注册信息安全专业人员-渗透测试工程师,英文为 Certified Information Security Professional - Penetration Test Engineer ,简称 CISP-PTE。证书持有人员主要从事信息安全技术领域网站渗透测试工作,具有规划测试方案、 编写项目测试计划、编写测试用例、测试报告的基本知识和能力。
一、考试要求
成为注册信息安全专业人员-渗透测试工程师(CISP-PTE),必须同时满足以下基本要求:
- 具备一定渗透测试能力,或有意向从事渗透测试的人员,包含信息安全相关专业高校生;
- 同意并遵守 CISP-PTE 职业准则;
- 满足 CISP-PTE 注册要求并成功通过 CISP-PTE 审核;
- 通过 CISP-攻防领域考试中心组织的CISP-PTE 考试;
- 注册信息安全专业人员-渗透测试工程师资质证书有效期三年,证书有效期届满前60天内,须提出维持换证申请
P.S. (CISP-PTE)报考无需学历与工作经验要求
二、考试方向
考试需了解的内容主要为 Web、中间件、操作系统、数据库阿安全:
1.了解常见 web 安全漏洞如:注入漏洞,XSS 漏洞,CSRF 漏洞,SSRF 漏洞,文件上传、读取漏洞,访问控制漏洞,会话管理漏洞等,理解并能够挖掘这些漏洞,并且学会相关漏洞的修复手段。
2. 了解中间件相关的安全知识,包括 Apache,IIS,Tomcat,Weblogic,Jboss,Websphere 等。了解中间件的特性以及安全加固的方法,了解最新的安全漏洞。
3. 了解操作系统的安全基础知识,包括 Windows,Linux 操作系统账户的分配与安全设置,文件系统权限的管理,日志审计的基本方法,以及第三方应用安全。由此可以知晓操作系统常见的攻击手段,以及安全加固的基础知识,通过日志审计进行安全事件分析,掌握最新的系统内核漏信息,能够及时修复漏洞。
4. 了解数据库的安全基础知识,主要为 Mssql,Mysql,Oracle,Redis 数据库。了解数据库的使用方法和语法结构,掌握数据库的安全设置以及权限,角色的分配。了解常用的利用数据库来进行文件操作和权限提升的方法以及应对措施。
三、考试费用(共5000)
| 考试费 | 注册费 | 续证维持(三年) | 补考费用 |
|---|---|---|---|
| 3000 | 500 | 1500 | 2500 |
P.S. 如果就职安全公司的话,一般都会有内部考试渠道,可以咨询相关人员或许会更便宜,甚至免费。
四、考试题型
CISP-PTE 考试题型为客观题和实操题。
客观题为单项选择题,共20题,每题1分,共20分;
实操题共80分,需连接堡垒机上机实操,挖掘漏洞寻找 Key ,一个 Key 10分。实操分为两个实操环境,第一个环境5个 Key 共50分,第二个环境3个 Key 共30分;
总分共100分,得到70分以上(含 70 分)为通过。
