CompTIA PenTest+ 考試｜CompTIA PT0-003（PenTest+）認證考試｜最新滲透測試實戰型資安證照-开发者社区

在全球資安威脅持續升溫、企業對主動防禦需求大幅提升的背景下，滲透測試（Penetration Testing）已成為企業資安策略中不可或缺的一環。CompTIA PenTest+（PT0-003）正是針對此一趨勢所設計的國際級專業認證，專注驗證考生在實際攻防場景中的滲透測試能力、漏洞分析能力以及專業報告撰寫能力。

PT0-003 為 CompTIA PenTest+ 的最新版本，不僅延續以往強調實戰導向的特色，更全面升級考綱內容，涵蓋雲端環境、混合架構、Active Directory、Web 應用程式、安全自動化與法規合規等現代企業最關心的資安議題，是目前市場上極具含金量的滲透測試證照之一。

一、什麼是 CompTIA PenTest+（PT0-003）？

CompTIA PenTest+是由全球知名 IT 認證機構CompTIA（Computing Technology Industry Association）所推出的中高階資安認證，主要聚焦於：

主動式資安測試（Offensive Security）
滲透測試流程與方法論
真實環境漏洞利用
技術與管理層溝通能力

二、PT0-003 考試基本資訊一覽

考試代碼：PT0-003
考試名稱：CompTIA PenTest+
考試形式：
- 單選題與複選題
- 實作模擬題（Performance-Based Questions, PBQs）
題數：最多約 85 題
考試時間：165 分鐘
及格分數：750 / 900
考試語言：英文
證照有效期限：3 年（可透過 Continuing Education 更新）

三、PT0-003 官方考綱重點詳解

1️⃣ 滲透測試規劃與範疇界定（Planning and Scoping）

本單元著重於滲透測試前期的專業規劃能力，包括：

滲透測試類型（Black Box / White Box / Gray Box）
Rules of Engagement（測試規範與授權）
法律、合規與倫理考量
測試範圍界定與風險評估
與客戶溝通測試目標與期望結果

此部分是確保測試合法且符合企業需求的關鍵基礎。

2️⃣ 情蒐與弱點識別（Information Gathering & Vulnerability Identification）

資訊蒐集是成功滲透測試的第一步，PT0-003 要求考生熟悉：

主動與被動情報蒐集技術
網路、主機與服務掃描
弱點掃描工具與結果分析
CVSS 風險評分理解
雲端與混合環境漏洞識別

考生需具備將大量掃描結果轉化為「可利用資訊」的能力。

3️⃣ 攻擊技術與漏洞利用（Attacks and Exploits）

此單元是 PenTest+ 的核心重點，內容涵蓋：

網路層與應用層攻擊
Active Directory 攻擊手法
Web 應用程式漏洞（SQL Injection、XSS、CSRF）
密碼破解與憑證攻擊
無線網路與 IoT 攻擊
社交工程攻擊情境

同時也要求考生熟悉Nmap、Metasploit、Burp Suite 等常見滲透測試工具的實際應用。

4️⃣ 後滲透與橫向移動（Post-Exploitation）

成功入侵後，如何擴大影響範圍也是企業高度關注的風險，考綱包含：

權限提升（Privilege Escalation）
憑證存取與敏感資料擷取
橫向移動（Lateral Movement）
持久化控制（Persistence）
測試結束與痕跡清除流程

此部分特別貼近真實紅隊演練場景。

5️⃣ 報告撰寫與溝通能力（Reporting and Communication）

PT0-003 不僅測試技術能力，更重視專業溝通，包括：

技術報告與管理報告差異
漏洞風險說明與商業影響分析
修補建議與優先順序
簡報與跨部門溝通技巧
合規與改善建議文件撰寫

這也是 PenTest+ 與其他駭客型證照的重要差異之一。

四、PT0-003 與 CompTIA 其他資安認證比較

認證	定位與重點
Security+	資安入門與防禦基礎
CySA+	威脅分析與防禦監控
PenTest+（PT0-003）	主動滲透測試與實戰攻擊
CASP+	企業級資安架構與治理

PenTest+ 是銜接基礎資安證照與高階紅隊技術的重要橋樑。