注册渗透测试工程师/专家(CISP-PTE/PTS)认证
- CISP-PTEs
开课安排 - 报名即学
线上培训 - 企业团购
定点教学 - 不限地域
就近考试
一、CISP-PTE/PTS认证是什么?
注册信息安全专业人员-渗透测试工程师/专家(CISP-PTE/PTS)培训是由中国信息安全测评中心和CISP攻防领域考试中心统一管理和规范的信息安全专业培训,是国内最为主流及被业界认可的攻防领域渗透测试方向的专业资质培训。CISP-PTE/PTS目前是国内针对网络安全渗透测试专业人才的资格认证,也是国家对信息安全人员资质的高度认可。
二、CISP-PTE/PTS面向对象(哪些人可以考?)
cisp-pte认证对学历及工作经验没有门槛要求,渗透测试工程师,企业信息安全负责人员、信息安全从业人员、网络安全方向求职意向学生、网络安全兴趣爱好者均可参加。
三、CISP-PTE/PTS培训内容
在整个CISP-PTE/PTS知识体系结构中,共包括 web 安全、中间件安全、操作系统安全、数据库安全,渗透测试五个知识类,每个知识类根据其逻辑划分为多个知识体,每个知识体包含多个知识域,每个知识域由一个或多个知识子域组成。
CISP-PTE/ CISP-PTS 的知识体系结构框架
其中红色字体仅为CISP-PTS掌握的知识点
注册渗透测试认证知识体系结构共包含五个知识类,分别为:
1、web安全基础:主要包括HTTP协议、注入漏洞、XSS漏洞、SSRF漏洞、 CSRF 漏洞、文件处理漏洞、访问控制漏洞、会话管理漏洞等相关的技术知识和实践。
2、中间件安全基础::主要包括Apache、IIS、Tomcat、weblogic、websphere、 Jboss 等相关的技术知识和实践。
3、操作系统安全基础:主要包括Windows操作系统、Linux操作系统相关技术知识和实践。
4、数据库安全基础:主要包括Mssql数据库、Mysql数据库、Oracle数据库、Redis 数据库相关技术知识和实践。
5、渗透测试:主要包括信息收集,漏洞发现,漏洞利用相关技术知识和实践。
CISP渗透测试培训内容(其中红色字体为CISP-PTS需要掌握的知识)
| 知识域 | 知识子域 | 知识点 |
| Web安全基础 | HTTP 协议 | HTTP 协议请求方法、状态码、响应头信息、URL |
| 注入漏洞 | SQL 注入的基础知识 | |
| XML 实体注入基础知识 | ||
| 远程文件包含漏洞(RFI)的原理和修复方法 | ||
| 本地文件包含漏洞(LFI)产生原因及修复方法 | ||
| 命令执行漏洞的原理和修复方法 | ||
| 跨站脚本(XSS) 漏洞 | 存储型 XSS 漏洞发现与防范 | |
| 反射型 XSS 漏洞发现与防范 | ||
| Dom 型 XSS 漏洞发现与防范 | ||
| 请求伪造漏洞 | CSRF 跨站请求伪造漏洞的分析与利用 | |
| SSRF 服务端请求伪造漏洞的分析与利用 | ||
| 文件处理漏洞 | 任意文件上传/读取漏洞产生的原因与修复方法 | |
| 访问控制漏洞 | 垂直越权、横向越权漏洞的分析与利用 | |
| 会话管理漏洞 | 会话固定、会话劫持漏洞的产生原因和防范 | |
| Cookie 欺骗漏洞的产生原因和防范 | ||
| 中间件安全 | Apache | Apache 服务器权限配置 |
| Apache 服务器文件解析漏洞 | ||
| Apache 服务器日志审计方法 | ||
| IIS | IIS服务器安全设置 | |
| IIS服务器常见漏洞(文件解析漏洞、写权限洞的利用、短文件名漏洞) | ||
| IIS6 短文件名漏洞 | ||
| IIS 服务器日志审计方法 | ||
| Tomcat | Tomcat 管理账号密码修改方法 | |
| Tomcat 通过后台获取权限的方法 | ||
| Tomcat 服务器启动权限设置 | ||
| Tomcat 日志审计方法 | ||
| Weblogic | Weblogic 反序列化漏洞 | |
| Weblogic 管理后台弱口令风险 | ||
| Weblogic 服务端请求伪造漏洞 | ||
| Weblogic 日志审计方法 | ||
| JBoss | JBoss 反序列化漏洞 | |
| JBoss jmx-console/web-console 未授权访问 | ||
| JBoss jmx Invoker 远程命令执行 | ||
| JBoss 日志审计方法 | ||
| Websphere | Websphere 账号管理授权 | |
| Websphere 反序列化漏洞 | ||
| Websphere 管理后台弱口令风险 | ||
| Websphere 日志审计方法 | ||
| 操作系统安全基础 | Windows 系统安全 | 账户密码弱口令风险 |
| 账户的分组和权限 | ||
| NTFS 文件系统权限的设置 | ||
| Windows 日志的种类和审计方法 | ||
| 第三方应用和服务存在的漏洞 | ||
| Windows 权限提升方法 | ||
| Linux 系统安全 | 检查用户空口令的方法 | |
| 设置账户认证失败锁定次数和时间 | ||
| 检查除root以外的UID为0的用户 | ||
| 查找系统中存在的 SUID 和 SGID 程序 | ||
| 查找任何人都有写权限的目录和文件 | ||
| 第三方应用和服务可能存在的漏洞 | ||
| Linux 权限提升方法 | ||
| 系统日志的分类和审计方法 | ||
| 数据库安全 | Mssql 数据库安全 | Mssql 数据库的查询语法 |
| Mssql 数据库账户密码存在弱口令的风险 | ||
| Mssql 数据库服务器启动权限的设置 | ||
| Mssql 数据库的角色与权限的分配 | ||
| Mssql 数据库中常用的存储过程 | ||
| Mssql 数据库备份和日志备份方法 | ||
| Mssql 存储过程提权的方法 | ||
| Mysql 数据库安全 | Mysql 数据库的查询语法 | |
| Mysql 账户密码弱口令风险 | ||
| Mysql 创建用户并指定数据库授权 | ||
| Mysql 读取文件和导出文件的方法 | ||
| Mysql 提权的方法 | ||
| Oracle 数据库安全 | Oracle 数据库的查询语法 | |
| Oracle 数据库执行系统命令的方法 | ||
| Oracle 数据库账号权限的分配 | ||
| Oracle 数据库账号密码策略配置 | ||
| Oracle 数据库日志审计 | ||
| Redis 数据库安全 | Redis 数据库未授权访问的危害 | |
| Redis 数据库启动权限的设置 | ||
| Redis 写入文件的方法 | ||
| 渗透测试 | 渗透测试方法 | 信息收集、漏洞发现、漏洞利用 |
| 内网渗透测试方法 | 内网信息收集、内网横向移动、内网权限维持 |
四、CISP-PTE/PTS考试注册要求
成为注册信息安全专业人员-渗透测试工程师/专家(CISP-PTE/PTS),必须同时满足以下基本要求:
1、CISP-PTE/PTS报考人员需具备一定渗透测试能力,攻防相关从业人员或有意向从事渗透测试,包含信息安全相关专业高校生;
2、CISP-PTE/PTS无学历与工作经验的报考要求;
3、通过CISP攻防领域考试中心组织的CISP-PTE/PTS考试;
4、同意并遵守CISP-PTE/PTS职业准则;
5、满足CISP-PTE/PTS注册要求并成功通过审核;
6、证书有效期三年,证书失效后,需重新参加CISP-PTE注册考试。
五、CISP-PTE/PTS收费标准
1、CISP-PTE认证是全国统一收费标准,19800元/人。
具体收费内容包含培训费+注册费,其中培训费14800元/人,注册考试费5000元/人。
2、CISP-PTS认证是全国统一收费标准,27800元/人。
具体收费内容包含培训费+注册费,其中培训费19800元/,注册考试费8000元/人。
具体收费内容包含培训费+注册费,其中培训费14800元/人,注册考试费5000元/人。
2、CISP-PTS认证是全国统一收费标准,27800元/人。
具体收费内容包含培训费+注册费,其中培训费19800元/,注册考试费8000元/人。
六、CISP-PTE/PTS认证考试形式
1、CISP-PTE考试题型为客观题、实操题,客观题为单项选择题,共20题,每题1分;实操题8道,共80分。总分100分,得分70分以上(含70分)为通过。
2、CISP-PTS考试题型为实操题,共10题,每题10分,总分100分,得分70分以上(含70分)为通过。
| 渗透测试知识类别 | CISP-PTE分值占比 | CISP-PTS分值占比 |
| Web安全 | 50% | 30% |
| 操作系统与中间件 | 20% | 30% |
| 数据与日志分析 | 10% | 10% |
| 渗透测试 | 20% | 30% |
七、CISP-PTE认证培训收益
1、从事信全渗透测试工作通行证,具有规划测试方案、编写项目测试计划、编写测试用例、测试报告的基本知识和能力。
2、对学生而言,CISP-PTE证书是一个直接与就业岗位完美对接的职业与技能证明,是毕业高薪就业的重要砝码。
3、对信息安全从业人员来说,CISP-PTE证书是对渗透测试技术能力的证明,是高级应用安全人才必备证书。
4、对兴趣爱好者来说,具备扎实的安全基础知识、把兴趣爱好发展为网络安全渗透技术领域专业人员。
2、对学生而言,CISP-PTE证书是一个直接与就业岗位完美对接的职业与技能证明,是毕业高薪就业的重要砝码。
3、对信息安全从业人员来说,CISP-PTE证书是对渗透测试技术能力的证明,是高级应用安全人才必备证书。
4、对兴趣爱好者来说,具备扎实的安全基础知识、把兴趣爱好发展为网络安全渗透技术领域专业人员。
CISP-PTE与CISP-PTS都是渗透测试,考试怎么选?
收费: CISP-PTE培训报名费多少钱-信安客
备考2:CISP-PTE/PTS/IRE/IRS考试形式,能线上考试吗?
维持:CISP攻防领域认证证书维持攻略 ,cisp-pte/pts证书到期办理
维持:CISP-PTE|IRE过期了怎么办,要重考吗?
上一篇: 注册信息安全专业人员(CISP)认证
下一篇: 注册信息安全员(CISM)认证
