2021CISP-PTE知識(shí)類:中間件安全(4.1)

CISP 責(zé)任編輯:唐丹平 2021-09-15

摘要:本文是2021年CISP-PTE知識(shí)類:中間件安全(4.1),2021年CISP-PTE7月起歸于CISP認(rèn)證體系的專業(yè)方向,每月會(huì)開考一次,具體時(shí)間請(qǐng)考生直接聯(lián)系授權(quán)機(jī)構(gòu)。為了方便考生備考,建議考生了解CISP-PTE知識(shí)體系大綱的相關(guān)內(nèi)容。

2021CISP-PTE(注冊(cè)滲透測(cè)試工程師)考試內(nèi)容以考試大綱為基礎(chǔ),如有考生想要參加并獲得CISP-PTE認(rèn)證,建議先了解考綱,下文就是小編整理的CISP-PTE知識(shí)類:中間件安全(4.1),可供考生參考。

第4章 知識(shí)類:中間件安全

中間件安全基礎(chǔ)是注冊(cè)信息安全專業(yè)人員需要掌握的通用基礎(chǔ)知識(shí)。通過本部分的學(xué)習(xí),學(xué)員應(yīng)當(dāng):

了解中間件的基本概念和加固方法

掌握主流中間件的權(quán)限配置,解析漏洞風(fēng)險(xiǎn)

掌握 JAVA 開發(fā)的中間件反序列化漏洞風(fēng)險(xiǎn)

4.1 知識(shí)體:主流的中間件

2021cisp-pte大綱:知識(shí)體:主流的中間件.jpg

圖 4-1:知識(shí)體:主流的中間件

4.1.1 知識(shí)域:Apache

Apache 是世界使用排名第一的 Web 服務(wù)器軟件,它可以運(yùn)行在幾乎所有廣泛使用的計(jì)算機(jī)平臺(tái)上,由于其跨平臺(tái)和安全性被廣泛使用,是最流行的 Web服務(wù)器端軟件之一。Apache 自身的安全性是很高的,但是人為的錯(cuò)誤設(shè)置會(huì)導(dǎo)致 Apache 產(chǎn)生安全問題。

知識(shí)子域:Apache 服務(wù)器的安全設(shè)置

了解當(dāng)前 Apache 服務(wù)器的運(yùn)行權(quán)限

了解控制配置文件和日志文件的權(quán)限,防止未授權(quán)訪問

了解設(shè)置日志記錄文件、記錄內(nèi)容、記錄格式

了解禁止 Apache 服務(wù)器列表顯示文件的方法

了解修改 Apache 服務(wù)器錯(cuò)誤頁(yè)面重定向的方法

掌握設(shè)置 Web 目錄的讀寫權(quán)限,腳本執(zhí)行權(quán)限的方法

知識(shí)子域:Apache 服務(wù)器文件名解析漏洞

了解 Apache 服務(wù)器解析漏洞的利用方式

掌握 Apache 服務(wù)器文件名解析漏洞的防御措施

知識(shí)子域:Apache 服務(wù)器日志審計(jì)

掌握 Apache 服務(wù)器日志審計(jì)方法

4.1.2 知識(shí)域:IIS

IIS 全稱為 Internet Information Service(Internet 信息服務(wù)),它的功能是提供信息服務(wù),如架設(shè) http、ftp 服務(wù)器等知識(shí)子域:IIS 服務(wù)器的安全設(shè)置

了解身份驗(yàn)證功能,能夠?qū)υL問用戶進(jìn)行控制

了解利用賬號(hào)控制 web 目錄的訪問權(quán)限,防止跨目錄訪問

了解為每個(gè)站點(diǎn)設(shè)置單獨(dú)的應(yīng)用程序池和單獨(dú)的用戶的方法

了解取消上傳目錄的可執(zhí)行腳本的權(quán)限的方法

啟用或禁用日志記錄,配置日志的記錄選項(xiàng)

知識(shí)子域:IIS 服務(wù)器的常見漏洞

掌握 IIS6,IIS7 的文件名解析漏洞

掌握 IIS6 寫權(quán)限的利用

掌握 IIS6 存在的短文件名漏洞

知識(shí)子域:IIS 服務(wù)器日志審計(jì)方法

掌握 IIS 日志的審計(jì)方法

4.1.3 知識(shí)域:Tomcat

Tomcat 是一個(gè)小型的輕量級(jí)應(yīng)用服務(wù)器,在中小型系統(tǒng)和并發(fā)訪問用戶不是很多的場(chǎng)合下被普遍使用,是開發(fā)和調(diào)試 JSP 程序的首選。

知識(shí)子域:Tomcat 服務(wù)器的安全設(shè)置

了解 Tomcat 服務(wù)器啟動(dòng)的權(quán)限

了解 Tomcat 服務(wù)器后臺(tái)管理地址和修改管理賬號(hào)密碼的方法

了解隱藏 Tomcat 版本信息的方法

了解如何關(guān)閉不必要的接口和功能

了解如何禁止目錄列表,防止文件名泄露

掌握 Tomcat 服務(wù)器通過后臺(tái)獲取權(quán)限的方法

掌握 Tomcat 樣例目錄 session 操縱漏洞

知識(shí)子域:Tomcat 服務(wù)器的日志審計(jì)方法

了解 Tomcat 的日志種類

掌握 Tomcat 日志的審計(jì)方法

更多備考信息盡在希賽網(wǎng)CISP頻道-考試輔導(dǎo)欄目,敬請(qǐng)期待……

熱門:2023年CISP報(bào)名入口 2023年CISP報(bào)考指南

推薦:2023年CISP報(bào)考條件| 2023年上半年CISP考試時(shí)間

更多課程
更多真題
溫馨提示:因考試政策、內(nèi)容不斷變化與調(diào)整,本網(wǎng)站提供的以上信息僅供參考,如有異議,請(qǐng)考生以權(quán)威部門公布的內(nèi)容為準(zhǔn)!