iT邦幫忙

第 12 屆 iThome 鐵人賽

DAY 16
1
Security

Web滲透測試 - Burp Suite 完整教學系列 第 16

滲透測試從來不是一件簡單的事

今天是迎接中秋連假的第一天~
祝大家中秋快樂,烤肉月餅吃好吃滿滿,
中秋月圓,人也要吃到肚子圓圓XD

除了中秋以外呢,今天也剛好是鐵人賽過半的日子,
每天上班案子滿到還要加班,回到家也要強迫自己運動一下,
自己的youtube的網站也不能完全荒廢(雖然這陣子真的挺廢XD),
偶爾也當然要與親友同事聚餐,還要擠出時間學習新東西新技術,
所以可以每天擠出一些時間在IT鐵人賽發文,一直持續到今天,
我自己是給自己一個及格的分數XD

那今天剛好在鐵人賽的中間,
就打算來簡單閒聊一下關於滲透測試。

身為一個Pentester,
其實很常會遇到別人問以下的問題:
你都是從哪裡學的?
你們做滲透測試是用哪工具?
要做滲透測試要考甚麼執照?
諸如此類的問題...

首先,如同標題所寫的一般,
「滲透測試從來不是一件簡單的事」
我的目的不是在於自抬身價甚麼的,
雖然我目前經濟的確...QQ

我只是想給一些想踏入滲透測試的人一些小小提醒,
要好好考慮清楚是不是真的要踏入這個坑XD

首先簡單談談剛剛上面提到的問題
1.你都是從哪裡學的?
2.你們做滲透測試是用哪工具?
3.要做滲透測試要考甚麼執照?

其實當初問我這個問題的人,是不止一個,
但是我從他們的問題與閒聊之間,
的確是發現人有些人太過於把一切想太美好。

譬如從哪裡學的?
有的人可能期望有一套課程,或是有一個網站,
可以看完或是學完,就可以學會滲透測試,
實際上我想這是很困難,甚至說幾乎是不可能。

學習過程你一定會接觸很多不管是線上課程、靶機LAB、網路文章、網站、滲透測試規範等等,
有些是直接與資安或是滲透測試相關,有些則是你可能感覺不到關係,
但實際上可能是有需要的,或者是有幫助的,譬如說學程式語言、了解一些資訊技術原理。
我在自己的Youtebe也會推薦一些當初幫助我許多的學習資源
https://www.youtube.com/watch?v=pmJXAbB0AfE&list=PLnb6DdhpDg9QYHkY7YywyqFobnF80aFlZ
如果是想更了解滲透測試的方法論與大致測試規範項目
則可以參考看看一些規範標準 https://www.qa-knowhow.com/?p=4073

再來是我用的是哪一套工具?
我去年的鐵人賽其實介紹了不少的工具,有興趣是可以參考看看,
https://ithelp.ithome.com.tw/users/20114110/ironman/2536
這個問題的確也是有少數人會陷入某些迷思。

迷思一: 滲透測試就是要用某種工具
我想應該很多人聽過Kali Linux,他是一個很好用很實用的滲透測試用作業系統,
但是不代表平常不用Kali,或是完全沒遇過Kali的人,就不會滲透測試,
一個人的專業能力與使用工具其實應該是兩回事,大神不會因為沒有工具就不會PT。

因為我大概也曾算是魔術圈人,之前有個滿有名的魔術師分享自己遇到覺得荒謬的事情,
有次他在麥當勞遇到有兩個年輕人拿著Bicycle撲克牌在練習紙牌魔術,
他就去便利商店也買了一副牌,想說可以過去跟他們一起玩,
結果被年輕人反嗆,大叔你知道我們玩魔術都在用這種Bicycle魔術專用的撲克牌嗎XD。

不過大神也不會因為想證明自己就不用工具啦,
真的有工具好輔助幫忙進行滲透測試,其實沒有必要也不會特別不去使用。

迷思二: 用了某個工具就可以滲透測試
其實跟剛剛那點有點像啦,
其實就像是我前幾篇介紹的Burp Intruder這個功能,
甚至也不用專門提那個功能,就來講講Burp這套工具好了,
如果真的沒有對於WEB的技術與安全測試手法與原理有所知悉,
那你也不會因為用了這套工具就變成大神。

接著關於執照與認證,這邊我今天只想提一件事情,
就是都決定要考照了,拿到認證固然是件重要的事情,
不過希望大家一定要真的是扎實的準備,
不是只為了考照而考照,而是真的可以具備那張證照或是認證的能力。

講完也不是真的要逼退想走PT的人啦,
只是想讓對PT有興趣的新人,可以好好多想想為什麼要走PT,
當然要當Pentester也不是真的說多難,
畢竟不過也就是一份工作,薪資也.... XD
還有如果是打CTF出來的,或是對技術原理、挖漏洞有極大熱忱的,
要好好想想你其實想走的會不會是資安研究員,
Pentester工作內容通常會包含要寫報告、還有要給甲方修補建議,
還有面對客戶有時會有許多奇奇怪怪的要求QQ

最後聊聊鐵人賽,回頭看了一下自己的文章,
如果是習慣用Burp的人應該是覺得沒甚麼太難的,
但我看了一下,想想對於零經驗新手與入門的人,
好像是有那麼一點小小的硬XD

但如果是想踏入滲透測試這領域,
我想這些內容大部分還是偏基礎,應該需要知道的。

其他人的文章也不少更硬的~
當然也有一些比較平易近人的。
其實也很建議,想走PT的人,
可以把Security領域每個人的文章都看過一遍,
畢竟文章說真的也不算是很多。

WEB與程式開發,其實也可以挑有興趣來看,
對於WEB技術與開發有所了解,對於滲透絕對是會有所助益。

今天就到這裡囉,
抱歉今天有點太偏閒聊文,
不過大家可以參考參考^^


上一篇
Intruder 如何觀察與判斷堆積如山的結果
下一篇
這些功能還不夠嗎?來開外掛吧!Burp Exterder擴充功能 - BApp Store
系列文
Web滲透測試 - Burp Suite 完整教學30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 則留言

0
SunAllen
iT邦研究生 1 級 ‧ 2020-10-01 21:47:12

PT 真的不容易~.~

SunAllen iT邦研究生 1 級 ‧ 2020-10-01 21:47:32 檢舉

PS:中秋節快樂!

HackerCat iT邦新手 2 級 ‧ 2020-10-02 20:27:13 檢舉

中秋快樂~ 一起努力

0
badbug
iT邦新手 5 級 ‧ 2020-10-02 00:41:53

一起加油! 想請問是在傳統的資安大公司還是一般公司聘的滲透測試缺

HackerCat iT邦新手 2 級 ‧ 2020-10-02 20:30:10 檢舉

說一下我的理解
你的問題應該是問我是在資安服務公司(俗稱乙方,幫甲方公司做案子),
還是在一般非資安公司,譬如台GG,電商公司之類的,內部專門打自己公司的滲透測試團隊吧

如果是這個問題的話~ 我是在乙方

badbug iT邦新手 5 級 ‧ 2020-10-03 22:51:38 檢舉

喔喔原來如此,那請問一開始有建議去哪一方嗎,還是都行

HackerCat iT邦新手 2 級 ‧ 2020-10-15 22:24:16 檢舉

抱歉 我沒注意到有這個留言XD
我是覺得都行

我要留言

立即登入留言