CISP-PTE知识体系大纲.pdf-资料库

45c6afd2-fba1-4b88-bdca-8c8fdc669254.pdf-第1页.png

第1页 / 共36页

45c6afd2-fba1-4b88-bdca-8c8fdc669254.pdf-第2页.png

第2页 / 共36页

45c6afd2-fba1-4b88-bdca-8c8fdc669254.pdf-第3页.png

第3页 / 共36页

45c6afd2-fba1-4b88-bdca-8c8fdc669254.pdf-第4页.png

第4页 / 共36页

45c6afd2-fba1-4b88-bdca-8c8fdc669254.pdf-第5页.png

第5页 / 共36页

45c6afd2-fba1-4b88-bdca-8c8fdc669254.pdf-第6页.png

第6页 / 共36页

45c6afd2-fba1-4b88-bdca-8c8fdc669254.pdf-第7页.png

第7页 / 共36页

45c6afd2-fba1-4b88-bdca-8c8fdc669254.pdf-第8页.png

第8页 / 共36页

注册信息安全专业人员-渗透测试工程师（CISP-PTE）知识体系大纲注册信息安全专业人员渗透测试工程师知识体系大纲发布日期：2017 年 5 月 22 日生效日期：2017 年 6 月中国信息安全测评中心网神信息技术（北京）股份有限公司 ©版权 2017-攻防领域考试中心

注册信息安全专业人员-渗透测试工程师（CISP-PTE）知识体系大纲第 1 章前言 ..................................................... 1 第 2 章注册信息安全专业人员-渗透测试工程师（CISP-PTE）知识体系概述 2 2.1 CISP-PTE 知识体系框架结构 ..................................... 2 2.2 CISP-PTE 考试试题结构 ......................................... 4 第 3 章知识类：Web 安全基础 ....................................... 5 3.1 知识体：HTTP 协议 ............................................. 5 3.1.1 知识域：HTTP 请求方法 ..................................... 6 3.1.2 知识域：HTTP 的状态码 ..................................... 6 3.1.3 知识域：HTTP 协议响应头信息 ............................... 6 3.1.4 知识域：HTTP 协议中的 URL .................................. 7 3.2 知识体：注入漏洞 .............................................. 7 3.2.1 知识域：SQL 注入 .......................................... 7 3.2.2 知识域：XML 注入 .......................................... 8 3.2.3 知识域：代码注入 .......................................... 9 3.3 知识体：XSS 漏洞 ............................................. 10 3.3.1 知识域：存储式 XSS 漏洞 ................................... 11 3.3.2 知识域：反射式 XSS 漏洞 ................................... 11 3.3.3 知识域：DOM 式 XSS 漏洞 ................................... 12 3.4 知识体：请求伪造漏洞 ......................................... 12 3.4.1 知识域：SSRF 漏洞 ........................................ 12 3.4.2 知识域：CSRF 漏洞 ........................................ 13 3.5 知识体：文件处理漏洞 ......................................... 14 3.5.1 知识域：任意文件上传 ..................................... 14 3.5.2 知识域：任意文件下载 ..................................... 14 3.6 知识体：访问控制漏洞 ......................................... 15 3.6.1 知识域：横向越权 ......................................... 15 3.6.2 知识域：垂直越权 ......................................... 16 3.7 知识体：会话管理漏洞 ......................................... 16

注册信息安全专业人员-渗透测试工程师（CISP-PTE）知识体系大纲 3.7.1 知识域：会话劫持 ......................................... 17 3.7.2 知识域：会话固定 ......................................... 17 第 4 章知识类：中间件安全基础 .................................... 18 4.1 知识体：主流的中间件 ......................................... 18 4.1.1 知识域：Apache ........................................... 19 4.1.2 知识域：IIS .............................................. 19 4.1.3 知识域：Tomcat ........................................... 20 4.2 知识体：JAVA 开发的中间件 .................................... 21 4.2.1 知识域：Weblogic ......................................... 21 4.2.2 知识域：Websphere ........................................ 22 4.2.3 知识域：Jboss ............................................ 22 第 5 章知识类：操作系统安全基础 .................................. 24 5.1 知识体：Windows 操作系统 ..................................... 24 5.1.1 知识域：账户安全 ......................................... 24 5.1.2 知识域：文件系统安全 ..................................... 25 5.1.3 知识域：日志分析 ......................................... 25 5.2 知识体：Linux 操作系统 ....................................... 26 5.2.1 知识域：账户安全 ......................................... 26 5.2.2 知识域：文件系统安全 ..................................... 27 5.2.3 知识域：日志分析 ......................................... 27 第 6 章知识类：数据库安全基础 .................................... 28 6.1 知识体：关系型数据库 ......................................... 28 6.1.1 知识域：Mssql 数据库 ..................................... 29 6.1.2 知识域：Mysql 数据库 ..................................... 29 6.1.3 知识域：Oracle 数据库 .................................... 30 6.2 知识体：非关系型数据库 ....................................... 30 6.2.1 知识域：Redis 数据库 ..................................... 31 第 7 章题型示例 .................................................. 32 7.1 客观单项选择题 ............................................... 32 7.2 实操题 ....................................................... 32

注册信息安全专业人员-渗透测试工程师（CISP-PTE）知识体系大纲第1章前言信息安全作为我国信息化建设健康发展的重要因素，关系到贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会和建设创新型社会等国家战略举措的实施，是国家安全的重要组成部分。在信息系统安全保障工作中，人是最核心、也是最活跃的因素，人员的信息安全意识、知识与技能已经成为保障信息系统安全稳定运行的重要基本要素之一。注册信息安全专业人员（CISP）是对我国网络基础设施和重要信息系统的信息安全专业人员进行资质评定的重要形式。多年来为落实我国有关政策“加快信息安全人才培养，增强全民信息安全意识”的指导精神，构建信息安全人才体系发挥了巨大作用。本大纲从我国国情出发，结合我国网络基础设施和重要信息系统安全保障的实际需求，以知识体系的全面性和实用性为原则，明确规定了注册信息安全专业人员应当掌握的知识要点，是 CISP 教材编制，讲师授课，学员学习，以及考试命题的重要依据。本大纲包含以下章节：第1章渗透测试工程师（CISP-PTE）知识体系概述第2章知识类：web 安全基础第3章知识类：中间件安全基础第4章知识类：操作系统安全基础第5章知识类：数据库安全基础 1

注册信息安全专业人员-渗透测试工程师（CISP-PTE）知识体系大纲第2章注册信息安全专业人员-渗透测试工程师（CISP-PTE）知识体系概述注册信息安全专业人员-渗透测试工程师，英文为 Certified Information Security Professional - Penetration Test Engineer ，简称 CISP-PTE。证书持有人员主要从事信息安全技术领域网站渗透测试工作，具有规划测试方案、编写项目测试计划、编写测试用例、测试报告的基本知识和能力。 2.1 CISP-PTE 知识体系框架结构 CISP-PTE 知识体系使用组件模块化的结构，包括知识类、知识体、知识域、知识子域四个层次。知识类：是对渗透测试知识领域的总体划分，包含信息安全专业人员需要掌握的四大知识类别；知识体：是知识类中由属于同一技术领域的知识内容构成的相对独立、成体系的知识集合；知识域：是对知识体进一步分解细化形成的完整的知识组件；知识子域：是构成知识域的基本模块，由一至多个具体知识要点构成。本大纲规定了知识子域中每一个知识要点的内容和深度要求，分为“了解”、 “理解”和“掌握”三类。了解：是最低深度要求，学员需要正确认识该知识要点的基本概念和原理；理解：是中等深度要求，学员需要在正确认识该知识要点的基本概念和原理的基础上，深入理解其内容，并可以进一步的判断和推理；掌握：是最高深度要求，学员需要正确认识该知识要点的概念、原理，并在深入理解的基础上灵活运用。图 1-1 述了 CISP-PTE 知识体系的结构 2

注册信息安全专业人员-渗透测试工程师（CISP-PTE）知识体系大纲图 2-1：CISP-PTE 知识体系的组件模块结构在整个注册信息安全专业人员-渗透测试（CISP-PTE）的知识体系结构中，共包括 web 安全基础、中间件安全基础、操作系统安全基础、数据库安全基础这四个知识类，每个知识类根据其逻辑划分为多个知识体，每个知识体包含多个知识域，每个知识域由一个或多个知识子域组成。 CISP-PTE 知识体系结构共包含四个知识类，分别为： web 安全基础：主要包括 HTTP 协议、注入漏洞、XSS 漏洞、SSRF 漏洞、 CSRF 漏洞、文件处理漏洞、访问控制漏洞、会话管理漏洞等相关的技术知识和实践。中间件安全基础：主要包括 Apache、IIS、Tomcat、weblogic、websphere、 Jboss 等相关的技术知识和实践。操作系统安全基础：主要包括 Windows 操作系统、Linux 操作系统相关技术知识和实践。数据库安全基础：主要包括 Mssql 数据库、Mysql 数据库、Oracle 数据库、Redis 数据库相关技术知识和实践。图 1-2 述了 CISP-PTE 知识体系结构框架： 3

注册信息安全专业人员-渗透测试工程师（CISP-PTE）知识体系大纲 HTTP 协议请求伪造漏洞会话管理漏洞 Apache 注入漏洞文件处理漏洞访问控制漏洞 Jboss XSS 漏洞 WEB 安全基础操作系统安全基础 Windows 操作系统 Linux 操作系统注册信息安全专业人员-渗透测试工程师（CISP-PTE）知识体系结构 Tomcat Weblogic IIS 中间件安全基础 Mssql 数据库 Oracle 数据库 Mysql 数据库 Redis 数据库图 2-2：CISP-PTE 知识体系结构框架数据库安全基础 2.2 CISP-PTE 考试试题结构 CISP-PTE 考试题型为客观题、实操题。客观题为单项选择题，共 20 题，每题 1 分；实操题共 80 分。总分共 100 分，得到 70 分以上（含 70 分）为通过。 “注册信息安全人员-渗透测试工程师”（CISP-PTE）需要学习和掌握 CISP-PTE 知识体系结构框架中的所有内容。表 2-1：CISP-PTE 试题结构知识类别 Web 安全基础中间件安全基础操作系统安全基础数据库安全基础占比 40% 20% 20% 20% 4 题型实操客观+实操客观+实操客观+实操

注册信息安全专业人员-渗透测试工程师（CISP-PTE）知识体系大纲第3章知识类：Web 安全基础 Web 安全基础是渗透测试工程师需要掌握的主题知识内容之一，通过本部分的学习，学员应当：了解 HTTP 协议的基础知识，掌握 HTTP 协议在实际工作中的使用掌握注入漏洞相关知识以及相关的漏洞修复方法掌握 XSS 漏洞的多种形式和防御方法掌握请求伪造漏洞的危害和相应的检测方法掌握文件处理漏洞的分类和代码审计方法掌握访问控制漏洞的分类和漏洞防御方法掌握会话管理漏洞的特性和防护方法 3.1 知识体：HTTP 协议 HTTP 协议知识体 HTTP 请求方法 HTTP 状态码 HTTP 协议响应头信息 HTTP 协议的 URL HTTP1.0 的请求方法 HTTP1.1 新增的请求方法 HTTP 状态码的分类 HTTP 状态码的含义 HTTP 响应头的类型 HTTP 响应头的含义 URL 的定义 URL 的格式知识域知识子域图 3-1：知识体：WEB安全基础 5

资料库

CISP-PTE知识体系大纲.pdf

相关推荐

考试认证

热门标签

最新资料