2021CISP-PTE（注冊滲透測試工程師）考試內(nèi)容以考試大綱為基礎(chǔ)，如有考生想要參加并獲得CISP-PTE認(rèn)證，建議先了解考綱，下文就是小編整理的CISP-PTE知識(shí)類:中間件安全(4.1)，可供考生參考。

第4章 知識(shí)類：中間件安全

中間件安全基礎(chǔ)是注冊信息安全專業(yè)人員需要掌握的通用基礎(chǔ)知識(shí)。通過本部分的學(xué)習(xí)，學(xué)員應(yīng)當(dāng)：

了解中間件的基本概念和加固方法

掌握主流中間件的權(quán)限配置，解析漏洞風(fēng)險(xiǎn)

掌握 JAVA 開發(fā)的中間件反序列化漏洞風(fēng)險(xiǎn)

4.1 知識(shí)體：主流的中間件

圖 4-1：知識(shí)體：主流的中間件

4.1.1 知識(shí)域：Apache

Apache 是世界使用排名第一的 Web 服務(wù)器軟件，它可以運(yùn)行在幾乎所有廣泛使用的計(jì)算機(jī)平臺(tái)上，由于其跨平臺(tái)和安全性被廣泛使用，是最流行的 Web服務(wù)器端軟件之一。Apache 自身的安全性是很高的，但是人為的錯(cuò)誤設(shè)置會(huì)導(dǎo)致 Apache 產(chǎn)生安全問題。

知識(shí)子域：Apache 服務(wù)器的安全設(shè)置

了解當(dāng)前 Apache 服務(wù)器的運(yùn)行權(quán)限

了解控制配置文件和日志文件的權(quán)限，防止未授權(quán)訪問

了解設(shè)置日志記錄文件、記錄內(nèi)容、記錄格式

了解禁止 Apache 服務(wù)器列表顯示文件的方法

了解修改 Apache 服務(wù)器錯(cuò)誤頁面重定向的方法

掌握設(shè)置 Web 目錄的讀寫權(quán)限，腳本執(zhí)行權(quán)限的方法

知識(shí)子域：Apache 服務(wù)器文件名解析漏洞

了解 Apache 服務(wù)器解析漏洞的利用方式

掌握 Apache 服務(wù)器文件名解析漏洞的防御措施

知識(shí)子域：Apache 服務(wù)器日志審計(jì)

掌握 Apache 服務(wù)器日志審計(jì)方法

4.1.2 知識(shí)域：IIS

IIS 全稱為 Internet Information Service(Internet 信息服務(wù))，它的功能是提供信息服務(wù)，如架設(shè) http、ftp 服務(wù)器等知識(shí)子域：IIS 服務(wù)器的安全設(shè)置

了解身份驗(yàn)證功能，能夠?qū)υL問用戶進(jìn)行控制

了解利用賬號(hào)控制 web 目錄的訪問權(quán)限，防止跨目錄訪問

了解為每個(gè)站點(diǎn)設(shè)置單獨(dú)的應(yīng)用程序池和單獨(dú)的用戶的方法

了解取消上傳目錄的可執(zhí)行腳本的權(quán)限的方法

啟用或禁用日志記錄，配置日志的記錄選項(xiàng)

知識(shí)子域：IIS 服務(wù)器的常見漏洞

掌握 IIS6，IIS7 的文件名解析漏洞

掌握 IIS6 寫權(quán)限的利用

掌握 IIS6 存在的短文件名漏洞

知識(shí)子域：IIS 服務(wù)器日志審計(jì)方法

掌握 IIS 日志的審計(jì)方法

4.1.3 知識(shí)域：Tomcat

Tomcat 是一個(gè)小型的輕量級(jí)應(yīng)用服務(wù)器，在中小型系統(tǒng)和并發(fā)訪問用戶不是很多的場合下被普遍使用，是開發(fā)和調(diào)試 JSP 程序的首選。

知識(shí)子域：Tomcat 服務(wù)器的安全設(shè)置

了解 Tomcat 服務(wù)器啟動(dòng)的權(quán)限

了解 Tomcat 服務(wù)器后臺(tái)管理地址和修改管理賬號(hào)密碼的方法

了解隱藏 Tomcat 版本信息的方法

了解如何關(guān)閉不必要的接口和功能

了解如何禁止目錄列表，防止文件名泄露

掌握 Tomcat 服務(wù)器通過后臺(tái)獲取權(quán)限的方法

掌握 Tomcat 樣例目錄 session 操縱漏洞

知識(shí)子域：Tomcat 服務(wù)器的日志審計(jì)方法

了解 Tomcat 的日志種類

掌握 Tomcat 日志的審計(jì)方法

更多備考信息盡在希賽網(wǎng)CISP頻道-考試輔導(dǎo)欄目，敬請(qǐng)期待……