• 3個如何入門資訊安全測試的建議

    這篇文章主要說明資訊安全測試的建議學習步驟,

    這三個步驟不完全要有先後順序關係,可以不斷的交叉反覆思考與練習。

    如果要入門資訊安全測試要怎樣開始呢?

     

    駭客的思維與我們不同

    舉個例子,看到下列網站我們一般會進行的測試可能是:

    • 錯誤帳號密碼測試
    • 從”網頁”輸入非法字元
    • 看看密碼會不會明文傳送
    • ….

    passwordMgr

    接著讓我們看看駭客的思維。

    換句話說,這個網頁只是駭客用來 “參考” 該網站提供的功能與商業邏輯。並不是駭客用來照著資料輸入!

    駭客的思維是跳躍式。對於背後看不到的資訊更是寶藏。

     

    有些駭客可能只會一種攻擊 Known Vulneraiblity,因此針對全世界只要有幾個網站有這樣的弱點他就有機可趁。

    資訊安全測試專家不同,資訊安全測試專家必須要知道所有可能的攻擊情境。

     

    駭客不需要知道怎樣修補漏洞。因為駭客的主要目標是 Hacking 系統。

    資訊安全專家需要知道修補漏洞的防護之道。

     

    Hacker Thinking

     

    駭客更著重於上機演練。

    資訊安全專家著重於流程、管理面等。

    那麼要如何培養駭客那樣的上機練習 ?

    筆者建議可以透過下列方式學習。

     

    WebGoat 線上練習

    http://webgoat.github.io/

    這個下載後執行是一個 Java Web Site,線上有許多駭客攻擊的練習題。每一種攻擊的情境都會模擬說明。

    如果真的不知道怎樣進行攻擊,還有線上說明與提示。筆者推薦的一個入門練習的環境。

     

    網站的資訊安全測試

    除了上機練習之後,還必須了解背後的基本原理。筆者建議可以選一本自己容易閱讀的 Web Security Hacking 相關的書籍。

    畢竟攻擊行為會改變、工具會改變,但是有些核心的基本原理是不會變。

    筆者自己最喜歡的一本書是這本。這本書理論與實務兼顧,也有許多個案討論與工具介紹。

    不會像 CISSP 的書籍讀完之後,要怎樣應用在實務上測試還是有些落差。

     

     

    駭客工具集

    最後介紹 “Kali Linux”,這個是一個 Linux Virtual  Machine。

    裡面包含幾乎所有駭客會用到的工具。可以根據攻擊的情境慢慢熟悉這些工具。

    https://www.kali.org/downloads/

    小結

    要入門資訊安全測試必須要慢慢培養駭客思維,從這三個方向交叉的學習。

    • 駭客思維 (書本知識或是多看個案)
    • 如何測試 (駭客工具)
    • 建立練習環境 (WebGoat)

    再次強調,在未經許可的系統執行這樣的測試練習是違法! 因此建立自己的虛擬練習環境是必須的。

     

     

     

    Posted by Tony @ 12:01 pm

  • Leave a Reply

    Your email address will not be published.