序言:
本人是剛入行的資安新手,在校科系也與資安無關。
這是我第一次參加鐵人賽,
希望可以敦促自己在這方面的成長,
題目會以紅隊類型的滲透知識分享為主,
網路上有很多自學資源,
我會一邊看一邊整理筆記,
盡量整理成大家都能看懂的形式來進行知識分享.
開張第一篇從簡單的資安概念進行分享:
◎資訊安全
資訊安全是指保護資訊系統及其內容免受未經授權的存取、使用、洩露、破壞、修改或刪除。
資安的目標主要有三個方面,一般我們稱作CIA:
▶機密性(Confidentiality):
確保資訊只能被授權的人員或系統訪問。
常用的措施包括加密和存取控制。
▶完整性(Integrity):
保持資訊的準確性和一致性,防止未經授權的修改。
使用校驗和、數字簽名來保證資料的完整性。
▶可用性(Availability):
確保合法用戶能夠在需要時訪問資訊和資源。
採取措施來防止拒絕服務攻擊和系統故障。
◎滲透測試(Penetration Testing, PT)
滲透測試(Penetration Testing,或稱Pen Testing)是一種主動性的資安評估方法,用於模擬真實攻擊者對系統進行入侵,以識別系統中的安全漏洞和弱點。PT是本次鐵人賽的主要分享知識範圍,簡單來說是屬於攻擊方的知識,也在這裡提醒,PT作業只有在得到充分授權下才可以進行,否則會觸法喔!
PT的主要目標有:
▶識別漏洞:
使用工具和技術來掃描系統中的已知漏洞。
測試安全配置和策略的有效性。
▶驗證安全控制:
驗證現有安全控制措施是否足以抵禦實際攻擊。
確保安全策略和技術控制正確實施。
▶提升安全意識:
向開發和運維團隊展示系統可能遭受的攻擊類型和其影響。
增強組織成員對於資安威脅的理解。
▶提出修復建議:
提供詳細報告,說明發現的漏洞及其潛在影響。
建議具體的修復措施來加強系統安全。
●滲透測試的過程
滲透測試通常包括以下幾個步驟:
第一篇就先簡單跟大家做粗淺的介紹,
預計從第二篇開始會有比較完整的課程規劃與介紹。