2021CISP-PTE(注册渗透测试工程师)考试内容以考试大纲为基础,如有考生想要参加并获得CISP-PTE认证,建议先了解考纲,下文就是小编整理的CISP-PTE知识体系框架与考试题型,可供考生参考。
第2章 注册信息安全专业人员-渗透测试知识体系
概述注册信息安全专业人员-渗透测试方向分为:
注册信息安全专业人员渗透测试工程师,英文为 Certified InformationSecurity Professional - Penetration Testing Engineer ,简称CISP-PTE。证书持有人员主要从事信息安全技术领域网站渗透测试工作,具有规划测试方案、编写项目测试计划、编写测试用例、测试报告的基本知识和能力。
注册信息安全专业人员渗透测试希赛网,英文为 Certified InformationSecurity Professional - Penetration Testing Specialist ,简称CISP-PTS。证书持有人员主要从事漏洞研究、代码分析工作,最新网络安全动态跟踪研究以及策划解决方案能力。
2.1 知识体系框架结构
知识体系使用组件模块化的结构,包括知识类、知识体、知识域、知识子域四个层次。
知识类:是对渗透测试知识领域的总体划分,包含信息安全专业人员需要掌握的四大知识类别;
知识体:是知识类中由属于同一技术领域的知识内容构成的相对独立、成体系的知识集合;
知识域:是对知识体进一步分解细化形成的完整的知识组件;
知识子域:是构成知识域的基本模块,由一至多个具体知识要点构成。
本大纲规定了知识子域中每一个知识要点的内容和深度要求,分为“了解”、“理解”和“掌握”三类。
了解:是最低深度要求,学员需要正确认识该知识要点的基本概念和原理;
理解:是中等深度要求,学员需要在正确认识该知识要点的基本概念和原理的基础上,深入理解其内容,并可以进一步的判断和推理;
掌握:是较高深度要求,学员需要正确认识该知识要点的概念、原理,并在深入理解的基础上灵活运用。
图 2-1 描述了知识体系的结构
图 2-1:知识体系的组件模块结构
在整个知识体系结构中,共包括 web 安全、中间件安全、操作系统安全、数据库安全,渗透测试五个知识类,每个知识类根据其逻辑划分为多个知识体,每个知识体包含多个知识域,每个知识域由一个或多个知识子域组成。
知识体系结构共包含五个知识类,分别为:
web 安全:主要包括 HTTP 协议、注入漏洞、XSS 漏洞、SSRF 漏洞、CSRF漏洞、文件处理漏洞、访问控制漏洞、会话管理漏洞,代码审计等相关的技术知识和实践。
中间件安全:主要包括 Apache、IIS、Tomcat、weblogic、websphere、Jboss 等相关的技术知识和实践。
操作系统安全:主要包括 Windows 操作系统、Linux 操作系统相关技术知识和实践。
数据库安全:主要包括 Mssql 数据库、Mysql 数据库、Oracle 数据库、Redis 数据库相关技术知识和实践。
渗透测试:主要包括信息收集,漏洞发现,漏洞利用相关技术知识和实践。
图 2-2 描述了 CISP-PTE/ CISP-PTS 的知识体系结构框架:
图 2-2:CISP-PTE/ CISP-PTS知识体系结构框架
(注:其中红色字体为仅在 CISP-PTS 注册培训及考试中要求掌握的知识内容。)
2.2 考试试题结构
CISP-PTE 考试题型为选择题与实操题,总分共 100 分,其中选择题 20 分,实操题 80 分,得到 70 分以上(含 70 分)为通过。
CISP-PTS 考试题型全部为实操题,总分共 100 分,得到 70 分以上(含 70 分)为通过。
表 2-1:CISP-PTE/ CISP-PTS 试题结构
更多备考信息尽在希赛网CISP频道-考试辅导栏目,敬请期待……
