2021CISP-PTE知識類:中間件安全(4.1)

2021CISP-PTE（注冊滲透測試工程師）考試內(nèi)容以考試大綱為基礎(chǔ)，如有考生想要參加并獲得CISP-PTE認(rèn)證，建議先了解考綱，下文就是小編整理的CISP-PTE知識類:中間件安全(4.1)，可供考生參考。

第4章 知識類：中間件安全

中間件安全基礎(chǔ)是注冊信息安全專業(yè)人員需要掌握的通用基礎(chǔ)知識。通過本部分的學(xué)習(xí)，學(xué)員應(yīng)當(dāng)：

了解中間件的基本概念和加固方法

掌握主流中間件的權(quán)限配置，解析漏洞風(fēng)險

掌握 JAVA 開發(fā)的中間件反序列化漏洞風(fēng)險

4.1 知識體：主流的中間件

圖 4-1：知識體：主流的中間件

4.1.1 知識域：Apache

Apache 是世界使用排名第一的 Web 服務(wù)器軟件，它可以運行在幾乎所有廣泛使用的計算機平臺上，由于其跨平臺和安全性被廣泛使用，是最流行的 Web服務(wù)器端軟件之一。Apache 自身的安全性是很高的，但是人為的錯誤設(shè)置會導(dǎo)致 Apache 產(chǎn)生安全問題。

知識子域：Apache 服務(wù)器的安全設(shè)置

了解當(dāng)前 Apache 服務(wù)器的運行權(quán)限

了解控制配置文件和日志文件的權(quán)限，防止未授權(quán)訪問

了解設(shè)置日志記錄文件、記錄內(nèi)容、記錄格式

了解禁止 Apache 服務(wù)器列表顯示文件的方法

了解修改 Apache 服務(wù)器錯誤頁面重定向的方法

掌握設(shè)置 Web 目錄的讀寫權(quán)限，腳本執(zhí)行權(quán)限的方法

知識子域：Apache 服務(wù)器文件名解析漏洞

了解 Apache 服務(wù)器解析漏洞的利用方式

掌握 Apache 服務(wù)器文件名解析漏洞的防御措施

知識子域：Apache 服務(wù)器日志審計

掌握 Apache 服務(wù)器日志審計方法

4.1.2 知識域：IIS

IIS 全稱為 Internet Information Service(Internet 信息服務(wù))，它的功能是提供信息服務(wù)，如架設(shè) http、ftp 服務(wù)器等知識子域：IIS 服務(wù)器的安全設(shè)置

了解身份驗證功能，能夠?qū)υL問用戶進行控制

了解利用賬號控制 web 目錄的訪問權(quán)限，防止跨目錄訪問

了解為每個站點設(shè)置單獨的應(yīng)用程序池和單獨的用戶的方法

了解取消上傳目錄的可執(zhí)行腳本的權(quán)限的方法

啟用或禁用日志記錄，配置日志的記錄選項

知識子域：IIS 服務(wù)器的常見漏洞

掌握 IIS6，IIS7 的文件名解析漏洞

掌握 IIS6 寫權(quán)限的利用

掌握 IIS6 存在的短文件名漏洞

知識子域：IIS 服務(wù)器日志審計方法

掌握 IIS 日志的審計方法

4.1.3 知識域：Tomcat

Tomcat 是一個小型的輕量級應(yīng)用服務(wù)器，在中小型系統(tǒng)和并發(fā)訪問用戶不是很多的場合下被普遍使用，是開發(fā)和調(diào)試 JSP 程序的首選。

知識子域：Tomcat 服務(wù)器的安全設(shè)置

了解 Tomcat 服務(wù)器啟動的權(quán)限

了解 Tomcat 服務(wù)器后臺管理地址和修改管理賬號密碼的方法

了解隱藏 Tomcat 版本信息的方法

了解如何關(guān)閉不必要的接口和功能

了解如何禁止目錄列表，防止文件名泄露

掌握 Tomcat 服務(wù)器通過后臺獲取權(quán)限的方法

掌握 Tomcat 樣例目錄 session 操縱漏洞

知識子域：Tomcat 服務(wù)器的日志審計方法

了解 Tomcat 的日志種類

掌握 Tomcat 日志的審計方法

更多備考信息盡在希賽網(wǎng)CISP頻道-考試輔導(dǎo)欄目，敬請期待……