今天要介紹一下我們的主題「滲透測試」！

什麼是滲透測試

想像一下，你家有一扇門，鎖看起來很牢固，但你不確定是不是有人能偷偷打開。於是你請來一位「專業小偷模擬員」，讓他嘗試各種方法進來。
如果他真的打開了門，就會告訴你「這裡的鎖太容易被破解」，你就可以趕快換掉或加強安全。

這就是「滲透測試」：由專業人員用駭客的方法去測試電腦系統、網站或網路的安全性，找出漏洞，再幫忙修補。

為什麼需要滲透測試

今天一個服務製作完成，準備上線，必定要先安全測試，檢查系統是否有什麼安全隱患。
如果能在滲透測試時就發現問題點，可以趕在上線前立即修復，避免造成更大的問題出來。

1. 防止駭客攻擊：如果漏洞被壞人發現，他可能偷走密碼、個資或破壞系統。
2. 提前修補問題：滲透測試就像「提早發現牙齒蛀洞」，先補起來，避免更嚴重的後果。
3. 保障大家的安全：不只是企業，學校、銀行、甚至遊戲伺服器也需要安全，才能讓使用者安心。

滲透測試會做什麼？

可以想像成一場「模擬駭客比賽」：
• 收集資訊：先調查「目標」像是網站版本、IP 位置，就像偵探打探消息。
• 嘗試進攻：測試弱密碼、錯誤設定，或網站程式漏洞，就像試著用別人的鑰匙或撬鎖。
• 記錄結果：把找到的漏洞寫成報告，交給系統管理員。
• 建議修復：告訴對方要改密碼規則、更新系統或增加防護。

重要的是——滲透測試人員不是壞人，他們是受雇來「保護」系統的。

滲透測試跟紅隊演練差在哪？

先想像一個遊戲
你和同學一起玩一款線上遊戲。裡面有一個「城堡」，要保護寶物不要被敵人偷走。
• 城堡的牆壁、門、陷阱 → 代表電腦系統、帳號密碼、公司防護措施
• 敵人（駭客） → 想要偷走寶物的人

💉 滲透測試

就像你請一個「好人玩家」來專門試試城堡的門鎖穩不穩。
• 他只會測一小部分，例如「正門的鎖好不好開」。
• 測完之後，他會告訴你：「喔，這個鎖太簡單了，要換更好的。」
• 重點是找到漏洞，方便修理。

🥷 紅隊演練

這就不一樣了。紅隊演練是請一群「假裝成壞人」的高手，來試著真的攻城。
• 他們不只會試正門，還可能去找秘密通道、翻牆、甚至假裝成你的同學混進來。
• 他們可能不告訴你什麼時候開始，讓你真的以為被攻擊了。
• 最後才會揭曉：「我們是演習啦！這裡這裡這裡都有破洞，要加強。」

可能還會包括像是社交工程的技術進行測試

簡單來說：
• 滲透測試：小規模檢查，看某個地方安不安全。
• 紅隊演練：大規模演習，測整個系統和人的反應。

希望透過今天的介紹大家對「滲透測試」更了解了，下篇我們會來介紹，接下來要與我們奮鬥 20 幾天的 HackTheBox