如標題所說，想打贏一場戰爭除了要了解敵方的軍隊，熟知自己隊伍的強弱勢也是勝利的關鍵。今天要了解的是能夠熟知自己系統的方法－網路安全滲透測試。，

什麼是網路安全滲透測試？

嚴格的定義來說，是由網路安全滲透測試專家針對目標網路進行安全檢測的評估，並且提出漏洞的改善方法。主要分為黑、白、灰盒測試三種，簡單來說就是從外、內部或部分了解目標資訊來進行測試，測試方法會根據事前對目標的了解程度有所變化。

那測試的目標到底是什麼？具體來說跟網路相關的基礎設施，包含：

• 網路裝置：連接到網路的各種實體。
• 作業系統
• 實體安全：機房環境、線路等。
• 應用程式：針對某種目的所使用的程式。
• 管理程度

如何進行網路安全滲透測試？

根據pentest-standard.org列出的滲透測試執行標準為以下七個階段：
1.與客戶交流階段：主要討論測試的目標、方法、所需條件、限制、工期、費用等。
2.情報蒐集階段：被動或主動掃描。
3.威脅建模階段：目標的重要資產以及測試中的攻擊者。
4.漏洞分析階段：除了軟硬體，目標人員的心理也是其中的因素。
5.漏洞利用階段：利用漏洞滲透程式對目標進行測試。
6.後滲透攻擊階段：向客戶展是目前網路存在問題的風險。
7.報告階段。

如何成為一個合格的網路安全滲透測試者？

• 網路方面的知識
• 滲透工具的使用（Kali Linux 2）
• 程式的撰寫（python）

以上三點除了自己需要具備穩固的基礎，對滲透工具的了解也相當重要。在下一篇我會學習Kali Linux 2的基礎操作。