今天是迎接中秋連假的第一天~
祝大家中秋快樂，烤肉月餅吃好吃滿滿，
中秋月圓，人也要吃到肚子圓圓XD

除了中秋以外呢，今天也剛好是鐵人賽過半的日子，
每天上班案子滿到還要加班，回到家也要強迫自己運動一下，
自己的youtube的網站也不能完全荒廢(雖然這陣子真的挺廢XD)，
偶爾也當然要與親友同事聚餐，還要擠出時間學習新東西新技術，
所以可以每天擠出一些時間在IT鐵人賽發文，一直持續到今天，
我自己是給自己一個及格的分數XD

那今天剛好在鐵人賽的中間，
就打算來簡單閒聊一下關於滲透測試。

身為一個Pentester，
其實很常會遇到別人問以下的問題:
你都是從哪裡學的?
你們做滲透測試是用哪工具?
要做滲透測試要考甚麼執照?
諸如此類的問題...

首先，如同標題所寫的一般，
「滲透測試從來不是一件簡單的事」
我的目的不是在於自抬身價甚麼的，
雖然我目前經濟的確...QQ

我只是想給一些想踏入滲透測試的人一些小小提醒，
要好好考慮清楚是不是真的要踏入這個坑XD

首先簡單談談剛剛上面提到的問題
1.你都是從哪裡學的?
2.你們做滲透測試是用哪工具?
3.要做滲透測試要考甚麼執照?

其實當初問我這個問題的人，是不止一個，
但是我從他們的問題與閒聊之間，
的確是發現人有些人太過於把一切想太美好。

譬如從哪裡學的？
有的人可能期望有一套課程，或是有一個網站，
可以看完或是學完，就可以學會滲透測試，
實際上我想這是很困難，甚至說幾乎是不可能。

學習過程你一定會接觸很多不管是線上課程、靶機LAB、網路文章、網站、滲透測試規範等等，
有些是直接與資安或是滲透測試相關，有些則是你可能感覺不到關係，
但實際上可能是有需要的，或者是有幫助的，譬如說學程式語言、了解一些資訊技術原理。
我在自己的Youtebe也會推薦一些當初幫助我許多的學習資源
https://www.youtube.com/watch?v=pmJXAbB0AfE&list=PLnb6DdhpDg9QYHkY7YywyqFobnF80aFlZ
如果是想更了解滲透測試的方法論與大致測試規範項目
則可以參考看看一些規範標準 https://www.qa-knowhow.com/?p=4073

再來是我用的是哪一套工具?
我去年的鐵人賽其實介紹了不少的工具，有興趣是可以參考看看，
https://ithelp.ithome.com.tw/users/20114110/ironman/2536
這個問題的確也是有少數人會陷入某些迷思。

迷思一: 滲透測試就是要用某種工具
我想應該很多人聽過Kali Linux，他是一個很好用很實用的滲透測試用作業系統，
但是不代表平常不用Kali，或是完全沒遇過Kali的人，就不會滲透測試，
一個人的專業能力與使用工具其實應該是兩回事，大神不會因為沒有工具就不會PT。

因為我大概也曾算是魔術圈人，之前有個滿有名的魔術師分享自己遇到覺得荒謬的事情，
有次他在麥當勞遇到有兩個年輕人拿著Bicycle撲克牌在練習紙牌魔術，
他就去便利商店也買了一副牌，想說可以過去跟他們一起玩，
結果被年輕人反嗆，大叔你知道我們玩魔術都在用這種Bicycle魔術專用的撲克牌嗎XD。

不過大神也不會因為想證明自己就不用工具啦，
真的有工具好輔助幫忙進行滲透測試，其實沒有必要也不會特別不去使用。

迷思二: 用了某個工具就可以滲透測試
其實跟剛剛那點有點像啦，
其實就像是我前幾篇介紹的Burp Intruder這個功能，
甚至也不用專門提那個功能，就來講講Burp這套工具好了，
如果真的沒有對於WEB的技術與安全測試手法與原理有所知悉，
那你也不會因為用了這套工具就變成大神。

接著關於執照與認證，這邊我今天只想提一件事情，
就是都決定要考照了，拿到認證固然是件重要的事情，
不過希望大家一定要真的是扎實的準備，
不是只為了考照而考照，而是真的可以具備那張證照或是認證的能力。

講完也不是真的要逼退想走PT的人啦，
只是想讓對PT有興趣的新人，可以好好多想想為什麼要走PT，
當然要當Pentester也不是真的說多難，
畢竟不過也就是一份工作，薪資也.... XD
還有如果是打CTF出來的，或是對技術原理、挖漏洞有極大熱忱的，
要好好想想你其實想走的會不會是資安研究員，
Pentester工作內容通常會包含要寫報告、還有要給甲方修補建議，
還有面對客戶有時會有許多奇奇怪怪的要求QQ

最後聊聊鐵人賽，回頭看了一下自己的文章，
如果是習慣用Burp的人應該是覺得沒甚麼太難的，
但我看了一下，想想對於零經驗新手與入門的人，
好像是有那麼一點小小的硬XD

但如果是想踏入滲透測試這領域，
我想這些內容大部分還是偏基礎，應該需要知道的。

其他人的文章也不少更硬的～
當然也有一些比較平易近人的。
其實也很建議，想走PT的人，
可以把Security領域每個人的文章都看過一遍，
畢竟文章說真的也不算是很多。

WEB與程式開發，其實也可以挑有興趣來看，
對於WEB技術與開發有所了解，對於滲透絕對是會有所助益。

今天就到這裡囉，
抱歉今天有點太偏閒聊文，
不過大家可以參考參考^^