一、CISP-PTE考试架构：实操为王的评分逻辑

2025年CISP-PTE延续“理论+实操”双维度考核，线下机考时长120分钟，满分100 分且70分合格。题型分值清晰：20道选择题占20 分(考查基础理论)，实操题占80 分(含5道10分基础题与1道30分综合题)。核心通过逻辑是“实操定成败”——即便选择题满分，实操需至少得50分才能达标。

二、四大核心考核模块深度拆解

1、Web安全(40%-50%分值)

绝对核心考点，覆盖SQL注入、XSS、文件处理等漏洞。需掌握SQL注入绕WAF技巧(如空格用/**/替代、union双写为ununionion)，文件上传绕过方案(图片马加GIF89a标识、后缀改为.phtml)，以及 PHP 伪协议(php://filter读源码)等实操技能。

2、中间件与系统安全(各20%分值)

中间件聚焦Apache、Tomcat、WebLogic等配置漏洞与加固方法，需响应最新漏洞动态;系统安全侧重Windows/Linux权限管理，如 Linux 的 SUID 提权、Windows 用GetPass.exe抓密码等实战操作，日志审计与内核漏洞修复也是重点。

3、数据库安全(20% 分值)

以 MySQL、MSSQL 为核心，需掌握权限分配、文件操作利用等技巧，例如通过 SQL 注入执行LOAD_FILE读取敏感文件。Oracle、Redis 等仅为 PTS 考核内容，PTE 考生可聚焦基础库操作。

4、综合渗透场景(30 分综合题)

融合全流程技术，典型场景为 “信息收集→Web 渗透→内网漫游”：用 Nmap 扫端口、Burp 抓包改包、CS 横向移动至域控，最终获取 root 权限与 key。

三、备考核心策略

工具上主攻 Burp Suite(抓包改包)、SQLMap(注入)、Nmap(扫描)等核心利器;靶场推荐 DVWA 练基础、VulnHub 仿综合场景;时间分配需严格：20 分钟完成选择题，预留90分钟攻坚综合题。