2021CISP-PTE知識類:中間件安全(4.2)

2021CISP-PTE（注冊滲透測試工程師）考試內(nèi)容以考試大綱為基礎(chǔ)，如有考生想要參加并獲得CISP-PTE認(rèn)證，建議先了解考綱，下文就是小編整理的CISP-PTE知識類:中間件安全(4.2)，可供考生參考。

4.2 知識體：JAVA 開發(fā)的中間件

圖 4-2：知識體：JAVA 開發(fā)的中間件

4.2.1 知識域：Weblogic

WebLogic 是美國 Oracle 公司出品的一個 application server，確切的說是一個基于 JAVAEE 架構(gòu)的中間件，WebLogic 是用于開發(fā)、集成、部署和管理大型分布式 Web 應(yīng)用、網(wǎng)絡(luò)應(yīng)用和數(shù)據(jù)庫應(yīng)用的 Java 應(yīng)用服務(wù)器。將 Java 的動態(tài)功能和 Java Enterprise 標(biāo)準(zhǔn)的安全性引入大型網(wǎng)絡(luò)應(yīng)用的開發(fā)、集成、部署和管理之中。

知識子域: Weblogic 的安全設(shè)置

了解 Weblogic 的啟動權(quán)限

了解修改 Weblogic 的默認(rèn)開放端口的方法

了解禁止 Weblogic 列表顯示文件的方法

知識子域：Weblogic 的漏洞利用與防范

掌握 Weblogic 后臺獲取權(quán)限的方法

掌握 Weblogic 存在的 SSRF 漏洞

掌握反序列化漏洞對 Weblogic 的影響

知識子域：Weblogic 的日志審計方法

掌握 Weblogic 日志的審計方法

4.2.2 知識域：Websphere

Websphere 是 IBM 的軟件平臺。它包含了編寫、運行和監(jiān)視全天候的工業(yè)強(qiáng)度的隨需應(yīng)變 Web 應(yīng)用程序和跨平臺、跨產(chǎn)品解決方案所需要的整個中間件基礎(chǔ)設(shè)施，如服務(wù)器、服務(wù)和工具。Websphere 提供了可靠、靈活和健壯的軟件。

知識子域: Websphere 的安全設(shè)置

了解 Websphere 管理的使用

了解 Websphere 的安全配置

知識子域：Websphere 的漏洞利用與防范

掌握反序列化漏洞對 Websphere 的影響

掌握 Websphere 后臺獲取權(quán)限的方法

知識子域: 漏洞利用與防范

掌握 Websphere 的日志審計

4.2.3 知識域：Jboss

是一個基于 J2EE 的開放源代碼的應(yīng)用服務(wù)器。 JBoss 代碼遵循 LGPL 許可，可以在任何商業(yè)應(yīng)用中免費使用，而不用支付費用。JBoss 是一個管理 EJB 的容器和服務(wù)器，支持 EJB 1.1、EJB 2.0 和 EJB3 的規(guī)范。但 JBoss 核心服務(wù)不包括支持 servlet/JSP 的 WEB 容器，一般與 Tomcat 或 Jetty 綁定使用。

知識子域:Jboss 的安全設(shè)置

了解設(shè)置 jmx-console/web-console 密碼的方法

了解開啟日志功能的方法

了解設(shè)置通訊協(xié)議，開啟 HTTPS 訪問

了解修改 Web 的訪問端口

知識子域：Jboss 的漏洞利用與防范

掌握反序列化漏洞對 Jboss 的影響

JMXInvokerServlet/jmx-console/web-console 漏洞利用與防范

知識子域：Jboss 的日志審計方法

掌握 Jboss 日志審計的方法

更多備考信息盡在希賽網(wǎng)CISP頻道-考試輔導(dǎo)欄目，敬請期待……