現代人每天都網路、帳號資料散佈在各個網站和應用程式中。資安攻擊事件頻傳，不僅波及政府、企業，連生活日常也可能因帳單密外洩、勒索病毒受到嚴重影響。
本系列預計用30天，逐步推進體驗如何從實務角度入門資安防護。

什麼是資訊安全，究竟關注什麼？
資訊安全的三大核心目標：機密性（confidentiality）、完整性（integrity）、可用性（availability）。

實例說明：公司資料庫如果外洩或竄改，會造成哪些實際損害？

【第一天實作任務】
個人層級的資安：社群帳號被竊、網路銀密碼被破解會如何？

利用haveibeenpwned.com查詢自己常用的電子郵件，檢查是否有帳戶外洩記錄。

步驟：
開啟瀏覽器進入https://haveibeenpwned.com/
輸入一組常用電子郵件，點選「pwned?」

結果截圖。
之後幾天我們來看若有外洩紀錄該怎麼做（如修改密碼、開啟兩個步驟驗證）。

以下是30天資安攻防訓練計劃，每天詳細列點：

第1-2天

• 瞭解資安攻防基本理念與流程
• 安裝與設定Kali Linux與相關攻防工具
• 搭建測試環境（Docker、ngrok、ModSecurity、Suricata、Wazuh）
• 配置目標網站環境與基礎防禦措施

第3天

• SQL注入攻防實戰
• 使用DVWA與OWASP ZAP掃描、滲透及修補

第4天

• 跨站腳本攻擊（XSS）攻防
• 自動化掃描與手動測試技巧演練

第5天

• 跨站請求偽造（CSRF）攻防
• Token機制作防禦演練

第6天

• 檔案包含（LFI/RFI）漏洞測試
• 保護伺服器檔案安全最佳實務

第7天

• 登入弱密碼爆破與釣魚實驗（Kali Hydra、Gophish）
• 強化密碼政策及多因素驗證設置

第8天

• 檔案上傳與遠端命令執行漏洞測試
• 針對上傳檔案過濾與隔離防禦

第9天

• 數據收集與網站指紋識別
• 使用Selenium與Beautiful Soup自動化資料蒐集

第10天

• 日誌分析及異常行為監控
• 利用Wazuh與Grafana視覺化攻擊事件

第11天

• SIEM系統基礎介紹與實作
• Elastic Stack(日誌收集與分析)環境架設

第12天

• 自動化漏洞掃描流程設計
• OWASP ZAP與腳本整合自動化攻防測試

第13天

• SOAR平台基本操作與流程設定
• 自動化告警與事件響應演練

第14天

• EDR工具部署及威脅檢測
• 端點防護與監控實戰

第15天

• DevSecOps流程與CI/CD自動化安全
• Jenkins、n8n、Railway自動化部署與測試

第16天

• 開源資安工具混合運用策略
• 整合ModSecurity、Suricata、SonaQube演練

第17天

• MITRE ATT&CK與CALDERA自動化攻防平台介紹
• CALDERA平台架設與實作演練

第18天

• 使用PQC(後量子密碼)基礎
• 研究量子加密與未來資安趨勢

第19天

• 靜態與動態程式碼安全分析
• SonaQube代碼掃描及報告分析

第20天

• AI輔助資安應用入門
• 使用GPT、Langchain輔助威脅檢測與自動化腳本生成

第21天

• 自建社交網站架設
• 架設基礎前後端與雲端環境設定（AWS、Azure、Google）

第22天

• 社交網站漏洞滲透測試實戰
• 使用OWASP ZAP、x64dbg、IDA Pro工具進行漏洞研析

第23天

• 實施攻防監控系統
• 利用Wazuh與Grafana部署監控與回溯分析

第24天

• AI與自動化整合
• 利用AI模型分析安全事件並產出反應腳本

第25-27天

• 攻防實戰模擬
• 多人交互滲透測試與防守演練
• 漏洞報告撰寫與優化安全策略

第28-30天

• 跨平台安全測試與新技術實驗
• IoT與區塊鏈資安基礎
• Chatbot、AR、Selenium自動化測試深化

看起來很難!但也藉機練習及訓練想進入IT產業的小白!