CISP-PTE是属于渗透测试方面的专业证书,他的证书颁发机构是中国信息安全评测中心,那么CISP-PTE证书到底是考什么呢?考试的形式是什么样的呢。今天就来一起聊一下。
一、核心考核模块:渗透测试全流程
信息收集与漏洞扫描(占比20%)
工具应用:Nmap(端口扫描)、Masscan(高速扫描)、Dirsearch(目录爆破)。
案例:通过Shodan搜索暴露的摄像头设备,利用Nmap识别其操作系统与开放服务。
Web渗透测试(占比30%)
漏洞类型:SQL注入、XSS、文件包含、反序列化漏洞。
工具链:Burp Suite(代理拦截)、Sqlmap(自动化注入)、Cobalt Strike(后渗透维持)。
典型场景:通过SQL注入获取数据库权限,进一步利用Shell上传实现系统提权。
二进制漏洞利用(占比20%)
技术点:栈溢出、堆溢出、格式化字符串漏洞。
工具:GDB(调试)、IDA Pro(逆向分析)、Pwntools(漏洞利用开发)。
案例:针对某CTF题目中的栈溢出漏洞,编写ROP链实现任意代码执行。
内网渗透与权限维持(占比20%)
技术:横向移动(Psexec、WMIC)、域渗透(Mimikatz抓取Hash)、隧道技术(Frp内网穿透)。
场景:获取Web服务器权限后,利用CS(Cobalt Strike)横向渗透至域控服务器。
渗透测试报告编写(占比10%)
要求:结构化描述漏洞发现过程、影响范围、修复建议。
评分点:逻辑清晰、风险评级准确、修复方案可落地。
二、考试形式:理论+实操双维度考核
考试时长:8小时(含理论考试2小时+实验考试6小时),分上下午进行。
考核方式:
理论考试:100道单项选择题(每题1分),满分100分,70分及格。
实验考试:5道实操题(含Web渗透、二进制漏洞利用、内网渗透等场景),满分100分,70分及格。
通过条件:理论、实验均需≥70分,单科不及格可补考(补考费2500元/次)。
如果你对于CISP-PTE还需要什么了解的,可以直接咨询赛虎学院客服进行咨询。
106
天
扫码关注我们
