学网络,就在IE-LAB
国内最著名的高端网络工程师培养基地
网络安全在当今不论是生活、工作甚至上升至国家安全都是无比重要的,而且作为一名网络安全从业者,薪资自然也是十分可观的。那么,想成为网络安全全栈工程师,你应该拿下什么证书呢?
CISP-PTE认证简介
首注册信息安全专业人员-渗透测试工程师(Certified Information Security Professional - Penetration Test Engineer )简称 CISP-PTE,证书持有人员主要从事信息安全技术领域网站渗透测试工作,具有规划测试方案、编写项目测试计划、编写测试用例、测试报告的基本知识和能力。
课程大纲预览
本次CISP-PTE认证第四期培训于4月25日开班,课表见下表:
培训内容
第一天
CISP-PTE考试大纲内容讲解及考试重点
信息安全基础
HTTP协议基础
WEB安全知识体系介绍
信息收集(端口扫描、目录扫描、敏感文件泄漏)
SQL注入漏洞原理、类型(整型、字符型、cookie、时间延时注入、盲注等类型)
第二天
SQL注入漏洞原理、类型(整型、字符型、cookie、时间延时注入、盲注等类型)
数据库基础(数据库结构、数据库权限、常见的查询语句、增删改查语句)
SQL注入,手工注入实战(配合刚学的数据库查询语句)
SQL注入工具SQLMap的使用(tamper的使用、文件读写等方法)
第三天
SQL注入工具SQLMap的使用(tamper的使用、文件读写等方法)
XSS漏洞(存储型、反射型、DOM型)原理、XSS漏洞实战、XSS漏洞绕过方式
XSS漏洞防御与修复
SSRF原理与实战、CSRF原理与实战、SSRF、CSRF漏洞防御与修复
第四天
文件上传漏洞原理、实战;文件上传类型、文件上传绕过(Type、扩展名、JS等)
文件上传漏洞的防御与修复
任意文件下载漏洞原理、实战
任意文件下载防御与修复
第五天
文件包含漏洞原理、PHP中的文件包含(本地包含、远程包含)
文件包含漏洞的防御与修复
命令执行漏洞原理、远程命令执行漏洞防御
远程代码执行漏洞原理、防御
Java反序列化漏洞、防御(Jboss、webLogic等)
第六天
弱口令漏洞实战与防御
中间件弱口令部署木马(Tomcat、WebLogic、JBoss)
中间件解析漏洞(IIS解析漏洞、Nginx解析漏洞、Apache解析漏洞等)
中间件的目录遍历
中间件目录遍历漏洞的修复
第七天
访问控制漏洞(横向越权、垂直越权漏洞的原理与修复)
会话劫持漏洞(Session的原理、HttpOnly)、会话劫持漏洞修复
常见木马的使用(PHP木马、ASP木马、ASPX木马)
Web扫描器的使用(WVS、AppScan等)
提权(简单提权、win2003提权、win2008提权、linux提权)
第八天
提权(简单提权、win2003提权、win2008提权、linux提权)
中间件日志、数据库日志、系统日志分析,定位攻击者的攻击方式和IP
本期培训知识点汇总
CISP-PTE考试须知:CISP-PTE考试题型为客观题、实操题。客观题为单项选择题,共 20 题,每 题 1 分;实操题共 80 分。总分共 100 分,得到 70 分以上(含 70 分)为通过。
CISP-PTE渗透测试专家讲师坐镇IE-LAB带你快速拿下证书,成为下一个渗透测试专家。
专家讲师——郭 曙 光 Cisco认证高级讲师-CCSI、CCIE安全讲师、CISP-PTE讲师、CISSP讲师
个人简介
5年以上大型企业IT团队管理经验、10年以上大中型系统项目集成和开发经验、15年以上大型企业IT基础架构规划设计、运维管理经验,在IT系统集成行业已有近20年的从业经验。
辅导海内外学子5000余人,有较强的领导力和专业IT团队的建设和管理能力,对IT技术和IT领域方面有极强的学习激情和工作热情,从业任教的这20年来自身也从未停止在IT领域的技术学习和能力提升。
擅长AD活动目录、CA数字证书+AAA认证授权与审计+PKI(公共密钥基础架构)、NAC网络准入控制、IPS入侵防御、IDS入侵检测、SSL+IPSEC等各类VPN技术、用户上网行为管理、流量分析与控制、WEB网站安全(WAF)、熟悉CISSP全套理论知识且具备多年相关理论知识运用工作经历,有多年Metasploit和BackTrack5(KALI Linux) 使用经验,熟悉主流渗透测试方法体系标准,渗透测试经验丰富。
13年至今参与项目简介
2013年07月08日--2013年07月09日
在烟台万华针对桌面虚拟化所遇到的故障进行分析并排障
2013年08月19日--2013年08月23日
在陕西省国家电网教育培训中心的学员讲信息安全和黑客攻防训练
2013年09月01日--2012年09月06日
在烟台万华实施全集团Cisco无线局域网项目。
2013年09月22日--2012年10月30日
在内蒙呼和浩特蒙东电力培训中心的学员讲信息安全和黑客攻防训练。
2013年10月07日--2012年10月11日
在吉林省吉林市丰满国家电网培训中心讲信息安全和黑客攻防训练。
2013年11月07日--2012年11月10日
在内蒙呼和浩特蒙牛集团针对SSL VPN性能调优及信息安全建议。
2013年12月09日--2012年12月15日
在威海公安局培训网络和安全内容的课程。
2014年11月
蒙牛集团企业信息安全架构咨询顾问。
2015.05-2017.07
在重庆海康公司任CISO一职 ,主持重庆市公安局“平安重庆”项目(55亿人民币规模的规划)建设与技术团队管理及核心实施工作。
2017.07-2017.12
参与19大青岛市信息安全大检查及相关渗透测试工作。
2018.01-2018.6
在青岛市公安局做信息安全建设规划、安全现状评估、渗透测试以及网络安全加固的项目实施。
2018.07月初
去昆明给云南省中国移动公司员工培训企业信息安全规划与设计课程。
2018.07下旬
去包头给北京电网集团员工做渗透测试及CTF比赛前的培训强化辅导。
2018.08
参加在山东大学校区举办的全国性工控安全CTF比赛,获华东赛区二等奖。
2018.09-10
带领渗透测试人员给威海市政府33个政府部门和事业单位做渗透测试项目实施。
2018.10
在北京CQC中国质量认证培训中心给北京几大银行的安全工程师做CTF赛前强化培训。
2018.12
在青岛为学生讲授CISP-PTE培训课程。
对于CISP-PTE认证,很多同学也非常想了解本认证考试的通过率和学习方式等问题,小编在这里也给大家一一作出解答。
Q1:CISP-PTE学习周期?学习内容包含哪些?
CISP-PTE培训为分为线上培训or线下培训两种方式,线上节省时间和金钱在线直播学习;线下集训和老师面对面沟通学术问题。线上为周末全天班,线下为集训班。由于武汉疫情的爆发,目前上课方式采取线上授课的方式,全国各地的同学都可以学习,不受地区限制。
Q2:CISP-PTE通过率怎么样?
2019年5月份CISP-PTE的首批学员全部通过考试,通过率100%;
2020年1月份CISP-PTE的第二批学员全部通过考试,通过率100% ;
2020年3月份CISP-PTE的第三批学员全部通过考试,通过率100%;
目前就职学员薪资均15000元起……
Q3:CISP-PTE课程有实操练习么?
郭曙光老师会在课上亲自进行技术演示渗透工具的使用方法,课程内容技术干货和实操应用收获满满,大家可以放心。
4月25日开班,后台联系获取课程信息!
