目录写在最前面一、信息安全保障知识框架二、信息安全保障基础1.信息安全的定义2.信息安全问题3.信息安全问题的根源与特征4.信息安全属性5.信息安全视角6.信息安全发展阶段7.威胁情报与态势感知三、信息安全保障框架1.PDR模型2.PPDR模型3.IATF模型4.信息系统安全保障评估框架5.企业安全架构（舍伍德商业应用架构模型）四、总结写在最前面大家好我是ChenD，天师大软件工程专业，大三选择了网络空间安全方向，准备备战NISP一二级，还是一个非常非常小的“小学生”，从这一篇文章开始，记录自己的学习内容，跟大家一起学习，这一部分的内容大多数来自专业课郭孟辉郭老师上课讲的内容，后续也会分享一些

 国家信息安全水平考试（NationalInformationSecurityTestProgram，简称NISP）分为NISP一级、NISP二级、NISP三级（专项），是由中国信息安全测试中心实施培养国家网络空间安全人才的项目。由国家网络空间安全人才培养基地运营管理在NISP管理中心了解到，NISP二级被称为“校园版CISP”，学生持NISP二级证书可毕业后达到CISP报名条件时，免考、免学习培训获得CISP资格证书全国各地颁布NISP二级/CISP补贴政策，最多可拿30000元一、深圳市龙华区：持NISP二级证书，给予一次性3万元数字经济资格证书奖赏。2021年11月4日深圳市龙华区公布《

CISP注册信息安全专业人员CISP-PTE注册渗透测试工程师（以下简称PTE）1、发证机构CISP与PTE的发证机构都是中国信息安全测评中心，政府背景给认证做背书，学员信息都在中国政府可控的机构手中；如果想在政府、国企及重点行业从业，企业获取信息安全服务资质，参与网络安全项目，这两个认证都是非常重要的。PTE兼具厂商认可背书，持PTE证书360企业安全服务部门免面试。2、知识体系CISP认证是"一英里宽一英寸深"的知识体系，让学员有信息安全的总体知识概括，未来想在哪个领域发展，肯定还需要深入学习。未来适合从事咨询，管理，架构设计的工作。PTE属于渗透测试方向的专项考试，是国内首个渗透测试领域

系列文章目录文章目录系列文章目录前言一、SQL注入二、文件上传三、文件包含四、反序列化漏洞五、失效的访问控制六、代码审计总结前言上一期给大家讲解了PTE考试练习的第一套题，每个题的解法都很详细的讲解了，接下来会给大家讲解第二套题，也是历年考试的题目，难度有点大，在这里给大家好好讲解一下。一、SQL注入http://192.168.230.133:81/http://192.168.230.133:81/start/进去之后，我们发现是一个注册页面，我们先注册一个账号我们发表一个看看insertarticle1value(‘977E4328-4F2E-6A8D-6313-2BAB8B3FAC0B

认证介绍CISAW（信息安全保障人员认证）是CCRC（中国网络安全审查技术与认证中心）推出的一个证书。CISP是国家信息安全测评中心推出的一个证书。CCRC与国测的关系这两个机构都可以颁发信息安全服务相关资质，它俩没有直接关系。两个机构都推出了信息安全相关的证书，一个是CISAW，一个是CISPCISP与CISAW哪个更专业就专业程度来讲，CISAW更专业，面向的人群也都是直接与信息安全工作相关的技术人员，而CISP更大众化，相当于只要你要进入信息安全行业，就可以来一个CISP。考试要求两个证书都要求有工作经历，CISAW：专科三年工作经历，本科1年工作经历。CISP：专科四年工作经历，本科2

CISP和CISSP都是信息安全认证资格考试，但是它们之间有一些区别。CISP（CertifiedInformationSecurityProfessional）认证考试是由国际信息系统安全认证联盟（ISC)²所开发和管理的，主要考核信息安全专业人员在保障企业信息系统安全方面的知识和技能，主要适用于网络和系统管理员、安全工程师等信息安全从业人员。CISP考试主要涵盖以下十个领域：信息安全与风险管理、安全架构与设计、网络与通信安全、身份与访问管理、安全测试与操作、安全运营、软件开发安全、加密学、安全与合规、安全领导力和管理。CISSP（CertifiedInformationSystemsSec

CISP-PTE实操练习题讲解一（新版）文章目录CISP-PTE实操练习题讲解一（新版）前言一、CISP-PTE考试感悟二、CISP-PTE实操练习题讲解（一）1.SQL注入（1）第一种解法（2）第二种解法2.文件上传3.文件包含4.命令执行5.日志分析6.代码审计7.代码审计(2)总结前言最近已经考完PTE的考试了，总体来说，难度较大，对于我学渗透测试快一年来说，基础还算不错的，但是最后还是因为没有接触过一些新题型，导致最后的key没有做出来，不过最后还是加上选择题的分数，刚刚过的，今天，我给大家总结一下，在培训过程中讲的第一套题的新的解题方法。希望对以后有需要考PTE的同学有帮助，后续会讲

CISP-PTE实操练习题讲解一（新版）文章目录CISP-PTE实操练习题讲解一（新版）前言一、CISP-PTE考试感悟二、CISP-PTE实操练习题讲解（一）1.SQL注入（1）第一种解法（2）第二种解法2.文件上传3.文件包含4.命令执行5.日志分析6.代码审计7.代码审计(2)总结前言最近已经考完PTE的考试了，总体来说，难度较大，对于我学渗透测试快一年来说，基础还算不错的，但是最后还是因为没有接触过一些新题型，导致最后的key没有做出来，不过最后还是加上选择题的分数，刚刚过的，今天，我给大家总结一下，在培训过程中讲的第一套题的新的解题方法。希望对以后有需要考PTE的同学有帮助，后续会讲

一账户安全（一）用户类型Linux用户类型分为三类，超级用户，系统用户和普通用户1.超级用户：用户名为root或者UID为0的账号，具有一切权限，可以操作系统中的所有资源。Root用户可以进行基础的文件操作以及特殊的系统管理，可以修改系统中的任何文件。2.系统用户：系统定义的群组和账户，这些群组和账号是正确安装和更新系统软件所必须的。每个进程运行在系统里都有一个相应的属主，比如某个进程以何种身份运行，这些身份就是系统里对应的用户账号，比如系统中的htpd进程就是使用用户apache运行的。当安装apache,sql数据库，PHP环境等相关软件时，会自动在系统中生成一个属主和账户，这便是系统账户

0x00前言初考CIST-PTE是在2019年，今天做了下维持，对其中的一些题目做下记录。其实这些题目基本上都是在网上可以找到的，其中标注的答案部分有极个别可能有误，请慎重！这里说下题型分布，选择题40个，80分；实操题2个，20分。总分100，>=70即可拿证。下面开始吧0x01选择题1、（）是最常用的公钥密码算法（2分）A量子密码BDSACRSAD椭圆曲线2、通过修改HTTPHeaders中的哪个键值可以伪造来源网址（）（2分）AUser-AgentBAcceptCRefererDX-Forwarded-For3、在使用Sqlmap进行SQL注入时，我们会使用什么参数来爆所有的数据库名（）