赛虎学院解读:为什么CISP-PTE含金量越来越高?什么是CISP-PTE考点?赛虎学院老师现在给大家统一解答,希望大家对答案满意。
注册渗透测试专家英文为CertifiedinformationsecurityProfesional-Penetiontiontionspecialist,简称CISP-PTS。是2018年底中国信息安全评估中心和CISP攻防领域考试中心发布的专家注册考试。CISP-PTS作为中国渗透测试方向最高的国家注册考试,一经推出,就受到了整个信息安全行业的广泛关注。
2019年10月,CISP渗透测试方向新注册考试大纲(2.0版)正式完成。新大纲涉及CISP-PTS和CISP-PTE注册考试所需的知识体系。CISP-PTE考点要求与原大纲相同。除了CISP-PTE所需的所有知识和能力外,CISP-PTS在内网安全、数据库安全和中间件安全方面提出了新的要求。
1、内网安全。
内部网络安全是网络安全渗透测试过程中需要注意的重点。当渗透测试从外部网络获得突破并进入内部网络时,无论是模拟真实场景中黑客思想的扩大结果,还是考虑探索测试网络系统中的安全风险,都应重点研究内部网络的安全性。CISP-PTS综合内部网络渗透的技术方法和逻辑顺序主要增加以下调查知识点:内网信息收集。
内部网络信息收集作为获取内部网络信息的必要工作,其主要调查知识内容包括内部网络主机和用户信息发现、内部网络主要使用端口扫描、内部网络主机、应用、网络设备漏洞扫描等知识,包括主流软件工具的掌握和使用熟练程度。
内网横向移动。
内部网络水平移动技术用于检测内部网络是否能够抵抗各种网络攻击和先进的持续威胁(APT)。通过水平移动渗透测试,可以判断内部网络是否最终能够防止入侵者获得域控制权域环境中所有机器是否都面临威胁。其主要调查知识内容包括水平移动原理、凭证捕获、域攻击原理等理论知识,以及实现这些水平移动渗透所需的技术和相关工具的使用方法。
内网权限维持。
内部网络权限维护主要用于渗透过程。在通过漏洞获得目标主机权限后,试图避免服务器管理员发现和修复漏洞造成的服务器权限损失。渗透测试技术也是对测试系统内安全防御技术和管理机制的测试。其主要调查知识内容包括内部网络权利提升的类别和相应的方法,以及掌握权限维护的技术原理和常用方法。
二、数据库安全。
数据库安全在渗透测试中占有重要比例。CISP-PTS在这方面的知识能力调查要求高于CISP-PTE。除了掌握主流MySQL和MSSQL数据库的渗透知识外,还需要掌握以下重要调查知识:
三、Oracle关系数据库安全。
对于Oracle数据库的渗透测试能力调查,其主要调查知识内容包括Oracle数据库的账户管理和授权机制,为不同的管理员分配不同的账户方法,设置管理Public角色程序包的执行权限,以及Oracle面临的主要安全风险,限制库文件的访问权限,以及通过Oracle执行系统命令的方法。
Redis非关系数据库安全。
自Web2.0时代以来,非关系数据的应用迅速增长,Redis是非关系数据库的典型代表之一。CISP-PTS中Redis渗透测试能力的主要调查知识内容包括关系数据库的基本概念、Redis运行权限机制和设置方法、默认端口、Redis未经授权访问等风险,并开启安全加固授权方法。
四、中间件安全。
中间件作为当前网络应用系统架构不可缺少的一部分,其安全性不言而喻。CISP-PTS注册考试要求考生除了掌握Apache、IIS、Tomcat等常见中间件的安全知识外,还需要掌握Java环境中重要中间件的安全知识。调查知识内容包括:Weblogic、Websphere、Jboss等中间件的安全设置、日志审计、漏洞利用和防范方法。
CISP攻防领域考试中心负责人表示,CISP-PTS证书持有人主要从事信息安全技术领域的高级渗透测试,具有较强的知识和能力,如漏洞研究、代码分析、最新的网络安全动态跟踪研究和规划解决方案。获得CISP-PTS认证无疑是行业的领导者,也是整个行业对个人能力的认可,也将从信息安全从业人员的职业发展中受益匪浅。
如果您有任何问题,请咨询我们赛虎学院右下角的咨询按钮。随时向您解释CIS-pte考试的相关问题。我们的老师有一流的服务和优秀的专业技能。
赛虎学院作为CISP-PTE授权机构,通过率常年保持在99 %以上,各地的学员皆可报名,每个月都能安排培训,就近选择培训地点。
相关阅读:
- 还没有人评论,欢迎说说您的想法!