注册渗透测试专家,英文为CertifiedInformationSecurityPronal-PentrationSecialist,简称CISP-PTS高级渗透师。是2018年底中国信息安全评估中心和CISP攻防领域考试中心发布的渗透测试专家级注册考试。CISP-PTS作为国内渗透测试方向最高的国家级注册考试,自推出以来,一直受到整个信息安全行业的广泛关注。
2020年10月,CISP高级渗透测试师方向新课程(2.0)大纲正式完成,涉及CISP-PTS、CISP-PTE考试所需的知识体系。CISP-PTE考点要求与原大纲相同。CISP-PTS不仅需要CISP-PTE,而且还需要CISP-PTE提供内部网络安全、数据库安全和中间件安全。
一、内网安全。
内部网络安全是网络安全渗透测试过程中需要关注的焦点。在渗透测试中突破了外部网络,进入了一个内部网络,不管是将黑客思想扩展到了真实场景中,还是要考虑探索被测网络系统内部的安全风险,都应该关注内部网络的安全。CISP-PTS综合内部网络渗透的技术方法和逻辑顺序,主要增加以下调查知识点:
收集内网信息。
内网信息采集作为内网信息获取必不可少的工作,其主要调查知识内容包括:内部网络主机和用户信息发现,内部网络主要使用端口扫描,内部网络主机,应用程序,网络设备漏洞扫描,其中包括为完成上述信息收集工作而需要的主流软件工具掌握和使用。
内网横向移动。
内网水平移动技术用于检测内网是否能抵御各种网络攻击和先进的连续威胁(APT)。对域环境下的所有计算机进行水平渗透测试,可以确定内网是否能阻止入侵者取得域控权,域环境中的所有计算机是否受到威胁。它的主要研究知识包括水平移动原理、凭据获取、域攻击原理等理论知识,并介绍了实现这一层次渗透所需要的技术及相关工具的使用方法。
维护内网权限。
内部网络权限维护主要用于渗透过程。在通过漏洞获得目标主机权限后,尽量避免因服务器管理员发现和修复漏洞而丢失服务器权限。渗透测试技术也是对被测系统内部安全防御技术和管理机制的测试。其主要调查知识内容包括内部网络权限提升的类别和相应方法、权限维护的技术原理和常用方法。
二、数据库安全。
CISP-PTS高级渗透师在这方面的知识能力调查要求高于CISP-PTE。在获得主流MySQL和MSSQL数据库知识渗透的同时,还需要掌握下列重要的调查知识内容:
Oracle关系数据库安全。
对Oracle数据库进行渗透测试能力调查,它的主要研究知识内容包括Oracle数据库的帐号管理与授权机制、不同管理员帐号分配方式、设置公钥管理公钥执行权限的方法、Oracle的主要安全风险、限制库文件访问权限以及通过Oracle执行系统命令的方法。
Redis非关系数据库安全。
自Web2.0时代以来,非关系数据的应用发展迅速,Redis是非关系数据库的典型代表之一。CISP-PTS对Redis渗透测试能力调查知识主要包括:关系数据库基本概念、Redis运行权限机制与设置方法、缺省端口、Redis未经授权访问等风险,以及打开授权安全加固方法。
三、中间件安全。
中间件作为当前网络应用系统架构中不可缺少的一部分,其安全性的重要性不言而喻。CISP-PTS注册考试要求考生除了掌握Apache、IIS、Tomcat等常见中间件的安全知识外,还需要掌握Java环境中重要中间件的安全知识。调查知识包括:Weblogic、Websphere、Jboss等中间件的安全设置、日志审计、漏洞利用和防范方法。
CISP攻防领域考试中心负责人表示,CISP-PTS高级渗透师证书持有人主要从事信息安全技术领域的高级渗透测试,具有较强的漏洞研究、代码分析、最新网络安全动态跟踪研究和规划解决方案知识和能力。获得CISP-PTS高级渗透师认证无疑是行业的领导者,也是整个行业对个人能力的认可,也将从信息安全从业者的职业发展中受益匪浅。
赛虎学院作为CISP授权机构,通过率常年保持在99 %以上,各地的学员皆可报名,每个月都能安排培训,就近选择培训地点。
- 还没有人评论,欢迎说说您的想法!