刚顺利考完CISP-PTE,跟大家简单的分享一下其中的坑点和一些需要注意的点。目前从事的是渗透测试工作,国内刚出了一个CISP-PTE,于是报名参加了CISP-PTE的考试。考前看大纲的时候,发现大部分还是偏理论知识,但在实际的考试过程中,发现还是与理论有很大的区别,大部分是考实际的操作,具体的渗透相关知识,所以其实还是有一定的难度的。
下面简单介绍下:CISP-PTE是什么?注册信息安全专业人员-渗透测试,英文为CertifiedInformationSecurityProfessional-PenetrationTestEngineer,国内唯一认可的渗透测试认证,目前人数较少。持有该证书的人,可从事信息安全技术领域安全渗透测试工作,具有完整渗透测试以及编写报告的能力。CISP-PTE大纲内容以及考点Web安全基础:主要包括HTTP协议、注入漏洞、XSS漏洞、SSRF漏洞、CSRF漏洞、文件处理漏洞、访问控制漏洞、会话管理漏洞等相关的技术知识和实践。中间件安全基础:主要包括Apache、IIS、Tomcat、weblogic、websphere、Jboss等相关的技术知识和实践。操作系统安全基础:主要包括Windows操作系统、Linux操作系统相关技术知识和实践。数据库安全基础:主要包括Mssql数据库、Mysql数据库、Oracle数据库、Redis数据库相关技术知识和实践。
CISP-PTE考试费用及内容考试费认证费一共是5000元,考试地点在北京360企业安全三楼,来广营地铁站附近。说下这次考试的内容,考卷分为三个部分:第一部分:20道选择题,一题一分,共20分。第二部分:5道web安全基础知识题,每一题对应一个key,一个key10分,共50分。第三部分:1道实操题,此题有3个key,一个key10分,共30分。考试达到70分则通过考试,获取CISP-PTE证书。
CISP-PTE考试心得
考试现场每人一台笔记本,然后使用自己的账号登录,登录进去会看到正在进行的考试,考试时间到即可开始考试,考试时间4小时(8:30-12:30,有时会安排下午场13:30-17:30)。
开始考试后,本机作为提交答案的页面。第二部分和第三部分的考题需要进入一个虚拟机环境访问查看,虚拟机环境提供相关安全工具。
坑点:由于考试操作机是windowsXP,因此需要熟悉xp机子的使用,以及熟悉常见的web安全工具,里面的工具版本都比较旧,然后虚拟机很卡,如果非常的卡可以举手告诉老师换一台笔记本继续考试。注意事项:第二部分和第三部分的目标是同一个ip,因此做完第二部分一定要结束并进入第三部分的考试场景。两个场景是完全不同的,一旦结束并进入第三部分的考试场景则第二部分的系统会自动还原。两个考试场景可互相切换,也就是说如果第三部分的题目不会做了,还可以结束并进入第二部分的考试场景。还有考试的时候一定要细心,key不能复制,只能手动输入,然后就是命令要记牢。细节决定成败!这次考试的内容,偏向于实战,考试的内容也比较接近现实环境,需要有一定渗透经验的人员才能顺利通过考试。当然,这里不太方便透露考试相关太多细节。
赛虎学院作为CISP-PTE授权机构,通过率常年保持在99 %以上,各地的学员皆可报名,每个月都能安排培训,就近选择培训地点。
相关阅读:
- 还没有人评论,欢迎说说您的想法!