通識課程

CPSA Boot Camp國際資安分析師實務課程-CREST Practitioner Security Analyst International Practical Course

0.0

(0)

關於課程

課程日期	定價	早鳥優惠價
平日班 2026/9/7-11	NT$75,000	NT$65,000

時數與費用

時數：5天 (09:00-18:00，每日8小時，共40小時)
費用：NT$~~75,000~~ 早鳥優惠價：NT$65,000
點數：19
講師：Larry Yeo

教材

全智網自製教材

課程目標

此課程為「數位發展部資通安全署」認可之資通安全專業證照

在這五天的課程中，您將可以學習：
透過實機演練操作來體驗駭客的思維模式，研究與實際應用外部威脅可能對組織發起“基礎設施”攻擊的工具和技術
為您提供進行應用程序滲透測試所需的技能，確保有效地保護寶貴的數據和資產。
學習一系列攻擊方法，並使用一系列工具，進行跨多作業系統環境的基礎架構滲透測試，從而獲得實踐經驗
為您介紹一系列防禦性對策，能夠以安全的方式識別和利用漏洞，使您可以保護網絡並應對網絡威脅
進行Web應用程序滲透測試的多種方法
如何利用漏洞訪問數據和功能
一系列防禦性對策，以及有關如何應對這些攻擊的足夠知識

適合對象

對基礎結構和Web應用程序的安全性負有責任或感興趣的任何人，包括：
系統管理員、軟體管理人員和網絡工程師
系統架構師或開發人員
IT安全人員
資訊安全專業人員
軟體開發人員
滲透測試人員

預備知識

建議具備 Windows OS、Linux 及網路基本概念

課程特色

超強資安實務經驗師資群，親自授課：
超強資安實務 20年以上經歷講師授課，由資安網通專家講師，獨家授課。
專業的領域由專業的資安講師來負責授課，具有30年以上大型企業的經驗以及豐富管理經歷，為您解答所有資安疑難問題。
重點學習：
萃取各專業領域重點項目，讓學員直接學習到重要概念與專業術語。
完整的雲端實作環境，重度實作
課程內容重視實作學習，課程 50%以上實機演練，其中 20%為滲透測試工具。
成立班級群組討論，隨時線上討論及經驗分享。
深入淺出：
列舉生活化的實例與應用，讓學員能夠真正了解較為艱深難懂的概念。

課程內容

天數	課程內容
第一天	介紹安全概念網路概念復習 TCP / IP子網切割網路流量數據分析資訊收集方法論資訊收集的來源資訊收集– wget, metadata, pdfinfo and extract DNS –dig, zone transfers, DNSenum and FierceLinux/UNIX File System 目標掃描搜索主機– Nmap and Netdiscover 使用Nmap進行連接埠掃描– Connect, SYN and UDP scans, OS detection Banner Grabbing – Amap, Netcat, Nmap, Nmap scripts (NSE)
第二天	漏洞評估漏洞管理生命週期漏洞管理 Nikto Nessus Windows攻擊 Windows Enumeration – (SNMP, IPC$) Enum4linux RID Cycling – Enum4linux, Cain Metasploit 客戶端漏洞– Internet Explorer, Metasploit Auxiliary Modules 權限擴充– Keylogging, Service Configuration Password Cracking – John The Ripper, Cain, Rainbow tables 暴力密碼破解攻擊 Attacks on Cached Domain Credentials 令牌竊取– PsExec, Incognito, local admin to domain admin Pass the Hash
第三天	Linux攻擊 Linux用戶枚舉資料庫服務概述 Linux Exploitation without Metasploit 在線密碼破解 –Medusa 用戶定義的功能 ARP 毒害Man in the Middle – clear-text protocols, secured Protocols 查看文件系統權限利用sudo和SUID錯誤配置 Exploiting sudo through File Permissions Exploiting SUID and Flawed Scripts – logic errors Further Shell Script Flaws –command injection, path exploits 密碼攻擊- Cracking Linux Passwords 利用寫得不好的腳本 Further NFS hacks- Privilege Escalation via NFS 標準串流 Pivoting the Connection 最佳自動化工具存取未暴露的網路目標 Pivoting using Metasploit 使用代理鏈手動方式保持存取保留對受感染系統的存取常見的惡意軟件策略規避防毒軟體追蹤的技術替代資料串流 Dark Comet
第四天	Web應用程序審核概述 Web應用威脅 Web Refresher Proxies The OWASP Top Ten Web應用程序安全審核工具及其局限性 HTTP 請求和回應修改邏輯缺陷 Ai-Injections -SQLi/XSS 種類資料庫概述 – data storage, SQL Exploiting SQL injection – e.g. data theft, authentication Exploiting Blind SQL injection Exploiting stored procedures and Bypass Exploiting leaked information through errors Exploiting Server-Side Template Injection (SSTI) Exploiting Server-Side Request Forgery (SSRF) Exploiting Application Programming Interface (API)
第五天	Broken Authentication 攻擊認證頁面利用可預測的請求會話管理- cookies 敏感數據暴露識別敏感數據安全的存儲方式 XML External Entities (XXE) Identifying XXE 案例分析 Broken Access Control 不安全的直接物件引用直接與間接物件引用 Cross-site Request Forgery (CSRF) Missing Function Level Access Control 未經驗證的重定向和轉發安全配置錯誤識別配置錯誤案例分析 Cross-site Scripting (XSS) JavaScript 電子郵件欺騙網絡釣魚 Reflected and Persistent XSS Cookies, 會話和會話劫持不安全的反序列化識別不安全的物件案例分析使用具有已知漏洞的元件識別已知的元件漏洞案例分析日誌和監控不足場景其他Web審核工具和結論案例分析

考試資訊

考試中心：PersonVUE
考試代號：CPSA: CREST Practitioner Security Analyst
考試費用：US$ 400
考試時間：2個小時, 120 多項選擇題

考試FAQ

1.CPSA考試範圍

考生心得：

技術廣度類似CISSP(包山包海)，技術深度比 CEH 深一點。
充份準備之下，不難考過的證照，但不容易拿高分。

官方制定範圍

10 個領域，包含:

A: Soft Skills and Assessment Management
B: Core Technical Skills
C: Background Information Gathering & Open Source D: Networking Equipment
E: Microsoft Windows Security Assessment
F: Unix Security Assessment
G: Web Technologies
H: Web Testing Methodologies I: Web Testing Techniques
J: Databases

2.考試型態

線上考試
120 題單選題
考試時間:120 分鐘
通過標準:60%

3.考場考試流程？

15 分鐘前到考試中心報到
驗雙證件(護照, 簽名信用卡)
照相
所有物品放置物櫃。飲水及食物放在考場外
只准帶主要證件和置物櫃鑰匙。
進入考場前，檢查眼鏡、口袋、身體(自行拍打)。
考場提供小白板和筆，做為考試中有計算需求使用。
考前會有原廠考試說明
題目可以標記再回頭 review
考完時，填寫原廠線上問卷。
出去考場後，櫃台會給考試結果紙本。

備註事項

CPSA認證等效性認可計劃：https://www.crest-approved.org/professional-qualifications/certification-equivalency-recognition-programmes/ec-council-ecsa-v10cpsa-cpentcrt-ecsa-practicalcrt/index.html

國內認證申請案例：資料參考自Kuro Huang 資安工作者的學習之路，並感謝作者授權轉載
https://medium.com/blacksecurity/crestcpsa-5a07e25e7da3

—

全智網科技附設全能資安補習班所舉辦的課程皆符合退輔會 (國軍退除役官兵輔導委員會) 補助，退除役官兵及配偶、子女符合資格者經主管機關單位同意後可申請補助，最高補助12萬！報名前，請先詢問各縣市榮民服務處，參訓辦法可參考：職業訓練補助榮民服務處網址：

https://www.vac.gov.tw/cp-2031-44521-1.html

職業訓練補助網址：

https://www.vac.gov.tw/lp-2031-1.html

課程內容

講師

Yeo Larry

專業講師

0.0

0 學生

1 課程

經歷：
擁有逾 30 年資通訊產業資歷、28 年專業講師經驗，曾任 NTT 集團 Training Partners 營運總監，帶領亞太區講師與營運團隊，負責大型資料中心與 CRM 導入專案。
專業核心深耕於「資安」領域，專注於資安營運與事件應變訓練，具備豐富 Cyber Range 實戰演練規劃與執行經驗，曾為金融、醫療及運輸等關鍵產業客戶設計事件響應演練。具備紮實的技術證照與多年領導經驗，能提供企業級的資安培訓與能力提升方案
持有多張國際資安證照，包括 CREST CPIA / CPSA、CISSP、CISA、CISM、各大弱點掃描與滲透測試工具相關認證，並同時具備雲端架構、XDR / XSOAR 安全營運方案與 Big Data 分析專業。
兼具 ITIL 實務與管理背景，能將技術能力與企業營運需求連結，協助企業從治理、流程到技術面，建構完整的資安防護與人才培育體系，是企業級資安與 CREST 認證課程領域備受信賴的資深講師。
 Skillconex Pte Ltd - Founder
 Training Partners Pte Ltd - Director

專長：
 CREST 系列（CPIA / CPSA）及滲透測試、弱點管理與技術稽核
 國際資安證照課程授課經驗：CISSP、CISA、CISM…等
 Cyber Range 網路攻防與資安事件響應演練規劃與帶領
 資安營運解決方案實務與導入經驗
 金融、醫療、運輸等關鍵基礎設施領域之資安訓練與顧問經驗
 雲端架構與資料中心、虛擬化與網路安全（含多家原廠防火牆與資安設備）
 Big Data Analytics / 資料分析與資安監測情境整合
 ITIL、營運管理與企業資安治理流程規劃及教育訓練設計

證照：
 資安治理與稽核：CISSP, CISA, CISM
 滲透測試與分析：CREST CPIA, CPTIA, CPSA
 弱點管理：Tenable Security Centre / Nessus Engineer ; Rapid7 Nexpose Certified Administrator (NCA)
 網路資安：Palo Alto Networks Next-Generation Firewall Engineer, Detection and Remediation Analyst ; Fortinet NSE4
 道德駭客與資安事件應變：EC-Council CEH, ECIH
 其他資安技術經驗，如 Forcepoint (AP-Web, AP-Data, AP-Email), Juniper (JNCIA / JNCIS-FW / SSL)