【課程簡介】

CISP-PTE專注于培養、考核高級實用型網絡安全滲透測試安全人才，是業界理論與實踐相結合的網絡安全專項技能水平注冊考試。證書持有人員主要從事信息安全技術領域網站滲透測試工作，具有規劃測試方案編寫項目測試計劃、編寫測試用例、測試報告的基本知識和能力。該注冊考試是為了鍛煉考生實際解決網絡安全問題的能力，編寫測試用例、測試報告的基本知識和能力。該注冊考試是為了鍛煉考生實際解決網絡安全問題的能力。

【課程大綱及時間安排】

第1天. 

CISP-PTE考試大綱內容講解及考試重點

信息安全基礎

HTTP協議基礎

WEB安全知識體系介紹

信息收集(端口掃描、目錄掃描、敏感文件泄漏)

SQL注入漏洞原理、類型(整型、字符型、cookie、時間延時注入、盲注等類型 

第2天

SQL注入漏洞原理、類型(整型、字符型、cookie. 時間延時注入、盲注等類型)

數據庫基礎(數據庫結構、數據庫權限、常見的查詢語句、增刪改查語句)

SQL注入，手工注入實戰(配合剛學的數據庫查詢語句)

SQL注入工具SOLMap的使用(tamper 的使用、文件讀寫等方法) 

第3天

SQL注入工具SQLMap的使用(tamper 的使用、文件讀寫等方法)

XSS漏洞(存儲型、反射型、DOM型)原理、XSS漏洞實戰、XSS漏洞繞過方式XSS漏洞防御與修復

SSRF原理與實戰、CSRF原理與實戰、SSRF、 CSRF漏洞防御與修復

第4天

文件上傳漏洞原理、實戰;文件上傳類型、文件上傳繞過(Type、 擴展名、JS等)

文件上傳漏洞的防御與修復

任意文件下載漏洞原理、實戰

任意文件下載防御與修復

第5天

文件包含漏洞原理、PHP 中的文件包含(本地包含、遠程包含)

文件包含漏洞的防御與修復

命令執行漏洞原理、遠程命令執行漏洞防御遠程代碼執行漏洞原理、防御

Java反序列化漏洞、防御(Jboss、webLogic等)

第6天

弱口令漏洞實戰與防御

中間件弱口令部署木馬(Tomcat、 Weblogic. JBoss)

中間件解析漏洞(1IS 解析漏洞、Nginx解析漏洞、Apache 解析漏洞等)

中間件的目錄遍歷

中間件目錄遍歷漏洞的修復

第7天

訪問控制漏洞(橫向越權、垂直越權漏洞的原理與修復)

會話劫持漏洞(Session 的原理、HttpOnly) 、會話劫持漏洞修復 常見木馬的使用(PHP木馬、 ASP木馬、ASPX木馬)

Web掃描器的使用(WVS、 AppScan等)

提權(簡單提權、win2003 提權、win2008 提權、linux 提權) 

第8天

提權(簡單提權、win2003提權、win2008 提權、Linux 提權)

中間件日志、數據庫日志、系統日志分析，定位攻擊者的攻擊方式和IP本期培訓知識點匯總

（課程為線上培訓課程，線下考試僅需要半天時間即可，隨報隨學）

【師資力量】

郭曙光老師

（Cisco認證高級講師-CCSI、CCIE安全講師、CISP-PTE講師、CISSP講師）

5年以上大型企業IT團隊管理經驗、10年以上大中型系統項目集成和開發經驗、15年以上大型企業IT基礎架構規劃設計、運維

管理經驗，在IT系統集成行業已有近20年的從業經驗。

輔導海內外學子5000余人，有較強的領導力和專業IT團隊的建設和管理能力，對IT技術和IT領域方面有極強的學習激情和工作熱情，從業任教的這20年來自身也從未停止在IT領域的技術學習和能力提升。

擅長AD活動目錄、CA數字證書+AAA認證授權與審計+PKI（公共密鑰基礎架構）、NAC網絡準入控制、IPS入侵防御、IDS入侵檢測、SSL+IPSEC等各類VPN技術、用戶上網行為管理、流量分析與控制、WEB網站安全(WAF)、熟悉CISSP全套理論知識且具備多年相關理論知識運用工作經歷，有多年Metasploit和BackTrack5（KALI Linux） 使用經驗，熟悉主流滲透測試方法體系標準，滲透測試經驗豐富。

13年至今參與項目簡介

2013年07月08日--2013年07月09日  

在煙臺萬華針對桌面虛擬化所遇到的故障進行分析并排障

2013年08月19日--2013年08月23日  

在陜西省國家電網教育培訓中心的學員講信息安全和黑客攻防訓練

2013年09月01日--2012年09月06日  

在煙臺萬華實施全集團Cisco無線局域網項目。

2013年09月22日--2012年10月30日  

在內蒙呼和浩特蒙東電力培訓中心的學員講信息安全和黑客攻防訓練。

2013年10月07日--2012年10月11日  

在吉林省吉林市豐滿國家電網培訓中心講信息安全和黑客攻防訓練。

2013年11月07日--2012年11月10日  

在內蒙呼和浩特蒙牛集團針對SSL VPN性能調優及信息安全建議。

2013年12月09日--2012年12月15日  

在威海公安局培訓網絡和安全內容的課程。

2014年11月

蒙牛集團企業信息安全架構咨詢顧問。

2015.05-2017.07

在重慶海康公司任CISO一職 ，主持重慶市公安局“平安重慶”項目（55億人民幣規模的規劃）建設與技術團隊管理及核心實施工作。

2017.07-2017.12

參與19大青島市信息安全大檢查及相關滲透測試工作。

2018.01-2018.6

在青島市公安局做信息安全建設規劃、安全現狀評估、滲透測試以及網絡安全加固的項目實施。

2018.07月初

去昆明給云南省中國移動公司員工培訓企業信息安全規劃與設計課程。

2018.07下旬

去包頭給北京電網集團員工做滲透測試及CTF比賽前的培訓強化輔導。

2018.08

參加在山東大學校區舉辦的全國性工控安全CTF比賽，獲華東賽區二等獎。

2018.09-10

帶領滲透測試人員給威海市政府33個政府部門和事業單位做滲透測試項目實施。

2018.10

在北京CQC中國質量認證培訓中心給北京幾大銀行的安全工程師做CTF賽前強化培訓。

2018.12

在青島為學生講授CISP-PTE培訓課程。

【機構介紹】

關于IE-LAB：北京鴻錦智成科技有限公司成立于2013年4月，主要以IT外包服務，網絡工程師人才培養為核心業務。同時為用戶提供網絡集成規劃、設計、解決方案、技術運維等IT服務。

IE-LAB不斷引進師資力量，研發熱門課程。目前所授課程涵蓋了思科路由交換、運營商、網絡安全、語音協作、視頻會議、無線通信、虛擬化、存儲、互聯網運維專家、信息安全，數據中心、紅帽系統及開源計算等眾多專業技能領域。迄今為止，由IE-LAB優秀講師團隊培養出來的各方向CCIE近千人，遍布全球各地。

【學校優勢】

1.全國提供全方位四大學習平臺進行混合式OTO輔助教學。

2.直播和錄播課程同時提供超清流暢的移動端學習方式。

3.業內知名的優秀講師團隊，大咖授課，解題快。

4.就業合作企業已達200多家遍布全國，學員考證后如果有相關合適的崗位，我們都會優先推送學員簡歷， 目前薪資多為15k起，經驗越多薪資越高。

零基礎的同學也能來學，CISP-PTE已開課多期，每期參加考試的同學均順利PASS考試。

【學員反饋】