注册信息安全 专业人员-渗透测试工程师（CISP-PTE）知识体系大纲 注册信息安全专业人员 渗透测试工程师 知识体系大纲 发布日期： 2017年5月22日 生效日期： 2017年6月 中国信息安全测评中心 网神信息技术（北京）股份有限公司 ©版权2017-攻防领域考试中心 注册信息安全 专业人员-渗透测试工程师（CISP-PTE）知识体系大纲 第1章 前 言 ................................ ..................... 1 第2章 注册信息安全专业人员 -渗透测试工程师（ CISP-PTE）知识体系概述 2 2.1 CISP -PTE知识体系框架结构 ................................ ..... 2 2.2 CISP-PTE考试试题结构 ................................ ......... 4 第3章 知识类： Web安全基础 ................................ ....... 5 3.1 知识体： HTTP协议 ................................ ............. 5 3.1.1 知识域： HTTP请求方法 ................................ ..... 6 3.1.2 知识域： HTTP的状态码 ................................ ..... 6 3.1.3 知识域： HTTP协议响应头信息 ............................... 6 3.1.4 知识域： HTTP协议中的 URL ................................ .. 7 3.2 知识体：注入漏洞 ................................ .............. 7 3.2.1 知识域： SQL注入 ................................ .......... 7 3.2.2 知识域： XML注入 ................................ .......... 8 3.2.3 知识域：代码注入 ................................ .......... 9 3.3 知识体： XSS漏洞 ................................ ............. 10 3.3.1 知识域：存储式 XSS漏洞 ................................ ... 11 3.3.2 知识域：反射式 XSS漏洞 ................................ ... 11 3.3.3 知识域： DOM式XSS漏洞 ................................ ... 12 3.4 知识体：请求伪造漏洞 ................................ ......... 12 3.4.1 知识域： SSRF漏洞 ................................ ........ 12 3.4.2 知识域： CSRF漏洞 ................................ ........ 13 3.5 知识体：文件处理漏洞 ................................ ......... 14 3.5.1 知识域：任意文件上传 ................................ ..... 14 3.5.2 知识域：任意文件下载 ................................ ..... 14 3.6 知识体：访问控制漏洞 ................................ ......... 15 3.6.1 知识域：横向越权 ................................ ......... 15 3.6.2 知识域：垂直越权 ................................ ......... 16 3.7 知识体：会话管理漏洞 ................................ ......... 16注册信息安全 专业人员-渗透测试工程师（CISP-PTE）知识体系大纲 3.7.1 知识域：会话劫持 ................................ ......... 17 3.7.2 知识域：会话固定 ................................ ......... 17 第4章 知识类：中间件安全基础 ................................ .... 18 4.1 知识体：主流的中间件 ................................ ......... 18 4.1.1 知识域： Apache ................................ ........... 19 4.1.2 知识域： IIS ................................ .............. 19 4.1.3 知识域： Tomcat ................................ ........... 20 4.2 知识体： JAVA开发的中间件 ................................ .... 21 4.2.1 知识域： Weblogic ................................ ......... 21 4.2.2 知识域： Websphere ................................ ........ 22 4.2.3 知识域： Jboss ................................ ............ 22 第5章 知识类：操作系统安全基础 ................................ .. 24 5.1 知识体： Windows 操作系统 ................................ ..... 24 5.1.1 知识域：账户安全 ................................ ......... 24 5.1.2 知识域：文件系统安全 ................................ ..... 25 5.1.3 知识域：日志分析 ................................ ......... 25 5.2 知识体： Linux 操作系统 ................................ ....... 26 5.2.1 知识域：账户安全 ................................ ......... 26 5.2.2 知识域：文件系统安全 ................................ ..... 27 5.2.3 知识域：日志分析 ................................ ......... 27 第6章 知识类：数据库安全基础 ................................ .... 28 6.1 知识体：关系型数据库 ................................ ......... 28 6.1.1 知识域： Mssql数据库 ................................ ..... 29 6.1.2 知识域： Mysql数据库 ................................ ..... 29 6.1.3 知识域： Oracle数据库 ................................ .... 30 6.2 知识体：非关系型数据库 ................................ ....... 30 6.2.1 知识域： Redis数据库 ................................ ..... 31 第7章 题型示例 ................................ .................. 32 7.1 客观单项选择题 ................................ ............... 32 7.2 实操题 ................................ ....................... 32注册信息安全 专业人员-渗透测试工程师（CISP-PTE）知识体系大纲 1 第1章 前 言 信息安全作为我国信息化建设健康