注册渗透测试工程师/专家(CISP-PTE/PTS)认证

  • CISP-PTEs
    2022年开课时间
  • 直播
    1月12-19日
  • 直播
    2月19-26日
  • 直播
    3月19-26日
  • PTE
    4月23-30日
  • PTS
    4月16-23日
  • PTE
    5月21-28日
  • PTS
    5月14-21日

 

 


一、CISP-PTE/PTS认证是什么?

注册信息安全专业人员-渗透测试工程师/专家(CISP-PTE/PTS)培训是由中国信息安全测评中心和CISP攻防领域考试中心统一管理和规范的信息安全专业培训,是国内最为主流及被业界认可的攻防领域渗透测试方向的专业资质培训。CISP-PTE/PTS目前是国内唯一针对网络安全渗透测试专业人才的资格认证,也是国家对信息安全人员资质的最高认可。

二、CISP-PTE/PTS面向对象(哪些人可以考?)

 cisp-pte认证对学历及工作经验没有门槛要求,渗透测试工程师,企业信息安全负责人员、信息安全从业人员、网络安全方向求职意向学生、网络安全兴趣爱好者均可参加。

 

三、CISP-PTE/PTS培训内容

 在整个CISP-PTE/PTS知识体系结构中,共包括 web 安全、中间件安全、操作系统安全、数据库安全,渗透测试五个知识类,每个知识类根据其逻辑划分为多个知识体,每个知识体包含多个知识域,每个知识域由一个或多个知识子域组成。
 CISP-PTE/ CISP-PTS 的知识体系结构框架
 CISP-PTE/ CISP-PTS 的知识体系结构框架
其中红色字体仅为CISP-PTS掌握的知识点
 
注册渗透测试认证知识体系结构共包含五个知识类,分别为:

1、web安全基础:主要包括HTTP协议、注入漏洞、XSS漏洞、SSRF漏洞、 CSRF 漏洞、文件处理漏洞、访问控制漏洞、会话管理漏洞等相关的技术知识和实践。
2、中间件安全基础:主要包括Apache、IIS、Tomcat、weblogic、websphere、 Jboss 等相关的技术知识和实践。
3、操作系统安全基础主要包括Windows操作系统、Linux操作系统相关技术知识和实践。
4、数据库安全基础主要包括Mssql数据库、Mysql数据库、Oracle数据库、Redis 数据库相关技术知识和实践。
5、渗透测试主要包括信息收集,漏洞发现,漏洞利用相关技术知识和实践。

CISP攻防领域培训内容(其中红色字体为CISP-PTS需要掌握的知识)
知识域 知识子域 知识点
Web安全基础 HTTP 协议 HTTP 协议请求方法、状态码、响应头信息、URL
注入漏洞 SQL 注入的基础知识
XML 实体注入基础知识
远程文件包含漏洞(RFI)的原理和修复方法
本地文件包含漏洞(LFI)产生原因及修复方法
命令执行漏洞的原理和修复方法
跨站脚本(XSS) 漏洞 存储型 XSS 漏洞发现与防范
反射型 XSS 漏洞发现与防范
Dom 型 XSS 漏洞发现与防范
请求伪造漏洞 CSRF 跨站请求伪造漏洞的分析与利用
SSRF 服务端请求伪造漏洞的分析与利用
文件处理漏洞 任意文件上传/读取漏洞产生的原因与修复方法
访问控制漏洞 垂直越权、横向越权漏洞的分析与利用
会话管理漏洞 会话固定、会话劫持漏洞的产生原因和防范
Cookie 欺骗漏洞的产生原因和防范
中间件安全 Apache  Apache 服务器权限配置
Apache 服务器文件解析漏洞
Apache 服务器日志审计方法
IIS IIS服务器安全设置
IIS服务器常见漏洞(文件解析漏洞、写权限洞的利用、短文件名漏洞)
IIS6 短文件名漏洞
IIS 服务器日志审计方法
Tomcat Tomcat 管理账号密码修改方法
Tomcat 通过后台获取权限的方法
Tomcat 服务器启动权限设置
Tomcat 日志审计方法
Weblogic Weblogic 反序列化漏洞
Weblogic 管理后台弱口令风险
Weblogic 服务端请求伪造漏洞
Weblogic 日志审计方法
JBoss JBoss 反序列化漏洞
JBoss jmx-console/web-console 未授权访问
JBoss jmx Invoker 远程命令执行
JBoss 日志审计方法
Websphere Websphere 账号管理授权
Websphere 反序列化漏洞
Websphere 管理后台弱口令风险
Websphere 日志审计方法
操作系统安全基础 Windows 系统安全 账户密码弱口令风险
账户的分组和权限
NTFS 文件系统权限的设置
Windows 日志的种类和审计方法
第三方应用和服务存在的漏洞
Windows 权限提升方法
Linux 系统安全 检查用户空口令的方法
设置账户认证失败锁定次数和时间
检查除root以外的UID为0的用户
查找系统中存在的 SUID 和 SGID 程序
查找任何人都有写权限的目录和文件
第三方应用和服务可能存在的漏洞
Linux 权限提升方法
系统日志的分类和审计方法
数据库安全 Mssql 数据库安全 Mssql 数据库的查询语法
Mssql 数据库账户密码存在弱口令的风险
Mssql 数据库服务器启动权限的设置
Mssql 数据库的角色与权限的分配
Mssql 数据库中常用的存储过程
Mssql 数据库备份和日志备份方法
Mssql 存储过程提权的方法
Mysql 数据库安全 Mysql 数据库的查询语法
Mysql 账户密码弱口令风险
Mysql 创建用户并指定数据库授权
Mysql 读取文件和导出文件的方法
Mysql 提权的方法
Oracle 数据库安全 Oracle 数据库的查询语法
Oracle 数据库执行系统命令的方法
Oracle 数据库账号权限的分配
Oracle 数据库账号密码策略配置
Oracle 数据库日志审计
Redis 数据库安全 Redis 数据库未授权访问的危害
Redis 数据库启动权限的设置
Redis 写入文件的方法
渗透测试 渗透测试方法 信息收集、漏洞发现、漏洞利用
内网渗透测试方法 内网信息收集、内网横向移动、内网权限维持

四、CISP-PTE/PTS考试要求

成为注册信息安全专业人员-渗透测试工程师/专家(CISP-PTE/PTS),必须同时满足以下基本要求:

1、CISP-PTE/PTS报考人员需具备一定渗透测试能力,或有意向从事渗透测试,包含信息安全相关专业高校生;
2、CISP-PTE/PTS无学历与工作经验的报考要求;
3、通过CISP攻防领域考试中心组织的CISP-PTE/PTS考试;
4、同意并遵守CISP-PTE/PTS职业准则;
5、满足CISP-PTE/PTS注册要求并成功通过审核;
6、证书有效期三年,证书失效后,需重新参加CISP-PTE注册考试。

五、CISP-PTE/PTS收费标准

1、CISP-PTE认证是全国统一收费标准,19800元/人

 具体收费内容包含培训费+注册费,其中培训费14800元/人,注册考试费5000元/人。

2、CISP-PTS认证是全国统一收费标准,27800元/人

 具体收费内容包含培训费+注册费,其中培训费19800元/,注册考试费8000元/人。

六、CISP-PTE/PTS认证考试形式

1、CISP-PTE考试题型为客观题、实操题,客观题为单项选择题,共20题,每题1分;实操题8道,共80分。总分100分,得分70分以上(含70分)为通过。

2、CISP-PTS考试题型为实操题,共10题,每题10分,总分100分,得分70分以上(含70分)为通过。

渗透测试知识类别 CISP-PTE分值占比 CISP-PTS分值占比
Web安全 50% 30%
操作系统与中间件 20% 30%
数据与日志分析 10% 10%
渗透测试 20% 30%
 

 

七、CISP-PTE认证培训收益

1、从事信息安全技术领域安全渗透测试工作,具有规划测试方案、编写项目测试计划、编写测试用例、测试报告的基本知识和能力。
2、对学生而言,CISP-PTE证书是一个直接与就业岗位完美对接的职业与技能证明,是毕业高薪就业的重要砝码。
3、对信息安全从业人员来说,CISP-PTE证书是对渗透测试技术能力的证明,是高级应用安全人才必备证书。
4、对兴趣爱好者来说,具备扎实的安全基础知识、把兴趣爱好发展为网络安全渗透技术领域专业人员

上一篇: 注册信息安全专业人员(CISP)认证

下一篇: 注册信息安全员(CISM)认证

 电话咨询  在线咨询  预约报名