信息安全保障人员认证-渗透测试方向 (CISAW-LPT)
- CISAW-LPT
培训安排 - 满20人
可独立开班 - 欢迎团报
支持定制
课程概述
信息安全保障人员认证--渗透测试方向(Certified Information Security Assurance Worker, Licensed Penetration Tester,简称“CISAW-LPT”)是由中国网络安全审查认证和市场监管大数据中心依据国际标准ISO/IEC 17024《人员认证机构通用要求》,和国家标准《网络安全从业人员能力基本要求》(GB/T42446)中规定的针对网络安全测评人员应具有的相关知识和技能要求,推出的人员认证项目。
通过“信息安全保障人员(CISAW-LPT)”认证评价,证明持证人员已经符合《网络安全从业人员能力基本要求》(GB/T 42446)中规定网络安全测评工作所需的安全测试、评估方法;渗透测试方法和技术;网络攻防技术等知识并能够完成脆弱性测试;渗透性测试以及能对被测试系统提出修复防护建议的基本技能要求,具备了基本的职业道德、规范意识和技术综合素质。
组织机构
培训机构:成都中科至善信息技术有限公司
课程简介
CISAW-LPT旨在通过理论学习与实战演练相结合的方式,培养学员成为专业的渗透测试人员。课程内容涵盖了从渗透测试的基本原理、职业道德、攻击技术、漏洞识别与利用到高级防御绕过技术等多个方面。学员将学习如何搭建测试环境,使用各种工具进行信息收集,识别和利用各类Web漏洞,如SOL注入、文件上传、命令执行、反序列化等,并能初步了解高级技术如WebShell防御、WAF绕过等。通过这些课程,学员能够在实战靶场中模拟真实的攻防场景,提升应对各类网络安全挑战的能力。
| 培训时间 | 培训主题 | 内容概要 | 授课形式 |
|---|---|---|---|
| 第一天 | 渗透测试概述 | 了解渗透测试概念、 流程与思路,渗透测试服务的基本介绍 | 理论 |
| 渗透测试职业道德 | 了解网络安全法与渗透测试职业道德规范 | 理论 | |
| 渗透测试基础 | 了解Web服务器运作原理、Web应用程序常见的编码方式,深入剖析HTTP协议 | 理论+实操 | |
| 环境搭建及渗透工具使用 | 了解本地攻击环境搭建的方法,熟悉BurpSuite与Firefox插件的基本使用 | 理论+实操 | |
| 信息收集工具使用及收集的方法与手段介绍 | 熟悉Google Hacking、网络空间搜索引擎、Nmap信息收集工具使用,熟悉常见域名、服务器与Web应用信息收集的方法与手段。 | 理论+实操 | |
| 漏洞扫描概述及扫描工具 | 熟悉漏洞扫描流程与方法,熟悉BurpSuite、AWVS、Nessus等Web漏洞扫描工具的基本使用 | 理论+实操 | |
| 第二天 | 任意文件上传漏洞 | 了解WebShell原理与WebShell管理工具基本使用,熟悉文件上传漏洞的原理、漏洞利用、防护和绕过的手段与方法,并在提供的实战靶场中模拟练习 | 理论+实操 |
| XSS漏洞 | 熟悉XSS漏洞的原理、漏洞利用、防护的手段与方法,并在提供的实战靶场中模拟练习 | 理论+实操 | |
| CSRF漏洞 | 熟悉CSRF漏洞的原理、漏洞利用、防护的手段与方法,并在提供的实战靶场中模拟练习 | 理论+实操 | |
| 第三天 | SQL注入漏洞 | 熟悉SOL漏洞的原理、漏洞利用、防护的手段与方法,熟悉SQLMAP工具的基本使用,并在提供的实战靶场中模拟练习 | 理论+实操 |
| 代码执行漏洞 | 熟悉代码执行漏洞的原理、漏洞利用、防护的手段与方法,并在提供的实战靶场中模拟练习 | 理论+实操 | |
| 命令执行漏洞 | 熟悉命令执行漏洞的原理、漏洞利用、防护的手段与方法,并在提供的实战靶场中模拟练习 | 理论+实操 | |
| 反序列化漏洞 | 熟悉反序列化漏洞的原理、漏洞利用、防护的手段与方法,并在提供的实战靶场中模拟练习 | 理论+实操 | |
| 第四天 | 业务逻辑漏洞 | 熟悉逻辑漏洞,例如越权漏洞等常见逻辑漏洞场景的漏洞挖掘、利用的手段与方法 | 理论 |
| SSRF漏洞 | 熟悉SSRF漏洞的原理、漏洞利用、防护的手段与方法,并在提供的实战靶场中模拟练习 | 理论+实操 | |
| XXE漏洞 | 熟悉XXE漏洞的原理、漏洞利用、防护的手段与方法 | 理论+实操 | |
| 文件包含漏洞 | 熟悉文件包含漏洞的原理、漏洞利用、防护的手段与方法,并在提供的实战靶场中模拟练习 | 理论+实操 | |
| 身份认证攻击 | 熟悉对常见身份认证场景的攻击手段与方法 | 理论+实操 | |
| 越权 | 熟悉越权的原理、漏洞利用的手段与方法,并在提供的实战靶场中模拟练习 | 理论+实操 | |
| 主机与数据库漏洞 | 熟悉主机与数据库漏洞利用及检测方法 | 理论 | |
| 中间件漏洞 | 熟悉常见中间件漏洞利用及检测方法 | 理论 | |
| 第五天 | 高级渗测试技术 | 了解WebShell查杀、免杀技术,WAF鉴别与探测,反弹Shell与权限提升的方法与手段 | 理论 |
| 综合实战 | 对综合靶场进行渗透测试实战练习 | 实操 |
认证培训对象
CISAW-LPT认证培训,适用于从事网络安全测试及测评、网络安全运维和网络安全集成的工程技术类人员,以及网络安全相关专业教师等。
报考人员的专业工作经历应至少满足下面任意一项要求:
a)本科(含)以上学历, 1 年以上从事信息安全有关工作经历;
b)专科毕业,3 年以上从事信息安全有关的工作经历;
c) 5 年以上从事信息安全有关的工作经历;
d)具有信息技术相关专业的初级技术职称,并且至少3年以上从事信息安全保障相关工作经历。
报考人员的专业工作经历应至少满足下面任意一项要求:
a)本科(含)以上学历, 1 年以上从事信息安全有关工作经历;
b)专科毕业,3 年以上从事信息安全有关的工作经历;
c) 5 年以上从事信息安全有关的工作经历;
d)具有信息技术相关专业的初级技术职称,并且至少3年以上从事信息安全保障相关工作经历。
课程价值
通过CISAW渗透测试培训人员将具备:
1、推理论证能力:具有渗透测试技术方案与实施方案的设计、漏洞修复方案的制定等方面的综合能力。
2、实践操作能力:具有渗透测试所需安全技能中的实际操作能力,如信息收集工具的使用、Web应用漏洞扫描器的使用、漏洞利用工具的使用及常见漏洞的挖掘等能力。
3、综合应用能力:具有渗透测试前期交互、信息收集、漏洞扫描、漏洞挖掘、漏洞利用等几个阶段所需技能的综合应用与把控能力。例如能够理解渗透测试流程与方法,具备综合利用管理措施和技术手段实施安全服务项目的能力。
考试说明
CISAW-LPT考试试卷包括单选题、多选题、简答题、实操题,总分120分,84分及以上合格。通过考试的人员获得由中国网络安全审查认证和市场监管大数据中心颁发认证证书。
