CISP-PTE和CISP-PTS是两个与网络安全渗透测试相关的认证,虽然它们有相似之处,但也存在一些区别。
**CISP-PTE:**证书持有人员主要从事信息安全技术领域网站渗透测试工作,具有规划测试方案、编写项目测试计划、编写测试用例、测试报告的基本知识和能力。
**CISP-PTS:**证书持有人员主要从事漏洞研究、代码分析工作,最新网络安全动态跟踪研究以及策划解决方案能力。
渗透测试知识体系结构图展示了CISP-PTE和CISP-PTS的共同特点,都包含了五个核心的知识类别,即WEB安全、中间件安全、操作系统安全、数据库安全以及渗透测试。如下所示:
-
**WEB 安全:**主要包括 HTTP 协议、注入漏洞、XSS 漏洞、SSRF 漏洞、CSRF漏洞、文件处理漏洞、访问控制漏洞、会话管理漏洞,代码审计等相关的技术知识和实践。
-
**中间件安全:**主要包括 Apache、IIS、Tomcat、weblogic、websphere、Jboss 等相关的技术知识和实践。
-
**操作系统安全:**主要包括 Windows 操作系统、Linux 操作系统相关技术知识和实践。
-
**数据库安全:**主要包括 Mssql 数据库、Mysql 数据库、Oracle 数据库、Redis 数据库相关技术知识和实践。
-
**渗透测试:**主要包括信息收集,漏洞发现,漏洞利用相关技术知识和实践。
除了知识体系的差异之外,CISP-PTE和CISP-PTS在考试试题结构上也存在显著差异。相较于CISP-PTE,CISP-PTS对考生的知识掌握深度、广度以及实际操作经验和能力的要求更高,考试难度也明显增加。
CISP-PTS在要求考生具备CISP-PTE所需的全部知识和技能的基础上,还对内网安全、数据库安全和中间件安全方面提出了全新的要求。
1✦ 内 网 安 全
内网安全是网络安全渗透测试过程中需要关注的重点。CISP-PTS综合内网渗透的技术方法与逻辑顺序,新增考察知识点:内网信息搜集、内网横向移动、内网权限维持。
2✦ 数 据 库 安 全
数据库安全在渗透测试中占有重要的比重,CISP-PTS在这方面的知识能力考察要求比CISP-PTE更高。除了需要掌握主流的MySQL、MSSQL数据库渗透知识以外,还需要掌握以下重要考察知识内容:Oracle关系型数据库安全、Redis非关系型数据库安全。
3✦ 中 间 件 安 全
中间件作为当前网络应用体系架构中不可缺少的一部分。CISP-PTS注册考试要求考生除了需要掌握Apache、IIS、Tomcat等常见中间件的安全知识以外,还需要掌握在Java环境下重要中间件的安全知识。其考察知识内容包括:Weblogic、Websphere、Jboss等中间件的安全设置、日志审计、漏洞利用与防范方法。
想入行或者感兴趣的小伙伴,赠上全套网络安全学习资料,包含面试题、简历资料等具体看下方。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
以及对应的工具包
网安相关面试题
其它资料
所有资料 ⚡️ ,朋友们如果有需要全套 📦《网络安全入门+进阶学习资源包》,可以扫描下方二维码免费领取 🆓(如遇扫码问题,可以在评论区留言领取哦)~