CISP-PTS和CISP-PTE的不同之处。除了CISP-PTE所需的所有知识和能力外,CISP-PTS还对内部网络安全、数据库安全和中间件安全提出了新的要求。对掌握更加精确,并且在实操方向面更加精益求精。
CISP-PTS相关问题请咨询:客服按钮
1、内网安全。
内部网络安全是网络安全渗透测试过程中需要注意的重点。当渗透测试从外部网络中取得突破并进入内部网络时,应重点研究内部网络的安全性,无论是模拟黑客思想在真实场景中的扩展结果,还是探索测试网络系统中的安全风险。CISP-PTS综合内部网络渗透的技术方法和逻辑顺序主要是增加以下调查知识点:
内网信息收集。
内部网络信息收集作为获取内部网络信息的必要工作,其主要是调查知识内容包括内部网络主机和用户信息发现、内部网络主要是使用端口扫描、内部网络主机、应用、网络设备漏洞扫描等知识,包括掌握和使用主流软件工具。
内网横向移动。
用于检测内部网络能否抵抗各种网络攻击和先进的持续威胁(APT)的内部网络水平移动技术。通过水平移动渗透测试,可以判断内部网络是否能最终防止入侵者在域控制权环境中获得所有机器。其主要是调查知识包括水平移动原理、凭证捕获、域攻击原理等理论知识,以及实现这些水平移动渗透所需的技术及相关工具的使用。
内网权限维持。
内部网络权限维护主要用于渗透过程。在通过漏洞获得目标主机权限后,试图避免服务器管理员发现和修复漏洞造成的服务器权限损失。渗透测试技术也是对测试系统内安全防御技术和管理机制的测试。其主要是调查知识包括内部网络权利改进的类别和相应方法,以及掌握权限维护的技术原则和常用方法。
二、数据库安全。
数据库安全在渗透测试中占有重要比例。CISP-PTS在这方面的知识能力调查要求高于CISP-PTE。除了掌握主流MySQL和MSSQL数据库的渗透知识外,还需要掌握以下重要调查知识:
Oracle关系数据库安全。
对于Oracle数据库的渗透测试能力调查,其主要是调查知识包括Oracle数据库的账户管理和授权机制,为不同的管理员分配不同的账户方法,设置Public角色程序包的执行权限,以及Oracle面临的主要是安全风险,限制库文件的访问权限,以及通过Oracle执行系统命令的方法。
Redis非关系数据库安全。
自Web2.0时代以来,非关系数据的应用迅速增长,Redis是非关系数据库的典型代表之一。CISP-PTS中Redis渗透测试能力的主要是调查知识内容包括关系数据库的基本概念、Redis运行权限机制和设置方法、默认端口、Redis未经授权访问等风险,并开启安全加固授权方法。
三、中间件安全。
中间件作为当前网络应用系统架构不可缺少的一部分,其安全性不言而喻。CISP-PTS注册考试要求考生除了掌握Apache、IIS、Tomcat等常见中间件的安全知识外,还需要掌握Java环境中重要中间件的安全知识。调查知识内容包括:Weblogic、Websphere、Jboss等中间件的安全设置、日志审计、漏洞利用和防范方法。
赛虎学院作为CISP-PTS授权机构,通过率常年保持在99 %以上,各地的学员皆可报名,每个月都能安排培训,就近选择培训地点。
相关阅读:
- 还没有人评论,欢迎说说您的想法!