(le)解Windows用戶空(kong)口令風險
了解多(duo)用戶同時使用的安全配置
了解(jie)對用戶登入(ru)事件進行審核方法
了解對遠程(cheng)登入賬號(hao)的檢查
2.文件系統安全(quan)
.文件系統基礎知識
.掌(zhang)握NTFS文件權限各類
.NTFS權(quan)限設置
.掌握通過ACL控制列表(biao),設置目錄或者文(wen)件的用(yong)戶訪問權(quan)限
.掌握命令行下修改目錄或者文件(jian)的(de)訪問(wen)權(quan)限的(de)方法(fa)
3.日志分析(xi)
.系統日志(zhi)的分類
.了解(jie)Windows系統日志的種類
.了解Windows安全日志的登入類(lei)型(xing)
.日志的審計(ji)方法
.掌握(wo)日(ri)志審計的方法
二、Linux
1.賬戶(hu)安(an)全
.賬戶的基本概(gai)念
.了解Linux系統中的賬號和組
.賬戶風險(xian)與(yu)安全策略
.了解弱口令(ling)密(mi)碼帶(dai)來的風險
.掌握檢查空口(kou)令的方法
.掌握(wo)檢查(cha)系(xi)統中是否存在其它ID為0的(de)用戶的(de)方(fang)法(fa)
2.文件系統安全
.文件系統的(de)格式
.了解(jie)Linux文(wen)件系統的文(wen)件格(ge)式分類(lei)
.安(an)全訪問與權限(xian)設置
.掌握如何檢查系統中存在(zai)的SUID和(he)SGID程序
.掌握檢(jian)查系統中任何(he)人都有寫權限的目錄(lu)的方法
.掌握修改目錄和文件權(quan)限的方法
.掌握搜(sou)索文(wen)件內容的方法
3.日志分析(xi)
.系統(tong)日志的分(fen)類
.了解Linux系統的(de)日(ri)志(zhi)種(zhong)類
.了解Linux日志文(wen)件
.系統日志的審計(ji)方法
.掌握使用(yong)常(chang)用(yong)的(de)日(ri)志(zhi)查看命(ming)令(ling),進行日(ri)志(zhi)審計(ji)的(de)方法
第二(er)部分:數據庫安(an)全基礎(chu)
一(yi)、關系型數據(ju)庫
1.MSSQL
.MSSQL角(jiao)色與(yu)權限
.了(le)解(jie)MSSQL數據(ju)庫在操作(zuo)系統(tong)中啟動的權限
.掌(zhang)握MSSQL數據庫中服務(wu)器角色(se)和數據庫角色(se)
.掌(zhang)握MSSQL存在SA弱口令(ling)和空口令(ling)帶來的危害
.MSSQL存儲過程安全
.掌握MSSQL數(shu)據庫執行系(xi)統命令(ling)或者(zhe)操作系(xi)統文件的存儲過(guo)程
.掌握MSSQL提升權限的方法
2.MYSQL
.MYSQL權限與設(she)置(zhi)
.了解(jie)MYSQL在操作系統(tong)中運行(xing)的權限
.了解MYSQL賬戶的安全(quan)策略
.了解MYSQL遠程(cheng)訪問的控制方法
.了解MYSQL數據庫所在(zai)目錄的權(quan)限控制
.MYSQL內置函(han)數風險(xian)
.掌握MYSQL數據庫常(chang)用函數
.掌握MYSQL數據庫(ku)權限提升(sheng)的方(fang)法(fa)
3.Oracle
.ORACLE角色(se)與權限(xian)
.了(le)解ORACLE數據(ju)庫的(de)賬號管理與(yu)授(shou)權(quan)
.了解為不同管理(li)員(yuan)分配不同的賬(zhang)號的方(fang)法
.了解設置管(guan)理public角色的程序包(bao)執(zhi)行權限(xian)
4.ORACLE安全風(feng)險
.了(le)解限(xian)制庫文件的(de)訪問權限(xian)
.掌握ORACLE執(zhi)行(xing)系統(tong)命(ming)令的(de)方法
二、非關(guan)系型數據庫(ku)
.RedisRedis權(quan)限與設置了解Redis數據庫(ku)運行(xing)權(quan)限
了解(jie)Redis數據庫的默認(ren)端(duan)口
Redis未(wei)授權(quan)訪(fang)問(wen)風險掌握Redis未(wei)授權(quan)訪(fang)問(wen)的危(wei)害(hai)
掌握Redis開啟授權的(de)方法
第三部(bu)分(fen):中間(jian)件(jian)安全(quan)基礎
一、主流(liu)的中間件
1.Apache
.Apache服務器的安全設置
.了解當前Apache服(fu)務(wu)器的運行權限(xian)
.了解(jie)控(kong)制配置文件(jian)和日志文件(jian)的權(quan)限,防止未(wei)授權(quan)訪問
.了解設置日(ri)志(zhi)記錄文件、記錄內(nei)容、記錄格(ge)式
.了(le)解禁止Apache服務器(qi)列(lie)表顯示(shi)文件的方法
.了解修改Apache服務器錯誤頁面重(zhong)定向的方(fang)法(fa)
.掌握(wo)設置WEB目(mu)錄的讀寫(xie)權(quan)限,腳本執行權(quan)限的方(fang)法
.Apache服(fu)務器文件名解析漏洞
.了解Apache服務器解析漏洞的利用方式
.掌握Apache服務器文件(jian)名解析漏(lou)洞的防御(yu)措施(shi)
.Apache服(fu)務(wu)器日志(zhi)審計方法
.掌握Apache服務器(qi)日志(zhi)審(shen)計方法
2.IISIIS
.服務器(qi)的安全設(she)置
.了解(jie)身份驗證功能,能夠對訪問用戶進行控制
.了解利用(yong)賬號控(kong)制WEB目錄的訪(fang)問(wen)(wen)權限,防止跨目錄訪(fang)問(wen)(wen)
.了解為每個站點設(she)置單獨(du)(du)的應用程序(xu)池和單獨(du)(du)的用戶的方(fang)法
.了(le)解取消(xiao)上傳(chuan)目錄(lu)的可執(zhi)行腳本的權限的方法(fa)
.啟(qi)用或禁止日志(zhi)(zhi)記錄,配置日志(zhi)(zhi)的記錄選項(xiang)
.IIS服務(wu)器常見(jian)漏(lou)洞(dong)
.掌握IIS6、IIS7的(de)文(wen)件名解析漏洞(dong)
.掌握IIS6寫(xie)權限的利用
.掌握IIS6存(cun)在的短文件名漏洞
.IIS服務器日志審計方法(fa)
.掌握IIS日志的審(shen)計方法
3.Tomcat
.Tomcat服務器的(de)安全設置
.了解Tomcat服務(wu)器(qi)啟(qi)動的(de)權限
.了(le)解Tomcat服務器(qi)后(hou)臺管(guan)理(li)地址和修(xiu)改管(guan)理(li)賬號密碼的方法
.了(le)解隱藏Tomcat版本信息的方法
.了(le)解如(ru)何關閉不必要的接口(kou)和功(gong)能
.了解如何禁止(zhi)目錄列表,防止(zhi)文(wen)件名泄(xie)露
.掌(zhang)握Tomcat服務器通過后臺獲取權限的方法
.掌握Tomcat樣例目錄session操縱漏洞(dong)
.Tomcat服務器(qi)的日志審(shen)計方法
.了解(jie)Tomcat的(de)日(ri)志(zhi)種類
.掌握Tomcat日志的審計方(fang)法
二、JAVA開發的中間件
1.weblogic
.Weblogic的安全設置
.了解Weblogic的啟動權限(xian)
.了解修(xiu)改Weblogic的默認開放(fang)端口的方(fang)法
.了解禁止Weblogic列表顯示文(wen)件的方(fang)法
.Weblogic的漏洞利用(yong)與防范
.掌握Weblogic后臺獲(huo)取權(quan)限的方法
.掌握Weblogic存在(zai)的SSRF漏(lou)洞
.掌(zhang)握(wo)反序列(lie)化漏(lou)洞對Weblogic的影響
.Weblogic的日志審(shen)計方(fang)法
.掌握Weblogic日志的審計方法
2.websphereWebsphere的(de)安(an)全設(she)置
.了(le)解(jie)Websphere管(guan)理(li)的(de)使(shi)用
.了解Websphere的安全配置
.Websphere的漏洞利用與防范
.掌握反序列化(hua)漏(lou)洞對Websphere的影響
.掌握Websphere后臺獲取(qu)權限的方法
.Websphere的日志審計(ji)方法
.掌(zhang)握Websphere的日志審計
3.Jboss
.Jboss的安全設(she)置
.了解設(she)置jmx-console/web-console密碼的(de)方(fang)法
.了解開啟(qi)日志功能的方法
.了解設置通訊(xun)協議,開啟HTTPS訪問
.了解修改WEB的訪問(wen)端口
.Jboss的漏洞利用與(yu)防范
.掌握反序列(lie)化漏洞對Jboss的影響
.JMXInvokerServlet/jmx-console/web-console漏洞利(li)用與防范
.Jboss的日志審計(ji)方法(fa)
.掌握Jboss日(ri)志(zhi)審(shen)計的方(fang)法
第四部分:web安全基(ji)礎
一、HTTP協議
1.HTTP請求方法
.HTTP1.0的(de)請求(qiu)方法
.掌握HTTP1.0三種請求方法:GET/POST/HEAD
.掌握GET請求的標準(zhun)格式
.掌握POST請求提交(jiao)表彰(zhang),上傳文件(jian)的方法
.了解HEAD請(qing)求與(yu)GET請(qing)求的區別
.HTTP1.1新(xin)增(zeng)的請求(qiu)方(fang)法
.了解HTTP1.1新增了五種請求方(fang)法:OPTIONS/PUT/DELETE/TRACE和CONNECT方(fang)法的基本概念
.掌握HTTP1.1新增的五種請(qing)求的基本方法和產(chan)生的請(qing)求結果
2.HTTP狀態碼
HTTP狀態碼的分類
.了解HTTP狀態碼的規范
.了(le)解HTTP狀(zhuang)態(tai)碼的作用(yong)
.掌握常見的HTTP狀(zhuang)態碼(ma)
.HTTP狀態碼的(de)含義
.了解HTTP狀態碼(ma)2**、3**、4**、5**代表的(de)含義
.掌握用計算機語言獲取(qu)HTTP狀態(tai)碼(ma)的方法(fa)
3.HTTP協議響應(ying)頭信息
.HTTP響應頭的類型(xing)
.了解常見的HTTP響應頭
.掌握HTTP響(xiang)應頭的作用
.HTTP響應頭的含義
.了解HTTP響應頭(tou)的名稱
.掌握(wo)HTTP響應頭(tou)的格式
4.HTTP協議的(de)URL
.URL的定義
.了解(jie)URL的基本概(gai)念
.URL的格(ge)式(shi)
.了解(jie)URL的結構
.掌握URL編碼格(ge)式
二、注入漏(lou)洞
1.SQL注入
.SQL注入概念
.了解SQL注(zhu)入漏洞原理
.了(le)解(jie)SQL注入漏洞(dong)對(dui)于數據安全(quan)的影響
.掌(zhang)握SQL注入(ru)漏洞的方法
.SQL注入漏洞類型
.了解常見數據庫的(de)SQL查(cha)詢語法
.掌握MSSQLMYSQLORACLE數據庫的注入方(fang)法
.掌握SQL注入(ru)漏洞的類型(xing)
.SQL注入漏洞安全防(fang)護
.掌握SQL注入漏洞修復和防范方法
.掌握一些(xie)SQL注入漏洞檢測工具的使用方(fang)法
2.xml注入(ru)
.xml注入概念
.了解什(shen)么是xml注(zhu)入漏洞
.了(le)解xml注入漏洞(dong)產生(sheng)的(de)原(yuan)因
.xml注入漏洞(dong)檢測與防護(hu)
.掌握xml注入漏(lou)洞的利用方式(shi)
.掌握如何修復(fu)xml注(zhu)入漏洞
3.代碼注入
.遠程文件包(bao)含(han)漏(lou)洞(RFI)
.了解什么是遠(yuan)程文(wen)件包含漏洞
.了解遠程文件包(bao)含漏洞(dong)所用(yong)到(dao)的函(han)數
.掌握遠程文件包(bao)含漏(lou)洞(dong)的利用方式
.掌握遠(yuan)程文件包含(han)漏洞代(dai)碼審計方法(fa)
.掌握修復遠程文(wen)件包含漏洞(dong)的(de)方法(fa)
.本地文件包含漏洞(dong)(LFI)
.了解什么是本地文件包含漏洞
.了解本地文(wen)件包含漏洞產生的(de)原因(yin)
.掌握本(ben)地文件包含漏洞利用的方式
.了解PHP語言中的封裝協(xie)議
.掌握本(ben)地文件包含漏洞修復(fu)方法
.命令執行漏(lou)洞(CI)
.了解什么(me)是命令注入漏洞
.了(le)解命令(ling)注(zhu)入漏洞(dong)對系統安(an)全產生的危(wei)害(hai)
.掌握腳本(ben)語言中(zhong)可以(yi)執行(xing)系(xi)統命令(ling)的函(han)數
.了(le)解(jie)第(di)三方組件存在的(de)代碼執行漏洞,如struts2
.掌(zhang)握命令(ling)注入漏洞的修(xiu)復方法(fa)
三、XSS漏洞
1.存(cun)儲式XSS
.存(cun)儲式XSS的概念
.了解什么是(shi)存儲式XSS漏洞
.了解存(cun)儲式XSS漏洞對安全的影(ying)響
.存儲式XSS的檢(jian)測
.了解(jie)存儲式(shi)XSS漏洞的(de)特征和檢測方法
.掌(zhang)握存儲(chu)式XSS漏洞的危害(hai)
.存儲(chu)式XSS的安全防護(hu)
.掌握修復存儲式XSS漏洞的方式
.了解常(chang)用WEB漏洞(dong)掃描(miao)工具對存儲式(shi)XSS漏洞(dong)掃描(miao)方法
2.反(fan)射(she)式XSS
.反射式XSS的概念
.了解什么是反射式XSS漏洞
.了解反射式XSS漏洞與存儲式XSS漏洞的(de)區別
.反射式XSS的利用與(yu)修(xiu)復
.了解反(fan)射式XSS漏洞的觸發形式
.了解反(fan)射式XSS漏洞利用的(de)方(fang)式
.掌握反射(she)式XSS漏洞(dong)檢測與修復方法(fa)
3.DOM式XSS
.DOM式XSS的(de)特(te)征
.了(le)解什么是DOM式XSS漏洞(dong)
.掌握DOM式(shi)XSS漏洞的觸(chu)發形式(shi)
.DOM式(shi)XSS的防御(yu)
.掌握DOM式XSS漏洞(dong)的檢測方法
.掌握(wo)DOM式XSS漏洞的修復(fu)方法
4.SSRF漏(lou)洞
.了解什么是SSRF漏(lou)洞(dong)
四(si)、請求(qiu)偽造漏洞
1.服務(wu)端請求偽造漏洞概念
.了解(jie)利用(yong)SSRF漏洞進行端口(kou)探測(ce)的方(fang)法
.服務(wu)端請求漏洞(dong)的(de)檢測與防護
.掌(zhang)握SSRF漏洞的(de)檢測方法
.了解SSRF漏洞(dong)的修復方法(fa)
2.CSRF漏(lou)洞跨站
.請(qing)求偽造漏洞概念
.了解CSRF漏洞產生(sheng)的原因
.理(li)解CSRF漏洞的原(yuan)理(li)
.跨站請求漏(lou)洞(dong)的(de)危害與防御
.了(le)解(jie)CSRF漏(lou)洞與(yu)XSS漏(lou)洞的區別
.掌握CSRF漏(lou)洞(dong)的挖掘和修復方法
五(wu)、文件處理漏洞
1.任意文(wen)件(jian)上(shang)傳
.上傳漏(lou)洞的原理(li)與分析
.了解任意(yi)文(wen)件上傳漏洞(dong)產生的原因(yin)
.了解服務(wu)端語言對上傳文件類型限制方法
.上傳漏洞(dong)的檢測與(yu)防范(fan)
.了解任(ren)意文件上傳漏洞的危害(hai)
.掌握上傳漏洞(dong)的檢測(ce)思路和修(xiu)復(fu)方(fang)法(fa)
2.任意文件(jian)下載
.文(wen)件下載漏洞的原理與(yu)分析(xi)
.了解(jie)什么是文件下載漏洞
.掌握(wo)通過(guo)文(wen)(wen)件下載漏洞(dong)讀取服務(wu)端文(wen)(wen)件的方法(fa)
.文件下載(zai)漏(lou)洞的檢測(ce)與(yu)防范
.掌握能夠通過(guo)代(dai)碼審(shen)計和測試(shi)找到文件下載漏(lou)洞
.掌(zhang)握修(xiu)復文件下載(zai)漏洞的方法
六、訪問控制(zhi)漏(lou)洞
1.橫向越權
.橫向越權漏洞的概念
.了(le)解(jie)橫向越(yue)權漏洞的基本概念
.了解橫向越權漏洞的(de)形(xing)式(shi)
.橫向越(yue)權(quan)漏(lou)洞的檢測與防范
.了解橫(heng)向越(yue)權漏洞對網站安(an)全的影響(xiang)
.掌(zhang)握橫向越權漏(lou)洞(dong)的測試和修復方法
2.垂直越權
.垂直越權漏洞的概念
.了解垂(chui)直越權漏洞的基本概(gai)念(nian)
.了解(jie)垂(chui)直越權漏(lou)洞的(de)種類和形式
.垂直越權(quan)漏洞的檢測(ce)與防范
.了解對網站安全的(de)影(ying)響
.掌握(wo)越權漏洞的測試(shi)方法和修復(fu)
七、會話管理漏洞(dong)
1.會話(hua)劫持
.會話劫(jie)持漏洞的(de)概念與(yu)原理
.了解什么(me)是會話劫持(chi)漏洞
.了解會話劫持漏(lou)洞的危害
.會話劫持(chi)漏洞基本防御(yu)方法
.了解Session機制(zhi)
.了解(jie)httponly的設置方法
.掌握(wo)會話劫(jie)持漏洞防(fang)御方法
2.會話(hua)固定
會話固(gu)定漏洞的(de)概念與原理
.了(le)解什么是會(hui)話固(gu)定漏(lou)洞
.了解會(hui)話固定漏洞(dong)的檢測方法
.會話固定(ding)漏洞基本防(fang)御方法
.了解會話固(gu)定漏洞的(de)形(xing)成的(de)原因
.了解會話(hua)固(gu)定(ding)漏洞的(de)風(feng)險
.掌握會話(hua)固定漏洞(dong)的防范方法
四、授課專(zhuan)家
高老師 十二年信息(xi)安全(quan)領(ling)域工作經驗,具有豐富的(de)教學和(he)實踐(jian)經驗,擁有安全(quan)領(ling)域多項資質(zhi)認(ren)證,如(ru)CISICISPCISAWCISSPCISASecurity+等,現任某(mou)985高校(xiao)信息(xi)中(zhong)心副主任,北京某(mou)大型企業的(de)信息(xi)安全(quan)高級顧(gu)問。授課過程理論與實踐(jian)并重(zhong),深入淺出,講課詼諧(xie)幽默、氣(qi)氛(fen)活躍,深受廣大學員(yuan)好評。
注冊信息安全專業人員CISP-PTE 滲透測試工程師認證培訓
轉載://citymember.cn/gkk_detail/235322.html
已開課時(shi)間Have start time
IT相關內訓
- 滲透測試與攻防實戰高級課程 張勝生
- 互聯網新技術在銀行的應用 武威
- IT崗位數智化能力提升路徑 甄文智
- CISSP認證培訓課程 張勝生
- 電力信息化:價值和建設分析 劉(liu)宇佳
- 軟件安全意識加強與技能提高 張(zhang)勝生
- 網安管理崗培訓 張勝(sheng)生
- 云計算的應用領域和實踐 武威(wei)
- Fine BI 數據分析與 張曉(xiao)如
- 信息安全風險評估與加固技能 張勝生
- 大模型技術與應用培訓 葉梓
- Python高效辦公自動化 張曉如(ru)