大家好,這是我第二次參加鐵人賽
沒錯各位,我回來啦!!!!
去年2021年報了自我挑戰組,主要是回顧自己學過的東西
但因為內容很雜,就沒報主題競賽了(詳情請看:自我挑戰組 - 大二萌新的學習紀錄)
所以今年!我決定要來挑戰看看主題競賽!
那,為什麼我會選擇報 security 呢?
其實我在 lab 是學 web 後端的,但因為專案需求,現在跳來前端接觸 vue.ts
那你就會想:奇怪?那跟資安有什麼關係?未免也太跳痛了吧
沒錯!就是這麼地跳痛
但真要說為什麼會接觸到資安,是因為今年4月我和同學組隊報了一個資安的比賽,當時的我對資安一無所知,就只是上網看看文章而已(結果居然賽到優勝,真是多謝隊友凱瑞R)
而暑假的時候,我報了成大辦的關鍵基礎設施的資安課程,讓我對資安有了大致上的了解,但同時也發現到一個問題:「許多IT人都缺乏資安的意識」
什麼意思呢?舉個最簡單的例子
相信大家都有類似經驗,在開發或測試時,會為了便利,把帳號密碼設的很簡潔易記,不外乎是root、admin、user、test123…等,畢竟IT人都很懶嘛 (只有你)
但這樣其實很危險,這就是所謂的弱密碼 (weak password)
如果你都是在內網開發,外網沒辦法連進去,可能還沒關係
但如果有「一個」連到外網,且你「剛好」使用了「弱密碼」,那你用字典檔攻擊或暴力破解就能解開了
我印象中之前有看過一個新聞,是某間公司因為系統的帳號密碼設的太簡單,而遭到hacker入侵,但我忘記新聞的關鍵字了,如果有人知道請支援收銀 ((誤
會發生這類情況,就是因為企業員工缺乏資安意識
再加上很多中小型企業並沒有聘請專業的資安人員來進行偵測與防護,那麼在開發的過程中就容易讓hacker有跡可循(ex:程式碼、環境、系統等)
因此資安不應該只是資安工程師的事,而是每個人、甚至是所有人的事
如果我那時候沒有報名那個比賽,甚至是報名成大的課程,那我今天依然是個對資安一知半解,毫無危機意識的IT人
既然我們現在發現到這個問題,我們當然不能漠視他!
在這30天裡,我會寫一些我認為你應該要知道的基本資安觀念,再攻防操作給你們看
因此我期許你看完這系列,你能夠知道:
1. 資安是在幹嘛的,有什麼東西是你該知道的
2. 目前有哪些攻擊手法、他們的運作原理是什麼
3. 可以如何預防攻擊,減少被入侵的可能性
4. 這些攻擊手法又是如何去達成的?
5. 有什麼樣的資安工具?該如何使用他?
其實不外乎就是「增加你的資安意識」
在知道上述幾點後,我期許你能多一項「技能」,那就是擁有反思的能力
什麼意思呢?當你看到一個東西時,你有沒有辦法去判斷它這個功能的安全性如何?是否有資安的疑慮在?
舉個例子,你現在在填一份滿意度問卷調查,結果它問了你的戶籍地址、家庭成員、年所得、病史等,你會有什麼樣的想法呢?
是不以為意繼續填寫,還是能察覺到是否有哪裡怪怪的?
如果你能察覺到,那麼恭喜你,稍微有點資安的意識了!
你不一定要學會操作,但你一定要知道它的原理跟概念是什麼
至少要知道在資安的世界裡有「這個東西」存在,而不是一無所知
希望接下來的30天,能幫助大家更了解資安的世界!
iThome鐵人賽
看影片追技術