CISP-PTE、CISP-PTS渗透证书之间有何不同

02月

1242 0 0

　　CISP-PTE、CISP-PTS都是国家测试注册的渗透测试资格认证。

　　2017年，中国信息安全评估中心和奇安信联合成立了CISP渗透测试领域的考试机构，2017年底正式推出了国内首个攻防领域资质认证。-CISP-PTE(注册信息安全专业人员-渗透测试工程师)逐渐受到广大网络安全渗透测试从业人员的关注和欢迎，尤其是高级网络安全渗透测试人才。从那以后，这个认证在业内得到了广泛的认可。

　　经过一年的实施，根据市场需求和技术延伸的重要性，2018年国内首个渗透测试专家认证正式启动:CISP-PTS(注册信息安全专家渗透测试专家)。

　　注册信息安全专业人员渗透测试方向分为：

　　1、注册信息安全专业人员渗透测试工程师，英文为CertifiedInformationSecurityProfessional-PenetrationTestingEngineer,简称CISP-PTE。证书所有者主要从事信息安全技术领域的网站渗透测试，具备规划测试方法、编制项目测试计划、编制测试用例、编制测试报告的基础知识和能力。

　　2、注册信息安全专家渗透测试专家，英文为CertifiedInformationSecurityProfessional-PenetrationTestingSpecialist,简称CISP-PTS。拥有证书的人员主要从事漏洞研究、代码分析、网络安全动态跟踪研究以及策划解决方案的能力。

　　无论CISP-PTE还是CISP，从渗透测试知识系统的结构图可以看出，-PTS,它包括五个知识类：WEB安全、中间件安全、操作系统安全、数据库安全和渗透测试，如下所示：

　　1、WEB安全：主要包括相关的技术知识和实践，如HTTP协议、注入漏洞、XSS漏洞、SSRF漏洞、CSRF漏洞、文件处理漏洞、密钥管理漏洞、会话管理漏洞、代码审计等。

　　2、安全性：主要包括Apachee、IS.Tomcat.weblogic、websphere、相关的技术知识和实践，如Jboss。

　　3、操作系统安全：主要包括Windows操作系统、Linux操作系统相关技术知识和实践。

　　数据库安全：主要包括Mssql数据库、Mysql数据库、Oracle数据库、Redis数据库等相关技术知识和实践。

　　5、渗透性测试：主要包括信息收集、漏洞发现、漏洞检测相关技术知识和实践。

　　考题要求:

　　除知识结构略有不同外，两者的考题结构也大不相同，与CISP有关-PTE(注册渗透测试I程师)比较。CISP-PTS(注册渗透测试专家)对考生的知识掌握深度、广度和实际操作经验和能力要求较高，考试难度也明显增加。

　　CISP-PTE考试内容为选择题和实践题总分100分，其中选择题20分，实践题8分，实践题8分，70分以上(含70分)。

　　CISP-PTS考试内容均为10道实操题，总分100分，得70分以上(含70分)。

　　CISP-不同的地方，PTS，CSP-在内网安全、数据库安全、中间件安全等方面，PTS除了需要CISPPTE所需的所有知识和能力外，还提出了全新的要求。

　　-.内网安全

　　内部网络安全是网络安全渗透测试过程中需要注意的焦点。当渗透测试从外部网络获得突破，进入内部网络时，无论是模拟真实场景下的客户思维“扩大结果”，还是考虑挖掘被检测网络系统内部的安全隐患，都要重点研究内部网络的安全性。CISP-PTS综合内网渗透技术方法和逻辑顺序，主要增加以下调查知识点：

　　内部网络信息收集

　　内部网络信息收集作为获取内部网络信息的重要工作，主要考察的知识内容包括内部网络中主机和客户的信息发现，内部网络中主要使用端[门

　　扫描、吸收内网主机、应用、扫描网络设备漏洞等知识，包括掌握和熟练使用上述信息收集工作所需的主流软件工具。

　　内部网络横向移动

　　内部网络横向移动技术用于检查内部网络能否抵抗多种黑客攻击，高级持续威胁(APT)。通过横向移动渗透测试，可以确定内网最终能否防止侵略者获得域控权限，域条件下的所有机器是否都面临威胁。主要调查知识包括横向移动原理、凭据捕获、域攻击原理等理论知识，以及如何使用这些横向移动渗透所需的技术和相关工具。

　　保持内网权限

　　内网权限保持3主要用于渗透过程。通过漏洞E获得目标主机权限后，尽量避免因服务器管理员发现和修复漏洞而丢失服务器权限。渗透测试技术是测试被测系统内部的安全防御技术和管理系统。主要调查知识包括内部网络权限提升的类别和相应的方法、权限维护的技术原理和常用方法的掌握。

　　二是数据库安全数据库安全在渗透测试中占有重要地位，CISP-与CISP-PTE相比，PTS在这方面的知识能力调查要求更高。除掌握主流MySQL外.除了将MSSQL数据库渗透到知识之外，还需要掌握以下重要的知识内容：

　　安全数据库Oracle关系数据库

　　对Oracle数据库的渗透测试能力进行调查，主要调查的知识内容包括Oracle数据库的帐户管理和授权机制，为不同管理者分配不同帐户的方法，设置管理public角色程序包执行权限的方法，Oracle面临的主要安全隐患，限制库文件的访问限制，以及通过Oracle执行系统命令的方法。

　　非关系数据库Redis安全

　　从Web2.0时代开始，非关系数据的应用迅速增加，Redis是非关系数据库中的典型代表之一。CISP-在PTS中，Redis渗透测试能力的主要考察内容包括关系数据库的基本概念、Redis运行权限机制和设置方法、默认端口、Redis是否未经授权浏览等风险，以及开放授权安全加固的方法。

　　中间件是安全的

　　作为当前网络应用体系结构中不可缺少的一部分，中间件的安全性不言而喻。CISP-除了Apachee之外，PTS注册考试还需要考生。、IS、除了Tomcat等常见的中间件安全知识外，还需要掌握Java环境中重要中间件的安全知识。它的调查知识内容包

　　括:Weblogic、Websphere、中间件的安全策略，如Jboss，日志审计，漏洞检测和预防方法。

你还没有登录，请先登录或注册！

还没有人评论，欢迎说说您的想法！