學網絡,就在IE-LAB
國內最著名的高端網絡工程師培養基地
網絡安全在當今不論是生活、工作甚至上升至國家安全都是無比重要的,而且作為一名網絡安全從業者,薪資自然也是十分可觀的。那麼,想成為網絡安全全棧工程師,你應該拿下什麼證書呢?
CISP-PTE認證簡介
首註冊信息安全專業人員-滲透測試工程師(Certified Information Security Professional - Penetration Test Engineer )簡稱 CISP-PTE,證書持有人員主要從事信息安全技術領域網站滲透測試工作,具有規劃測試方案、編寫項目測試計劃、編寫測試用例、測試報告的基本知識和能力。
課程大綱預覽
本次CISP-PTE認證第四期培訓於4月25日開班,課表見下表:
培訓內容
第一天
CISP-PTE考試大綱內容講解及考試重點
信息安全基礎
HTTP協議基礎
WEB安全知識體系介紹
信息收集(端口掃描、目錄掃描、敏感文件洩漏)
SQL注入漏洞原理、類型(整型、字符型、cookie、時間延時注入、盲注等類型)
第二天
SQL注入漏洞原理、類型(整型、字符型、cookie、時間延時注入、盲注等類型)
數據庫基礎(數據庫結構、數據庫權限、常見的查詢語句、增刪改查語句)
SQL注入,手工注入實戰(配合剛學的數據庫查詢語句)
SQL注入工具SQLMap的使用(tamper的使用、文件讀寫等方法)
第三天
SQL注入工具SQLMap的使用(tamper的使用、文件讀寫等方法)
XSS漏洞(存儲型、反射型、DOM型)原理、XSS漏洞實戰、XSS漏洞繞過方式
XSS漏洞防禦與修復
SSRF原理與實戰、CSRF原理與實戰、SSRF、CSRF漏洞防禦與修復
第四天
文件上傳漏洞原理、實戰;文件上傳類型、文件上傳繞過(Type、擴展名、JS等)
文件上傳漏洞的防禦與修復
任意文件下載漏洞原理、實戰
任意文件下載防禦與修復
第五天
文件包含漏洞原理、PHP中的文件包含(本地包含、遠程包含)
文件包含漏洞的防禦與修復
命令執行漏洞原理、遠程命令執行漏洞防禦
遠程代碼執行漏洞原理、防禦
Java反序列化漏洞、防禦(Jboss、webLogic等)
第六天
弱口令漏洞實戰與防禦
中間件弱口令部署木馬(Tomcat、WebLogic、JBoss)
中間件解析漏洞(IIS解析漏洞、Nginx解析漏洞、Apache解析漏洞等)
中間件的目錄遍歷
中間件目錄遍歷漏洞的修復
第七天
訪問控制漏洞(橫向越權、垂直越權漏洞的原理與修復)
會話劫持漏洞(Session的原理、HttpOnly)、會話劫持漏洞修復
常見木馬的使用(PHP木馬、ASP木馬、ASPX木馬)
Web掃描器的使用(WVS、AppScan等)
提權(簡單提權、win2003提權、win2008提權、linux提權)
第八天
提權(簡單提權、win2003提權、win2008提權、linux提權)
中間件日誌、數據庫日誌、系統日誌分析,定位攻擊者的攻擊方式和IP
本期培訓知識點彙總
CISP-PTE考試須知:CISP-PTE考試題型為客觀題、實操題。客觀題為單項選擇題,共 20 題,每 題 1 分;實操題共 80 分。總分共 100 分,得到 70 分以上(含 70 分)為通過。
CISP-PTE滲透測試專家講師坐鎮IE-LAB帶你快速拿下證書,成為下一個滲透測試專家。
專家講師——郭 曙 光 Cisco認證高級講師-CCSI、CCIE安全講師、CISP-PTE講師、CISSP講師
個人簡介
5年以上大型企業IT團隊管理經驗、10年以上大中型系統項目集成和開發經驗、15年以上大型企業IT基礎架構規劃設計、運維管理經驗,在IT系統集成行業已有近20年的從業經驗。
輔導海內外學子5000餘人,有較強的領導力和專業IT團隊的建設和管理能力,對IT技術和IT領域方面有極強的學習激情和工作熱情,從業任教的這20年來自身也從未停止在IT領域的技術學習和能力提升。
擅長AD活動目錄、CA數字證書+AAA認證授權與審計+PKI(公共密鑰基礎架構)、NAC網絡准入控制、IPS入侵防禦、IDS入侵檢測、SSL+IPSEC等各類VPN技術、用戶上網行為管理、流量分析與控制、WEB網站安全(WAF)、熟悉CISSP全套理論知識且具備多年相關理論知識運用工作經歷,有多年Metasploit和BackTrack5(KALI Linux) 使用經驗,熟悉主流滲透測試方法體系標準,滲透測試經驗豐富。
13年至今參與項目簡介
2013年07月08日--2013年07月09日
在煙臺萬華針對桌面虛擬化所遇到的故障進行分析並排障
2013年08月19日--2013年08月23日
在陝西省國家電網教育培訓中心的學員講信息安全和黑客攻防訓練
2013年09月01日--2012年09月06日
在煙臺萬華實施全集團Cisco無線局域網項目。
2013年09月22日--2012年10月30日
在內蒙呼和浩特蒙東電力培訓中心的學員講信息安全和黑客攻防訓練。
2013年10月07日--2012年10月11日
在吉林省吉林市豐滿國家電網培訓中心講信息安全和黑客攻防訓練。
2013年11月07日--2012年11月10日
在內蒙呼和浩特蒙牛集團針對SSL VPN性能調優及信息安全建議。
2013年12月09日--2012年12月15日
在威海公安局培訓網絡和安全內容的課程。
2014年11月
蒙牛集團企業信息安全架構諮詢顧問。
2015.05-2017.07
在重慶海康公司任CISO一職 ,主持重慶市公安局“平安重慶”項目(55億人民幣規模的規劃)建設與技術團隊管理及核心實施工作。
2017.07-2017.12
參與19大青島市信息安全大檢查及相關滲透測試工作。
2018.01-2018.6
在青島市公安局做信息安全建設規劃、安全現狀評估、滲透測試以及網絡安全加固的項目實施。
2018.07月初
去昆明給雲南省中國移動公司員工培訓企業信息安全規劃與設計課程。
2018.07下旬
去包頭給北京電網集團員工做滲透測試及CTF比賽前的培訓強化輔導。
2018.08
參加在山東大學校區舉辦的全國性工控安全CTF比賽,獲華東賽區二等獎。
2018.09-10
帶領滲透測試人員給威海市政府33個政府部門和事業單位做滲透測試項目實施。
2018.10
在北京CQC中國質量認證培訓中心給北京幾大銀行的安全工程師做CTF賽前強化培訓。
2018.12
在青島為學生講授CISP-PTE培訓課程。
對於CISP-PTE認證,很多同學也非常想了解本認證考試的通過率和學習方式等問題,小編在這裡也給大家一一作出解答。
Q1:CISP-PTE學習週期?學習內容包含哪些?
CISP-PTE培訓為分為線上培訓or線下培訓兩種方式,線上節省時間和金錢在線直播學習;線下集訓和老師面對面溝通學術問題。線上為週末全天班,線下為集訓班。由於武漢疫情的爆發,目前上課方式採取線上授課的方式,全國各地的同學都可以學習,不受地區限制。
Q2:CISP-PTE通過率怎麼樣?
2019年5月份CISP-PTE的首批學員全部通過考試,通過率100%;
2020年1月份CISP-PTE的第二批學員全部通過考試,通過率100% ;
2020年3月份CISP-PTE的第三批學員全部通過考試,通過率100%;
目前就職學員薪資均15000元起……
Q3:CISP-PTE課程有實操練習麼?
郭曙光老師會在課上親自進行技術演示滲透工具的使用方法,課程內容技術乾貨和實操應用收穫滿滿,大家可以放心。
4月25日開班,後臺聯繫獲取課程信息!
