CISP-PTE考试大纲详解

CISP-PTE考试要求

成为注册信息安全专业人员渗透测试工程师 (CISP-PTE)、注册信息安全专业人员渗透测试专家（CISP-PTS)，必须同时满足以下基本要求：

1、申请成为注册信息安全专业人员渗透测试工程师 (CISP-PTE），要求具备一定渗透测试能力，或有意向从事渗透测试的人员，包含信息安全相关专业高校生：申请成为注册信息安全专业人员渗透测试专家 （CISP-PTS），要求具备熟练的渗透测试能力。

2、申请成为注册信息安全专业人员渗透测试工程师 (CISP-PTE)、注册信息安全专业人员渗透测试专家(CISP-PTS） 无学历与工作经验的报考要求。

3、通过注册信息安全专业人员攻防领域考试中心组织的 CISP-PTE/ CISP-PTS 考试。

4、同意并遵守 CISP-PTE/CISP-PTS 职业准则。

5、满足 CISP-PTE/CISP-PTS注册要求并成功通过 CISP-PTE/CISP-PTS 审核。

注册信息安全专业人员渗透测试工程师/渗透测试专家资质证书有效期三年，证书失效后，需重新参加 CISP-PTE/CISP-PTS 注册考试。

CISP-PTE 考试方向

考生应掌握 Web安全基础知识，了解HTTP 协议基础，以及一些常见的web安全漏洞，包括注入漏洞、xSS 漏洞、CSFF 漏洞、SSRF 漏洞、文件处理漏洞、访问控制漏洞、会话管理漏洞。考生应该能够理解和发现这些漏洞，并且学会修复这些漏洞的方法，掌握更多的web安全技术。

考生应了解中间件的安全知识，包括 Apache、IIS、Tomcat，以及JAVA 开发的中间件weblogic、 websphere、Jboss 等。了解中间件的特性以及安全加固的方法，避免在安全设置上产生安全问题影响整个安全体系，了解最新的安全漏洞，能够对最新的漏洞做出响应，提高整体安全水平。

考生应了解操作系统的安全基础知识，包括 Windows、Linux 操作系统账广的分配与安全设置，文件系统权限的管理，日志审计的基本方法，以及第三方应用安全。由此可以加强考生对操作系统安全的理解，了解常见的攻击手段，以及操作系统安全加固的基础知识，通过日志审计进行安全事件分析，掌握最新的系统内核漏信息，能够及时修复漏洞，提高操作系统的安全性能。

考生应了解数据库的安全基础知识，这里以 MSsql、Mysal、Oracle、Redis、MOngODB 数据库为主（其中,Oracle、Redis、MongoDB 相关知识仅要求参加 CISP-

PTS 考试的学员掌握），了解数据库的使用方法和语法结构，掌握数据库的安全设罝以及权限，角色的分配。了解常用的利用数据库来进行文件操作和杈限提升的方法以及应对措施，控制数据库运行权限，保证数据库中的数据完整和安全运营。

维持考试介绍

持有以上资质的人员，当证书有效期届满三年、需要进行资质维持时，须参加 CISP 攻防 领域注册资质维持测评考试，且考试成绩合格，经中国信息安全测评中心审核通过后，方可办理资质维持续证。

维持时间

建议提前三个月开始申请维持，每个月10日-15日期间提交当月维持报维持申请，后安排维持人员参加考试，超过提交时间自动延至下个月办理维持申请。每月初前2个工作日及月末最后两个工作日安排维持人员考试（遇节假日及周末将提前或者延后）。

维持资料

①《注册信息安全人员攻防领域注册维持申请表》电子版；

②《注册信息安全人员攻防领域注册维持申请表》打印后签字盖章的扫描版；

③《注册信息安全人员攻防领域维持申请承诺书》打印后签字扫描版；

④身份证扫描件，需保持清晰；

⑤蓝底照片电子版，不小于413*579（px），不得是原证书扫描件的裁剪；

⑥CISP-PTE原证书扫描件，必须是原件的扫描件；

⑦维持人员证书原件遗失需要提交户口本复印件本人页的扫描件；

⑧如证书原件丢失需提供《CISP证书遗失证明模板》打印后签字盖章的扫描版；

维持学习

维持考试CISP-PTE考试线上考试，考试时间为120分钟，考试题目数量为42道。其中，单项选择题40道，每题2分。实际操作解答题2道，每题10分，总分共100分。

参加考试者的考试结果总分达到或超过70分为合格。

考题的知识与能力考查范围，与同期CISP攻防领域注册考试对应方向的知识体系大纲保持一致。

考试方式CISP攻防领域资质维持考试方式采用线上双平台同步进行：

• 一台电脑：用于通过浏览器登录线上考试地址进行考试。建议使用Chrome浏览器访问。

• 一部设备（手机、电脑、平板均可）安装“腾讯会议”视频会议应用软件，用于监考。

`黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

（都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享