CISP-PTE 考试大纲

渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷和漏洞的主动分析，这个分析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。简而言之就是从攻击角度对应用程序和网络进行安全评估和测试、检查和审核其存在的问题和安全性。渗透测试工程师的就业前景也非常大，在日益紧张的局势下政府、央企、能量、金融、民航、互联网公司、安全厂商等需要大量的渗透测试工程师为网络安全保驾护航。

CISP-PTE（Certified Information Security Professional - Penetration Test Engineer）中文全称 国家注册信息安全渗透测试工程师认证 。证书持有人员主要从事信息安全技术领域网站渗透测试工作，具有规划测试方案、 编写项目测试计划、编写测试用例、测试报告的基本知识和能力。

CISP-PTE是中国信息安全测评中心实施的攻防领域的资质认证，专注于培养、考核高级实用型网络安全渗透测试安全人才，是业界首个理论与实践相结合的网络安全专项技能水平注册考试。为了锻炼考生实际解决网络安全问题的能力，有效增强我国网络安全防御能力，促进国家企事业单位网络防御能力不断提高，以发现人才，选拔优秀人才而设立的技能水平考试。 

考试内容从多个角度出发，通过客观题与实际操作题相结合的形式，来考核考生的能力，通过多个得分点，对考生全面的考核，考生需要了解最新的网络安全技术，跟踪最新的网络安全动态，能够在真实的网络环境中发现问题和解决问题。同时，也可以为网络安全专业的学生提高自身价值和自身影响力，提供更好的学习素材，为更多热爱网络安全技术、有志于从事网络安全事业的人员提供了一个更加具有优势的平台。 证书持有人员主要从事信息安全技术领域网站渗透测试工作，具有规划测试方案、编写项目测试计划、编写测试用例、测试报告的基本知识和能力。

报考条件

申请成为注册信息安全专业人员渗透测试工程师（CISP-PTE）无学历与工作经验的报考要求。

课程大纲

基础知识

http请求

常见渗透工具使用

内网渗透

WEB安全漏洞

信息泄露

信息收集

SQL注入漏洞

注入漏洞其他利用方式

文件上传

文件上传利用方式

xss漏洞

csrf漏洞

ssrf漏洞

命令执行漏洞

rce常见利用方式

文件处理漏洞

XXE漏洞

PHP函数安全

数据库安全

MsSQL数据库安全

MySQL数据库安全

Oracle数据库安全

Redis数据库安全

中间件安全

Apache安全

IIS安全

JBoss安全

Tomcat安全

WebLogic安全

web应用服务器安全加固

操作系统安全

Windows操作系统安全

Linux操作系统安全

考试相关

考试形式

线下机考，考试时长4小时，需要自备计算机，考试题型由客观题加实操题组成。客观题为单项选择题，共 20 题，每题 1 分;实操题共 80 分。总分共 100 分，得到 70 分以上（含 70 分）为通过。

补考次数

一次免费补考机会，若2次考试均未通过，补考费2500元/次。

考试时间及地点

北京、上海、成都、深圳、南京、西安、乌鲁木齐安排有考点。其中北京、上海、成都、南京每月都会安排一次开考计划，深圳、西安、乌鲁木齐不确定每月都有开考计划，届时请咨询报名的培训机构。

证书发放

考试通过后会在2个月后在CISP公众号上公布成绩（即使在考试时已经知道自己的分数也会在此公布一次），公众号公布成绩后3个月左右制证并统一邮寄到报名培训机构，由培训机构联系学员发放。

证书有效期

有效期3年，获得证书之后可以在证书上查看证书的有效期具体时间。

证书维持

注意事项

不是必须在原考试机构维持，可在任意CISP授权机构维持；

维持需持有CISP-PTE证书原件，证书原件遗失需要提交户口本复印件本人页的扫描版和《CISP证书遗失证明模板》打印后签字盖章的扫描版。

维持时间

建议提前三个月开始申请维持，每个月10日-15日期间提交当月维持报维持申请，后安排维持人员参加考试，超过提交时间自动延至下个月办理维持申请。每月初前2个工作日及月末最后两个工作日安排维持人员考试（遇节假日及周末将提前或者延后）。

例：如在2022年3月8日前收集完整维持所需资料，可在3月30日、31日、4月1日、4月2日参加维持考试；如在2022年3月18日收集完整维持所需资料，需要在4月28日、29日、5月5日、6日参加维持考试。

维持费用

3750元/三年，其中注册资质维持考试费2250元/次，年金1500元/三年。

逾期6个月以内不需要补交维持费，逾期6-18个月需补交一年维持费500元，逾期18-30个月需补交两年维持费1000元，以此类推。

例：证书在2022年3月8日到期，在2022年9月7日前参加维持考试需缴纳3750元，在2022年9月8日到23年9月7日期间参加维持考试需缴纳4250元，在2023年9月7日到24年9月8日期间参加维持考试需缴纳4750元。

维持资料

①《注册信息安全人员攻防领域注册维持申请表》电子版；

②《注册信息安全人员攻防领域注册维持申请表》打印后签字盖章的扫描版；

③《注册信息安全人员攻防领域维持申请承诺书》打印后签字扫描版；

④身份证扫描件，需保持清晰；

⑤蓝底照片电子版，不小于413*579（px），不得是原证书扫描件的裁剪；

⑥CISP-PTE原证书扫描件，必须是原件的扫描件；

⑦维持人员证书原件遗失需要提交户口本复印件本人页的扫描件；

⑧如证书原件丢失需提供《CISP证书遗失证明模板》打印后签字盖章的扫描版；

维持学习

维持CISP-PTE证书的学员，可以在维持机构再次学习CISP-PTE完整课程。

维持考试

CISP-PTE考试线上考试，考试时间为120分钟，考试题目数量为42道。其中，单项选择题40道，每题2分。实际操作解答题2道，每题10分，总分共100分。参加考试者的考试结果总分达到或超过70分为合格。考题的知识与能力考查范围，与同期CISP攻防领域注册考试对应方向的知识体系大纲保持一致。

考试方式

CISP攻防领域资质维持考试方式采用线上双平台同步进行：

一台电脑：用于通过浏览器登录线上考试地址进行考试。建议使用Chrome浏览器访问。

一部设备（手机、电脑、平板均可）安装“腾讯会议”视频会议应用软件，用于监考。该设备必须保证摄像和语音功能可以正常使用。

线上考试系统网址、登录用户名、登录密码、以及腾讯会议ID及密码，将在考试前，由各授权培训机构的负责人发放给参考人员。

考生应选择独立安静房间独自参加考试。整个考试期间，房间必须保持安静明亮，房间内不得有其他人，也不允许出现其他声音。不得由他人替考，也不得接受任何方式助考。

安装“腾讯会议”的设备需放置在考生电脑的侧后边（左/右后侧45°）。请开启前置摄像头，并确保考生和答题页面能同时收录进屏幕（如下图所示）。

维持考试注意事项

考生须携带本人身份证，提前30分钟进入两个平台，按照监考老师要求，完成网络设备调试、身份验证核查。

开考后，迟到超过30分钟登录进入考场者，取消考试资格。

考试期间，音频和视频必须全程开启，不得佩戴口罩保证面部清晰可见，头发不可遮挡耳朵，不得佩戴耳饰。

考试过程中，考生必须保持安静，不得随意起立、走动；不得大声喧哗或引起异常响动扰乱考场秩序。

考生应当自觉服从考试工作人员管理，严格遵从考试工作人员关于网络远程考场入场、离场、打开视频，打开考试平台的指令，不得以任何理由妨碍考试工作人员履行职责，不得扰乱网络远程笔试考场的秩序，不得录屏录像录音。

考试过程中应保持网络畅通，如突发网络故障或其他特殊情况，应迅速排除，并及时向监考老师报告，如5分钟内没有主动联系监考老师，将视为考试结束。

维持证书发放

证书维持受理期间不开具有效证明。

考试结束后，CISP攻防领域考试中心将考试成绩与续证维持资料提交给中国信息安全测评中心，由中国信息安全测评中心对考试成绩进行审核，成绩合格、资料通过审核的人员，将由中国信息安全测评中心进行维持注册登记及维持证书的制作。

新证书制作完成后，由中国信息安全测评中心统一转交CISP攻防领域考试中心，并由考试中心按照组织报名考试的顺序转交给各授权培训机构。各授权培训机构将联系所负责办理资质维持的人员，领取证书。其从考试到证书发放大致需要3个月。

考试大纲

原文始发于微信公众号（计算机与网络安全）：CISP-PTE 考试大纲