2021CISP-PTE知識(shí)類(lèi):Web安全(3.2)

CISP 責(zé)任編輯:唐丹平 2021-09-14

摘要:本文是2021年CISP-PTE知識(shí)類(lèi):Web安全(3.2),2021年CISP-PTE7月起歸于CISP認(rèn)證體系的專(zhuān)業(yè)方向,每月會(huì)開(kāi)考一次,具體時(shí)間請(qǐng)考生直接聯(lián)系授權(quán)機(jī)構(gòu)。為了方便考生備考,建議考生了解CISP-PTE知識(shí)體系大綱的相關(guān)內(nèi)容。

2021CISP-PTE(注冊(cè)滲透測(cè)試工程師)考試內(nèi)容以考試大綱為基礎(chǔ),如有考生想要參加并獲得CISP-PTE認(rèn)證,建議先了解考綱,下文就是小編整理的CISP-PTE知識(shí)類(lèi):Web安全(3.2),可供考生參考。

3.2 知識(shí)體:注入漏洞

2021cisp-pte大綱:圖 3-2:知識(shí)體:注入漏洞.jpg

圖 3-2:知識(shí)體:注入漏洞

3.2.1 知識(shí)域:SQL 注入

所謂 SQL 注入,就是通過(guò)把 SQL 命令插入到 Web 表單提交或輸入域名或頁(yè)面請(qǐng)求的查詢(xún)字符串,最終達(dá)到欺騙服務(wù)器執(zhí)行指定的 SQL 語(yǔ)句。具體來(lái)說(shuō),它是利用現(xiàn)有應(yīng)用程序,將 SQL 語(yǔ)句注入到后臺(tái)數(shù)據(jù)庫(kù)引擎執(zhí)行的能力,它可以通過(guò)在 Web 表單中輸入 SQL 語(yǔ)句得到一個(gè)存在安全漏洞的網(wǎng)站上的數(shù)據(jù),而不是按照設(shè)計(jì)者意圖去執(zhí)行 SQL 語(yǔ)句。

知識(shí)子域:SQL 注入的概念

了解 SQL 注入漏洞原理

了解 SQL 注入漏洞對(duì)于數(shù)據(jù)安全的影響

掌握 SQL 注入漏洞的方法

知識(shí)子域:SQL 注入的類(lèi)型

了解常見(jiàn)數(shù)據(jù)庫(kù)的 SQL 查詢(xún)語(yǔ)法

掌握 MSSQL,MYSQL,ORACLE 數(shù)據(jù)庫(kù)的注入方法

掌握 SQL 注入漏洞的類(lèi)型

知識(shí)子域:SQL 注入的安全防護(hù)

掌握 SQL 注入漏洞修復(fù)和防范方法

掌握一些 SQL 注入漏洞檢測(cè)工具的使用方法

3.2.2 知識(shí)域:XML 注入

XML 外部實(shí)體注入(XML External Entity),XML 用于標(biāo)記電子文件使其具有結(jié)構(gòu)性的標(biāo)記語(yǔ)言,可以用來(lái)標(biāo)記數(shù)據(jù)、定義數(shù)據(jù)類(lèi)型,是一種允許用戶(hù)對(duì)自己的標(biāo)記語(yǔ)言進(jìn)行定義的源語(yǔ)言。XML 文檔結(jié)構(gòu)包括 XML 聲明、DTD 文檔類(lèi)型定義(可選)、文檔元素。當(dāng)允許引用外部實(shí)體時(shí),通過(guò)構(gòu)造惡意內(nèi)容,可導(dǎo)致讀取任意文件、執(zhí)行系統(tǒng)命令、探測(cè)內(nèi)網(wǎng)端口等危害。

知識(shí)子域:XML 注入概念

了解什么是 XML 注入漏洞

了解 XML 注入漏洞產(chǎn)生的原因

知識(shí)子域:XML 注入漏洞檢測(cè)與防護(hù)

掌握 XML 注入漏洞的利用方式

掌握如何修復(fù) XML 注入漏洞

3.2.3 知識(shí)域:代碼注入

知識(shí)子域:遠(yuǎn)程文件包含漏洞(RFI)

即服務(wù)器通過(guò) PHP 的特性(函數(shù))去包含任意文件時(shí),由于要包含的這個(gè)文件來(lái)源過(guò)濾不嚴(yán)格,從而可以去包含一個(gè)惡意文件,攻擊者就可以遠(yuǎn)程構(gòu)造一個(gè)特定的惡意文件達(dá)到攻擊目的。

了解什么是遠(yuǎn)程文件包含漏洞。

了解遠(yuǎn)程文件包含漏洞所用到的函數(shù)。

掌握遠(yuǎn)程文件包含漏洞的利用方式。

掌握遠(yuǎn)程文件包含漏洞代碼審計(jì)方法。

掌握修復(fù)遠(yuǎn)程文件包含漏洞的方法。

知識(shí)子域:本地文件包含漏洞(LFI)

文件包含漏洞的產(chǎn)生原因是 PHP 語(yǔ)言在通過(guò)引入文件時(shí),引用的文件名,用戶(hù)可控,由于傳入的文件名沒(méi)有經(jīng)過(guò)合理的校驗(yàn),或者校驗(yàn)被繞過(guò),從而操作了預(yù)想之外的文件,就可能導(dǎo)致意外的文件泄露甚至惡意的代碼注入。當(dāng)被包含的文件在服務(wù)器本地時(shí),就形成的本地文件包含漏洞。了解 PHP 腳本語(yǔ)言本地文件包含漏洞形成的原因,通過(guò)代碼審計(jì)可以找到漏洞,并且會(huì)修復(fù)該漏洞。

了解什么是本地文件包含漏洞。

了解本地文件包含漏洞產(chǎn)生的原因。

掌握本地文件包含漏洞利用的方式。

了解 PHP 語(yǔ)言中的封裝協(xié)議。

掌握本地文件包含漏洞修復(fù)方法。

知識(shí)子域:命令執(zhí)行漏洞(Command Injection)

Command Injection,即命令注入攻擊,是指這樣一種攻擊手段,黑客通過(guò)把 HTML 代碼輸入一個(gè)輸入機(jī)制(例如缺乏有效驗(yàn)證限制的表格域)來(lái)改變網(wǎng)頁(yè)的動(dòng)態(tài) 生成的內(nèi)容。使用系統(tǒng)命令是一項(xiàng)危險(xiǎn)的操作,尤其在你試圖使用遠(yuǎn)程數(shù)據(jù)來(lái)構(gòu)造要執(zhí)行的命令時(shí)更是如此。如果使用了被污染數(shù)據(jù),命令注入漏洞就產(chǎn)生了。

了解什么是命令注入漏洞。

了解命令注入漏洞對(duì)系統(tǒng)安全產(chǎn)生的危害。

掌握腳本語(yǔ)言中可以執(zhí)行系統(tǒng)命令的函數(shù)。

了解第三方組件存在的代碼執(zhí)行漏洞,如 struts2。

掌握命令注入漏洞的修復(fù)方法。

更多備考信息盡在希賽網(wǎng)CISP頻道-考試輔導(dǎo)欄目,敬請(qǐng)期待……

更多課程
更多真題
溫馨提示:因考試政策、內(nèi)容不斷變化與調(diào)整,本網(wǎng)站提供的以上信息僅供參考,如有異議,請(qǐng)考生以權(quán)威部門(mén)公布的內(nèi)容為準(zhǔn)!