iT邦幫忙

2025 iThome 鐵人賽

DAY 30
0

概念太多太多,於是總結出以下!!!我覺得很受用,因為平時寫網頁網站不會特別去考慮後端的部署,但其實只是湊巧沒被盜用,快資訊的時代,我們應該更注重隱私權、財產權等重要意識。


主要分為幾點練習:


網站應用程式安全 (Web Application Security)

聚焦於當前網路環境中最主要的攻擊向量——網站應用程式。以 OWASP Top 10 為理論基礎,輔以 DVWA (Damn Vulnerable Web Application) 靶場環境及 OWASP ZAP 測試工具,對以下關鍵漏洞進行了深度剖析與攻防演練:

注入攻擊 (Injection): 特別針對 SQL Injection 進行原理分析與實作。
跨網站指令碼 (XSS): 探討其在 MVC 架構下的應用與防護機制。
檔案處理漏洞: 涵蓋檔案包含 (LFI/RFI) 及不安全的檔案上傳。
安全測試流程: 利用專業工具進行流量攔截、Token 分析與自動化掃描。


攻擊性技術與惡意程式分析 (Offensive Techniques & Malware Analysis)

建立深度防禦策略,對各類攻擊手法與惡意程式的運作機制進行了研究與實作。

滲透測試前期階段: 資訊收集的方法論與工具應用。
惡意程式開發: 透過 C# 語言編寫遠端存取木馬 (RAT) 與勒索軟體 (Ransomware),以理解其核心行為。
網路層攻擊: 阻斷服務攻擊 (DoS) 的概念與基本實現。
社交工程: 對密碼爆破、釣魚攻擊及電話詐騙等手法的原理進行了系統性分析。


防禦性監控與維運實務 (Defensive Monitoring & Operational Practices)

資訊安全防禦方(藍隊)之核心職能,建構一套自主的監控、偵測與告警機制。透過部署開源解決方案,將理論知識轉化為具體的維運能力。(但很多沒有很完整)

日誌管理與分析: 強調日誌收集的重要性,並介紹端點偵測與回應 (EDR) 概念。
監控平台建置: 使用 ELK Stack (Elasticsearch, Logstash, Kibana) 與 Wazuh 整合搭建日誌監控與入侵偵測系統 (IDS)。
威脅情資 (Threat Intelligence): 探討如何整合並應用威脅情資以實現主動防禦。
攻防演練框架: 介紹紅隊演練 (Red Teaming) 對驗證藍隊防禦能力的價值。


安全框架與議題 (Macro Security Frameworks & Forward-Looking Topics)

資訊安全風險管理: 介紹風險的識別、評估、處理與監控流程。
DevSecOps: 論述如何將安全性左移 (Shift-Left),融入 CI/CD 自動化流程。
密碼學原理與應用: 涵蓋對稱式/非對稱式加密、雜湊函數,並延伸至後量子密碼學 (PQC) 的前瞻性探討。


上一篇
【DAY29】技術實作/打造一個 AI 釣魚郵件偵測器
系列文
我的30天資安攻之路防身修練:實戰×工具×AI全紀錄30
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言