2021CISP-PTE(注册渗透测试工程师)考试内容以考试大纲为基础,如有考生想要参加并获得CISP-PTE认证,建议先了解考纲,下文就是小编整理的CISP-PTE知识类:中间件安全(4.2),可供考生参考。
4.2 知识体:JAVA 开发的中间件
图 4-2:知识体:JAVA 开发的中间件
4.2.1 知识域:Weblogic
WebLogic 是美国 Oracle 公司出品的一个 application server,确切的说是一个基于 JAVAEE 架构的中间件,WebLogic 是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用的 Java 应用服务器。将 Java 的动态功能和 Java Enterprise 标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
知识子域: Weblogic 的安全设置
了解 Weblogic 的启动权限
了解修改 Weblogic 的默认开放端口的方法
了解禁止 Weblogic 列表显示文件的方法
知识子域:Weblogic 的漏洞利用与防范
掌握 Weblogic 后台获取权限的方法
掌握 Weblogic 存在的 SSRF 漏洞
掌握反序列化漏洞对 Weblogic 的影响
知识子域:Weblogic 的日志审计方法
掌握 Weblogic 日志的审计方法
4.2.2 知识域:Websphere
Websphere 是 IBM 的软件平台。它包含了编写、运行和监视全天候的工业强度的随需应变 Web 应用程序和跨平台、跨产品解决方案所需要的整个中间件基础设施,如服务器、服务和工具。Websphere 提供了可靠、灵活和健壮的软件。
知识子域: Websphere 的安全设置
了解 Websphere 管理的使用
了解 Websphere 的安全配置
知识子域:Websphere 的漏洞利用与防范
掌握反序列化漏洞对 Websphere 的影响
掌握 Websphere 后台获取权限的方法
知识子域: 漏洞利用与防范
掌握 Websphere 的日志审计
4.2.3 知识域:Jboss
是一个基于 J2EE 的开放源代码的应用服务器。 JBoss 代码遵循 LGPL 许可,可以在任何商业应用中免费使用,而不用支付费用。JBoss 是一个管理 EJB 的容器和服务器,支持 EJB 1.1、EJB 2.0 和 EJB3 的规范。但 JBoss 核心服务不包括支持 servlet/JSP 的 WEB 容器,一般与 Tomcat 或 Jetty 绑定使用。
知识子域:Jboss 的安全设置
了解设置 jmx-console/web-console 密码的方法
了解开启日志功能的方法
了解设置通讯协议,开启 HTTPS 访问
了解修改 Web 的访问端口
知识子域:Jboss 的漏洞利用与防范
掌握反序列化漏洞对 Jboss 的影响
JMXInvokerServlet/jmx-console/web-console 漏洞利用与防范
知识子域:Jboss 的日志审计方法
掌握 Jboss 日志审计的方法
更多备考信息尽在希赛网CISP频道-考试辅导栏目,敬请期待……
