2021CISP-PTE（注冊(cè)滲透測(cè)試工程師）考試內(nèi)容以考試大綱為基礎(chǔ)，如有考生想要參加并獲得CISP-PTE認(rèn)證，建議先了解考綱，下文就是小編整理的CISP-PTE知識(shí)類:中間件安全(4.2)，可供考生參考。

4.2 知識(shí)體：JAVA 開發(fā)的中間件

圖 4-2：知識(shí)體：JAVA 開發(fā)的中間件

4.2.1 知識(shí)域：Weblogic

WebLogic 是美國(guó) Oracle 公司出品的一個(gè) application server，確切的說是一個(gè)基于 JAVAEE 架構(gòu)的中間件，WebLogic 是用于開發(fā)、集成、部署和管理大型分布式 Web 應(yīng)用、網(wǎng)絡(luò)應(yīng)用和數(shù)據(jù)庫應(yīng)用的 Java 應(yīng)用服務(wù)器。將 Java 的動(dòng)態(tài)功能和 Java Enterprise 標(biāo)準(zhǔn)的安全性引入大型網(wǎng)絡(luò)應(yīng)用的開發(fā)、集成、部署和管理之中。

知識(shí)子域: Weblogic 的安全設(shè)置

了解 Weblogic 的啟動(dòng)權(quán)限

了解修改 Weblogic 的默認(rèn)開放端口的方法

了解禁止 Weblogic 列表顯示文件的方法

知識(shí)子域：Weblogic 的漏洞利用與防范

掌握 Weblogic 后臺(tái)獲取權(quán)限的方法

掌握 Weblogic 存在的 SSRF 漏洞

掌握反序列化漏洞對(duì) Weblogic 的影響

知識(shí)子域：Weblogic 的日志審計(jì)方法

掌握 Weblogic 日志的審計(jì)方法

4.2.2 知識(shí)域：Websphere

Websphere 是 IBM 的軟件平臺(tái)。它包含了編寫、運(yùn)行和監(jiān)視全天候的工業(yè)強(qiáng)度的隨需應(yīng)變 Web 應(yīng)用程序和跨平臺(tái)、跨產(chǎn)品解決方案所需要的整個(gè)中間件基礎(chǔ)設(shè)施，如服務(wù)器、服務(wù)和工具。Websphere 提供了可靠、靈活和健壯的軟件。

知識(shí)子域: Websphere 的安全設(shè)置

了解 Websphere 管理的使用

了解 Websphere 的安全配置

知識(shí)子域：Websphere 的漏洞利用與防范

掌握反序列化漏洞對(duì) Websphere 的影響

掌握 Websphere 后臺(tái)獲取權(quán)限的方法

知識(shí)子域: 漏洞利用與防范

掌握 Websphere 的日志審計(jì)

4.2.3 知識(shí)域：Jboss

是一個(gè)基于 J2EE 的開放源代碼的應(yīng)用服務(wù)器。 JBoss 代碼遵循 LGPL 許可，可以在任何商業(yè)應(yīng)用中免費(fèi)使用，而不用支付費(fèi)用。JBoss 是一個(gè)管理 EJB 的容器和服務(wù)器，支持 EJB 1.1、EJB 2.0 和 EJB3 的規(guī)范。但 JBoss 核心服務(wù)不包括支持 servlet/JSP 的 WEB 容器，一般與 Tomcat 或 Jetty 綁定使用。

知識(shí)子域:Jboss 的安全設(shè)置

了解設(shè)置 jmx-console/web-console 密碼的方法

了解開啟日志功能的方法

了解設(shè)置通訊協(xié)議，開啟 HTTPS 訪問

了解修改 Web 的訪問端口

知識(shí)子域：Jboss 的漏洞利用與防范

掌握反序列化漏洞對(duì) Jboss 的影響

JMXInvokerServlet/jmx-console/web-console 漏洞利用與防范

知識(shí)子域：Jboss 的日志審計(jì)方法

掌握 Jboss 日志審計(jì)的方法

更多備考信息盡在希賽網(wǎng)CISP頻道-考試輔導(dǎo)欄目，敬請(qǐng)期待……