CISP-PTE注册渗透测试工程师培训课程

 

一、CIS*-PTE是什么

 

中国信息安全测评中心(以下简称中心)是经中央批准成立的国家信息安全权威测评机构,职能是开展信息安全漏洞分析和风险评估工作,对信息技术产品、信息系统和工程的安全性进行测试与评估。对信息安全服务和人员的资质进行审核与评价。英文名称为:China Information Technology Security Evaluation Center,简称:CNITSEC。

中国信息安全测评中心始建于1997年,1998年以“中国互联网络安全产品测评认证中心”的名称试运行。同年经国家技术监督局授权为“中国国家信息安全测评认证中心”。2001年,中央机构编制委员会将其正式定名为“中国信息安全产品测评认证中心”,并批准了相应的职能任务和机构编制。2007年,经中央批准,增加漏洞分析和风险评估职能,更名为“中国信息安全测评中心”,成为国家信息安全专控队伍。

注册信息安全专业人员渗透测试工程师,英文为Certified Information Security Professional - Penetration Test Engineer,简称CIS*-PTE。该考试是为了锻炼考生实际解决网络安全问题的能力,有效增强我国网络安全防御能力,促进国家企事业单位网络防御能力不断提高,以发现人才,选拔优秀人才而设立的技能水平考试。

考试内容从多个角度出发,通过客观题与实际操作题相结合的形式,来考核考生的能力,通过多个得分点,对考生全面的考核,考生需要了解最新的网络安全技术,跟踪最新的网络安全动态,能够在真实的网络环境中发现问题和解决问题。同时,也可以为网络安全专业的学生提高自身价值和自身影响力,提供更好的学习素材,为更多热爱网络安技术、有志于从事网络安全事业的人员提供了一个更加具有优势的平台。 证书持有人员主要从事信息安全技术领域网站渗透测试工作,具有规划测试方案、编写项目测试计划、编写测试用例、测试报告的基本知识和能力。
 

二、CIS*-PTE适合谁学?

安全测试人员
安全运维人员
风险评估工程师
网络安全管理人员
信息安全相关专业高校生等
 

三、学习CIS*-PTE可以获得什么?

为企业提供可降低网络安全风险的解决方案,规避或降低企业安全漏洞造成的攻击风险;
提升个人在信息安全领域技术水平,体现个人专业能力;
 

四、CIS*-PTE课程内容大纲

CIS*-PTE知识体系结构框架

CIS*-PTE知识体系结构框架
(注:其中红色字体为仅在CIS*-PTS注册培训及考试中要求掌握的知识内容。)

序号

课程主题

课程体系

课程内容

课时

1

Web安全基础

HTTP协议

  • HTTP请求方法
  • HTTP状态码
  • HTTP协议响应头信息
  • HTTP协议的URL

18

注入漏洞

  • SQL注入
  • XML注入
  • 代码注入

跨站脚本(XSS)漏洞

  • 存储式XSS
  • 反射式XSS
  • DOM式XSS

请求伪造漏洞

  • SSRF漏洞
  • CSRF漏洞

文件处理漏洞

  • 任意文件上传
  • 任意文件下载

访问控制漏洞

  • 横向越权
  • 垂直越权

会话管理漏洞

  • 会话劫持
  • 会话固定

2

中间件安全基础

主流的中间件

  • Apache
  • IIS
  • Tomcat

10

3

操作系统安全基础

Windows 操作系统

  • 账户安全
  • 文件系统安全
  • 日志分析

10

Linux 操作系统

  • 账户安全
  • 文件系统安全
  • 日志分析

4

数据库安全基础

关系型数据库

  • Mssql数据库
  • Mysql数据库

10

5

渗透测试

渗透测试方法

  • 信息收集
  • 漏洞发现
  • 漏洞利用

 

五、培训考试安排

学习方式:面授或在线直播;
培训时间:8天
考试情况:线下机考,考试题型为客观题、实操题。客观题为单项选择题,共20题,每题1分;实操题共80分。总分共100分,得到70分以上(含70分)为通过。
 

六、师资力量

韦老师

多年渗透测试经验,曾参与三大运营商、能源、电力的重大安全保障项目;参加国家网络安全专项行动,并取得重要成果;国家 cert 支撑工作,曾提交千余个cnvd 漏洞,包括新华社、运营商、国电、国投等国家重点单位的漏洞。
 

冯老师

高级网络安全攻防专家,专注网络/安全攻防、CTF/攻防竞赛、企业网络安全等级保护建设;河南省信息安全与攻防技术大赛组委会委员,《信息系统安全测评教程》参编人员、中原工学院 DROPS 攻防训练营指导老师。