3個如何入門資訊安全測試的建議

3個如何入門資訊安全測試的建議

這篇文章主要說明資訊安全測試的建議學習步驟,

這三個步驟不完全要有先後順序關係,可以不斷的交叉反覆思考與練習。

如果要入門資訊安全測試要怎樣開始呢?

 

駭客的思維與我們不同

舉個例子,看到下列網站我們一般會進行的測試可能是:

  • 錯誤帳號密碼測試
  • 從”網頁”輸入非法字元
  • 看看密碼會不會明文傳送
  • ….

passwordMgr

接著讓我們看看駭客的思維。

換句話說,這個網頁只是駭客用來 “參考” 該網站提供的功能與商業邏輯。並不是駭客用來照著資料輸入!

駭客的思維是跳躍式。對於背後看不到的資訊更是寶藏。

 

有些駭客可能只會一種攻擊 Known Vulneraiblity,因此針對全世界只要有幾個網站有這樣的弱點他就有機可趁。

資訊安全測試專家不同,資訊安全測試專家必須要知道所有可能的攻擊情境。

 

駭客不需要知道怎樣修補漏洞。因為駭客的主要目標是 Hacking 系統。

資訊安全專家需要知道修補漏洞的防護之道。

 

Hacker Thinking

 

駭客更著重於上機演練。

資訊安全專家著重於流程、管理面等。

那麼要如何培養駭客那樣的上機練習 ?

筆者建議可以透過下列方式學習。

 

WebGoat 線上練習

http://webgoat.github.io/

這個下載後執行是一個 Java Web Site,線上有許多駭客攻擊的練習題。每一種攻擊的情境都會模擬說明。

如果真的不知道怎樣進行攻擊,還有線上說明與提示。筆者推薦的一個入門練習的環境。

 

網站的資訊安全測試

除了上機練習之後,還必須了解背後的基本原理。筆者建議可以選一本自己容易閱讀的 Web Security Hacking 相關的書籍。

畢竟攻擊行為會改變、工具會改變,但是有些核心的基本原理是不會變。

筆者自己最喜歡的一本書是這本。這本書理論與實務兼顧,也有許多個案討論與工具介紹。

不會像 CISSP 的書籍讀完之後,要怎樣應用在實務上測試還是有些落差。

 

 

駭客工具集

最後介紹 “Kali Linux”,這個是一個 Linux Virtual  Machine。

裡面包含幾乎所有駭客會用到的工具。可以根據攻擊的情境慢慢熟悉這些工具。

https://www.kali.org/downloads/

小結

要入門資訊安全測試必須要慢慢培養駭客思維,從這三個方向交叉的學習。

  • 駭客思維 (書本知識或是多看個案)
  • 如何測試 (駭客工具)
  • 建立練習環境 (WebGoat)

再次強調,在未經許可的系統執行這樣的測試練習是違法! 因此建立自己的虛擬練習環境是必須的。

 

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *