CISP-PTE即注冊信息安全專業(yè)人員-滲透測試工程師，是2016年由中國信息安全測評中心推出的國內(nèi)滲透測試權(quán)威資質(zhì)證書。

CISP-PTE報名沒有學歷及工作經(jīng)驗的要求，但是必須參加中國信息安全評測中心授權(quán)機構(gòu)的培訓并且取得培訓合格證明才可以報考。

本篇筆記就來詳細介紹一下CISP-PTE的考試內(nèi)容~

1、掌握 Web安全基礎知識，了解HTTP 協(xié)議基礎，以及一些常見的web安全漏洞，包括注入漏洞、xSS 漏洞、CSFF 漏洞、SSRF 漏洞、文件處理漏洞、訪問控制漏洞、會話管理漏洞。考生應該能夠理解和發(fā)現(xiàn)這些漏洞，并且學會修復這些漏洞的方法，掌握更多的web安全技術(shù)。

2、了解中間件的安全知識，包括 Apache、IIS、Tomcat，以及JAVA 開發(fā)的中間件weblogic、 websphere、Jboss 等。了解中間件的特性以及安全加固的方法，避免在安全設置上產(chǎn)生安全問題影響整個安全體系，了解最新的安全漏洞，能夠?qū)ψ钚碌穆┒醋龀鲰憫岣哒w安全水平。

3、了解操作系統(tǒng)的安全基礎知識，包括 Windows、Linux 操作系統(tǒng)賬廣的分配與安全設置，文件系統(tǒng)權(quán)限的管理，日志審計的基本方法，以及第三方應用安全。由此可以加強考生對操作系統(tǒng)安全的理解，了解常見的攻擊手段，以及操作系統(tǒng)安全加固的基礎知識，通過日志審計進行安全事件分析，掌握最新的系統(tǒng)內(nèi)核漏信息，能夠及時修復漏洞，提高操作系統(tǒng)的安全性能。

4、了解數(shù)據(jù)庫的安全基礎知識，這里以 MSsql、Mysal、Oracle、Redis、MOngODB 數(shù)據(jù)庫為主(其中,Oracle、Redis、MongoDB 相關(guān)知識僅要求參加 CISP-PTS 考試的學員掌握)，了解數(shù)據(jù)庫的使用方法和語法結(jié)構(gòu)，掌握數(shù)據(jù)庫的安全設罝以及權(quán)限，角色的分配。了解常用的利用數(shù)據(jù)庫來進行文件操作和杈限提升的方法以及應對措施，控制數(shù)據(jù)庫運行權(quán)限，保證數(shù)據(jù)庫中的數(shù)據(jù)完整和安全運營。

CISP-PTE證書考試分為理論和實操兩部分。

CISP-PTE 考試題型為客觀題、實操題。客觀題為單項選擇題，共 20 題，每題 1 分，實操題共 80 分。總分共 100 分，得到 70 分以上(含 70 分)為通過。

注：有一次補考機會。