2021CISP-PTE知識類:中間件安全(4.1)

2021CISP-PTE（注冊滲透測試工程師）考試內容以考試大綱為基礎，如有考生想要參加并獲得CISP-PTE認證，建議先了解考綱，下文就是小編整理的CISP-PTE知識類:中間件安全(4.1)，可供考生參考。

第4章 知識類：中間件安全

中間件安全基礎是注冊信息安全專業(yè)人員需要掌握的通用基礎知識。通過本部分的學習，學員應當：

了解中間件的基本概念和加固方法

掌握主流中間件的權限配置，解析漏洞風險

掌握 JAVA 開發(fā)的中間件反序列化漏洞風險

4.1 知識體：主流的中間件

圖 4-1：知識體：主流的中間件

4.1.1 知識域：Apache

Apache 是世界使用排名第一的 Web 服務器軟件，它可以運行在幾乎所有廣泛使用的計算機平臺上，由于其跨平臺和安全性被廣泛使用，是最流行的 Web服務器端軟件之一。Apache 自身的安全性是很高的，但是人為的錯誤設置會導致 Apache 產(chǎn)生安全問題。

知識子域：Apache 服務器的安全設置

了解當前 Apache 服務器的運行權限

了解控制配置文件和日志文件的權限，防止未授權訪問

了解設置日志記錄文件、記錄內容、記錄格式

了解禁止 Apache 服務器列表顯示文件的方法

了解修改 Apache 服務器錯誤頁面重定向的方法

掌握設置 Web 目錄的讀寫權限，腳本執(zhí)行權限的方法

知識子域：Apache 服務器文件名解析漏洞

了解 Apache 服務器解析漏洞的利用方式

掌握 Apache 服務器文件名解析漏洞的防御措施

知識子域：Apache 服務器日志審計

掌握 Apache 服務器日志審計方法

4.1.2 知識域：IIS

IIS 全稱為 Internet Information Service(Internet 信息服務)，它的功能是提供信息服務，如架設 http、ftp 服務器等知識子域：IIS 服務器的安全設置

了解身份驗證功能，能夠對訪問用戶進行控制

了解利用賬號控制 web 目錄的訪問權限，防止跨目錄訪問

了解為每個站點設置單獨的應用程序池和單獨的用戶的方法

了解取消上傳目錄的可執(zhí)行腳本的權限的方法

啟用或禁用日志記錄，配置日志的記錄選項

知識子域：IIS 服務器的常見漏洞

掌握 IIS6，IIS7 的文件名解析漏洞

掌握 IIS6 寫權限的利用

掌握 IIS6 存在的短文件名漏洞

知識子域：IIS 服務器日志審計方法

掌握 IIS 日志的審計方法

4.1.3 知識域：Tomcat

Tomcat 是一個小型的輕量級應用服務器，在中小型系統(tǒng)和并發(fā)訪問用戶不是很多的場合下被普遍使用，是開發(fā)和調試 JSP 程序的首選。

知識子域：Tomcat 服務器的安全設置

了解 Tomcat 服務器啟動的權限

了解 Tomcat 服務器后臺管理地址和修改管理賬號密碼的方法

了解隱藏 Tomcat 版本信息的方法

了解如何關閉不必要的接口和功能

了解如何禁止目錄列表，防止文件名泄露

掌握 Tomcat 服務器通過后臺獲取權限的方法

掌握 Tomcat 樣例目錄 session 操縱漏洞

知識子域：Tomcat 服務器的日志審計方法

了解 Tomcat 的日志種類

掌握 Tomcat 日志的審計方法

更多備考信息盡在希賽網(wǎng)CISP頻道-考試輔導欄目，敬請期待……