先前我們提到了軟體開發流程、靜態原始碼描瞄、弱點掃瞄的部份，
我們會發現到有一些弱點，在實際的環境上測試可能是無法驗證的，
所以會造成後續不確定怎麼修補，或也可能因為經驗、環境或流程…相關因素，可能無法驗證。
接下來，我們會開始講到一些實作驗證的部份，可能會有一點點需要良好的道德價值觀。
所以在這裡低調的分享一下可能會造成的刑罰的新聞：

//資料來源：http://www.cardu.com.tw/news/detail.php?nt_pk=22&ns_pk=27000

//資料來源：http://news.ltn.com.tw/news/society/breakingnews/1760010

再說，我們做資安的可能會被貼上駭客的標籤。
但是，我們實際上不是壞人好嗎～QAQ"

通常我們在資訊安全教育訓練或資安服務之前，都會有聲明及刑法的宣告。

聲明

本系列課程內容，僅用於瞭解攻擊手法以利進行防禦部署，若有任何學員以之進行非法活動，一切行為與本人及敦陽科技無關，由學員自行負責。

刑法

駭客行為觸犯刑法第36章妨害電腦使用罪，請勿以身試法。
第 358 條 – 入侵電腦或其相關設備罪
第 359 條 – 破壞電磁紀錄罪
第 360 條 – 干擾電腦或其相關設備罪
第 361 條 – 對公務機關，加重其刑至1/2
第 362 條 – 製作犯罪電腦程式罪
第 363 條 – 358 ~ 360 須告訴乃論

我們的動作是會經由客戶授權，然後在對方允許的環境下做測試或者破壞性攻擊，而且儘可能不影響到正式環境。
後續會出報告給客戶說，哪些漏洞需要修補，或哪裡部份需要升級或加強。
並沒有像說我們會去破解人家的密碼、側錄人家對話或偷取人家的個資什麼的…
//雖然要做也做的到啦 XD
//不過我們真的沒有在做黑的啦～ QAQ"

另外角色的定義可以看這兒：

白帽黑客（white hat hacker）測試網絡和系統的性能來判定它們能夠承受入侵的強弱程度。
通常，白帽黑客攻擊他們自己的系統，或被聘請來攻擊客戶的系統以便進行安全審查。
學術研究人員和專職安全顧問就屬於白帽黑客。
黑客並非都是黑的，那些用自己的黑客技術來做好事的黑客們叫「白帽黑客」，
大多數的普通黑客都是掛靠在安全公司，通過檢測計算機系統安全性來謀生。
黑帽
與白帽黑客相反，黑帽黑客(black hat hacker)就是人們常說的"黑客"或"駭客"了。
他們往往利用自身技術，在網絡上竊取別人的資源或破解收費的軟體，以達到獲利。
雖然在他們看來這是因為技術而就得到的，但是這種行為卻往往破壞了整個市場的秩序，或者泄露了別人的隱私。。
//資料來源：https://kknews.cc/tech/bnmg8j.html

老虎只是賣菜刀，菜刀可以切菜，並沒有要叫你拿菜刀殺人哦 =v=+
老虎只是提供工具，再次聲名，並沒有叫你去做一些壞壞的事情哦 QAQ"

預計之後在滲透測試之前，會提到常用工具的教學，如果有興趣的話，可以自己摸索驗證看看 ：)

有幾張證照可以參考看看：

CISSP

BS7799 Lead Auditor

CERT/CC

CHFI(Computer Hacking Forensic Investigator)

CSSLP(Certified Secure Software Lifecycle Professional)

CEH(Certified Ethical Hacker)

EC-Council CEH 駭客技術專家認證課程
而且學生還有學生優惠，如果決定要從事資安的話，學生考證照的價錢超便宜的哭哭～
可以直接打電話給業務或問一下學校單位。

而且我寫信去原廠問，原廠居然還能讓我殺價，如果要考的話，可以參考一下。

證照長這樣兒，但你考完之後，沒有東西會寄來，只有PDF檔給你 …