CompTIA PenTest+ V3 (New Version) Exam:PT0-003
CompTIA PenTest+新版認證考試:PT0-003
CompTIA PenTest+ 認證旨在驗證您識別、緩解和報告系統漏洞的能力。它涵蓋滲透測試的各個階段,涵蓋雲端、Web 應用、API 和物聯網等攻擊面,並強調漏洞管理和橫向移動等實用技能。此認證將為您提供專業知識,幫助您提升作為滲透測試員或安全顧問的職業發展。
考試詳情
考試版本:V3
考試系列代碼:PT0-003
上線日期:2024年12月17日
問題數:最多 90 題,包括選擇題和績效題
考試時間:165分鐘
及格分數:750(滿分 100-900 分)
建議經驗:3-4 年滲透測試員工作經驗,具備 Network+ 和 Security+ 或同等知識
語言:英語(已發布);其他語言待定
上一屆考試停用日期:2025 年 6 月 17 日
測驗提供者:Pearson VUE 測驗中心和線上測驗
PenTest+(V3)考試目標
參與管理(13%)
·規劃與範圍界定:定義交戰規則、測試視窗和目標選擇。
·法律和道德合規:確保授權書、強制報告和遵守法規。
·協作與溝通:透過同儕審查、升級路徑和風險表達與利害關係人保持一致。
·滲透測試報告:建立包含執行摘要、調查結果和補救建議的報告。
偵察和普查(21%)
·主動和被動偵察:使用開源情報 (OSINT)、網路嗅探和協定掃描收集資訊。
·枚舉技術:執行 DNS 枚舉、服務發現和目錄枚舉。
·偵察工具:使用 Nmap、Wireshark 和 Shodan 等工具收集資訊。
·腳本修改:自訂 Python、PowerShell 和 Bash 腳本以進行偵察和枚舉。
漏洞發現與分析(17%)
·漏洞掃描:進行經過驗證、未經驗證的靜態應用程式安全測試 (SAST) 和動態應用程式安全測試 (DAST)。
·結果分析:驗證發現、排除配置故障以及識別誤報。
·發現工具:使用 Nessus、Nikto 和 OpenVAS 等工具進行漏洞發現。
攻擊和漏洞利用(35%)
·網路攻擊:執行 VLAN 跳躍、路徑攻擊和服務利用。
·身份驗證攻擊:執行暴力攻擊、傳遞雜湊和憑證填充。
·基於主機的攻擊:進行權限提升、進程注入和憑證轉儲。
·Web 應用程式攻擊:執行 SQL 注入、跨站點腳本 (XSS) 和目錄遍歷。
·基於雲端的攻擊:利用容器逃逸、元資料服務攻擊以及身分和存取管理 (IAM) 錯誤配置。
·人工智慧攻擊:解釋針對人工智慧系統的即時注入和模型操縱。
·後期利用和橫向移動(14%)
·後開發活動:建立持久性、執行橫向移動和清理工件。
·文件:建立攻擊敘述並提供補救建議。
學到的技能
·規劃和確定滲透測試的範圍,同時確保符合法律和道德要求,並制定包含補救建議的詳細報告以支持參與管理。
·執行主動和被動偵察,收集資訊並列舉系統以有效發現漏洞。
·進行漏洞掃描、分析結果並驗證發現以識別和解決安全漏洞。
·使用適當的工具和技術執行網路、基於主機、Web 應用程式和基於雲端的攻擊來測試系統防禦。
·保持持久性,進行橫向移動,並記錄發現結果,以支援後期開發活動期間的補救工作。
職業道路
網路工程師
網路工程師負責設計、規劃和實施網路基礎設施,包括區域網路 (LAN)、廣域網路 (WAN) 和內部網路。
網路安全分析師/工程師
網路安全分析師負責規劃、實施、升級和監控安全措施,以保護電腦網路和資訊。他們評估系統漏洞的安全風險,並實施風險緩解策略,以保護數位檔案、資料和重要的電子基礎設施。
滲透測試員
滲透測試人員(也稱為道德駭客)模擬對組織系統、網路和應用程式的網路攻擊,以識別漏洞並提供加強安全防禦的建議。
網路安全架構師
網路安全架構師與企業領導、工程師、開發人員和其他人合作,保護組織免受網路威脅。
資料分析師
數據分析師與組織的數據密切合作,以協助做出更好的業務決策並提供支援決策工作的見解。
IT經理
IT經理負責監督組織的技術基礎設施,確保系統、網路和資料的安全且有效率地運作。他們管理IT員工,規劃技術策略,並實施解決方案以實現業務目標。