知识类知识体知识域
知识子域
账户的基本概念文件系统基础知识
日志的审计方法账户的基本概念
文件系统的格式
系统日志的审计方法
Apache服务器日志审计方法
IIS服务器日志审计方法
CISP-PTE注册信息安全专业人员-中间件安全基础
主流的中间件
Apache
Apache服务器的安全设置
Apache服务器文件名解析漏洞IIS
Tomcat
IIS服务器的安全设置
账户风险与安全策略IIS服务器常见漏洞Tomcat服务器的安全设置
Tomcat服务器的日志审计方法
NTFS权限设置系统日志的分类账户安全
文件系统安全
日志分析
账户风险与安全策略安全访问与权限设置
系统日志的分类操作系统安全基础
Windows
Linux
账户安全
文件系统安全
日志分析
Weblogic的日志审计方法Websphere的日志审计方法Jboss的日志审计方法Tomcat服务器的日志审计方法JAVA开发的中间件
weblogic
websphere
Jboss
Jboss的漏洞利用与防范Weblogic的安全设置
Weblogic的漏洞利用与防范数据库安全基础
关系型数据库
非关系型数据库
MSSQL
MYSQL
Oracle
Redis
Websphere的安全设置
Websphere的漏洞利用与防范Jboss的安全设置
Redis权限与设置
Redis未授权访问风险
HTTP1.0的请求方法
HTTP1.1新增的请求方法HTTP状态码的含义
HTTP状态码的分类
MSSQL角与权限
MSSQL存储过程安全
MYSQL权限与设置
MYSQL内置函数风险ORACLE角与权限
ORACLE安全风险HTTP协议
HTTP请求方法
HTTP状态码
URL的定义
SQL注入漏洞安全防护SQL注入漏洞类型SQL注入概念
SQL注入
XML注入概念
HTTP响应头的类型
HTTP响应头的含义URL的格式HTTP协议响应头信息
HTTP协议的URL
注入漏洞
XSS漏洞
存储式XSS的概念
存储式XSS的检测存储式XSS的安全防护
反射式XSS的概念
反射式XSS的利用与修复DOM式XSS的特征
XML注入漏洞检测与防护
远程文件包含漏洞(RFI)
本地文件包含漏洞(LFI)
命令执行漏洞(CI)
XML注入
代码注入SSRF漏洞
DOM式XSS的防御
存储式XSS
反射式XSS
DOM式XSS
web安全基础
服务端请求伪造漏洞概念
SSRF漏洞
服务端请求漏洞的检测与防护请求伪造漏洞
跨站请求伪造漏洞概念
CSRF漏洞
跨站请求漏洞的危害与防御
上传漏洞的原理与分析
任意文件上传
上传漏洞的检测与防范
文件处理漏洞
文件下载漏洞的原理与分析
任意文件下载
文件下载漏洞的检测与防范
横向越权漏洞的概念
横向越权
横向越权漏洞的检测与防范访问控制漏洞
垂直越权漏洞的概念
垂直越权
垂直越权漏洞的检测与防范
会话劫持漏洞的概念与原理
会话劫持
会话劫持漏洞基本防御方法
会话管理漏洞
会话固定漏洞的概念与原理
会话固定
会话固定漏洞基本防御方法
人员-渗透测试工程师知识体系大纲
知识点Windows用户账户和组账户权限的分配
了解Windows用户空口令风险
了解多用户同时使用的安全配置
了解对用户登入事件进行审核方法
了解对远程登入账号的检查
掌握NTFS文件权限各类
注册安全工程师掌握通过ACL控制列表,设置目录或者文件的用户访问权限掌握命令行下修改目录或者文件的访问权限的方法
了解Windows系统日志的种类
了解Windows安全日志的登入类型
掌握日志审计的方法
了解Linux系统中的账号和组
了解弱口令密码带来的风险
掌握检查空口令的方法
掌握检查系统中是否存在其它ID为0的用户的方法
了解Linux文件系统的文件格式分类
掌握如何检查系统中存在的SUID和SGID程序
掌握检查系统中任何人都有写权限的目录的方法
掌握修改目录和文件权限的方法
掌握搜索文件内容的方法
了解Linux系统的日志种类
了解Linux日志文件
掌握使用常用的日志查看命令,进行日志审计的方法
了解当前Apache服务器的运行权限
了解控制配置文件和日志文件的权限,防止未授权访问
了解设置日志记录文件、记录内容、记录格式
了解禁止Apache服务器列表显示文件的方法
了解修改Apache服务器错误页面重定向的方法
掌握设置WEB目录的读写权限,脚本执行权限的方法
了解Apache服务器解析漏洞的利用方式
掌握Apache服务器文件名解析漏洞的防御措施
掌握Apache服务器日志审计方法
了解身份验证功能,能够对访问用户进行控制
了解利用账号控制WEB目录的访问权限,防止跨目录访问
了解为每个站点设置单独的应用程序池和单独的用户的方法了解取消上传目录的可执行脚本的权限的方法
启用或禁止日志记录,配置日志的记录选项
掌握IIS6、IIS7的文件名解析漏洞
掌握IIS6写权限的利用
掌握IIS6存在的短文件名漏洞
掌握IIS日志的审计方法
了解Tomcat服务器启动的权限
了解Tomcat服务器后台管理地址和修改管理账号密码的方法了解隐藏Tomcat版本信息的方法
了解如何关闭不必要的接口和功能
了解如何禁止目录列表,防止文件名泄露
掌握Tomcat服务器通过后台获取权限的方法
掌握Tomcat样例目录session操纵漏洞
了解Tomcat的日志种类