CISP-PTE 与 CISP-PTS 乃是两项同网络安全渗透测试密切关联的认证,尽管二者存有相似之点,然而亦存若干差异。
CISP-PTE:此证书的持有者主要投身于信息安全技术范畴的网站渗透测试工作,具备规划测试方案、编写项目测试计划、撰写测试用例以及测试报告的基础学识与能力。
CISP-PTS:该证书的持有者主要从事漏洞研究、代码分析工作,对最新网络安全动态予以跟踪研究,以及具备策划解决方案的能力。
渗透测试知识体系结构图呈现了 CISP-PTE 与 CISP-PTS 的共同特性,皆涵盖了五个核心的知识类别,即 WEB 安全、中间件安全、操作系统安全、数据库安全以及渗透测试。具体如下:
WEB 安全:主要囊括 HTTP 协议、注入漏洞、XSS 漏洞、SSRF 漏洞、CSRF 漏洞、文件处理漏洞、访问控制漏洞、会话管理漏洞,代码审计等相关的技术知识与实践。
中间件安全:主要涵盖 Apache、IIS、Tomcat、weblogic、websphere、Jboss 等相关的技术知识与实践。
操作系统安全:主要包含 Windows 操作系统、Linux 操作系统相关技术知识与实践。
数据库安全:主要涉及 Mssql 数据库、Mysql 数据库、Oracle 数据库、Redis 数据库相关技术知识与实践。
渗透测试:主要包含信息收集,漏洞发现,漏洞利用相关技术知识与实践。
除却知识体系的差别以外,CISP-PTE 与 CISP-PTS 在考试试题结构方面亦存在显著差异。相较于 CISP-PTE,CISP-PTS 对于考生的知识掌握深度、广度以及实际操作经验和能力的要求更为严苛,考试难度亦明显提升。CISP-PTS 在要求考生具备 CISP-PTE 所需的全部知识和技能的基础上,还针对内网安全、数据库安全和中间件安全方面提出了全新的要求。
1 内 网 安 全
内网安全乃是网络安全渗透测试进程中需要着重关注的要点。CISP-PTS 综合内网渗透的技术方法与逻辑顺序,新增考察知识点:内网信息搜集、内网横向移动、内网权限维持。
2 数 据 库 安 全
数据库安全于渗透测试中占据重要的分量,CISP-PTS 在这方面的知识能力考察要求较 CISP-PTE 更高。除了需要掌握主流的 MySQL、MSSQL 数据库渗透知识以外,还需要掌握以下重要考察知识内容:Oracle 关系型数据库安全、Redis 非关系型数据库安全。
CCRC-DSO数据安全官,CCRC-DSA数据安全评估师,CCRC-DCO数据合规官,CDO首席数据官, ITSS IT服务项目经理,IT服务项目工程师,ISO27001,CISP,软考,CISAW应急服务方向,CISAW渗透测试方向,CISP-PIS个人信息安全,软考,CCSC网络安全能力证明认证办理马老师:13521730416/13391509126.
3 中 间 件 安 全
中间件作为当下网络应用体系架构中不可或缺的一部分。