已經到了鐵人賽尾聲了，想說簡單跟大家聊聊如果想要學習滲透測試的話應該去哪裡找免費的資源？

🍀 Youtube 影片

如果英文程度比較好一點的，就可以自己花時間去拜讀官方網站的文章或是指令說明，也可以透過在指令後方加上 --help 或 -h 來看看這些指令功能。也可以看看國外知名的白帽駭客 Youtube 頻道，以下跟大家分享幾個我會看的：

1. NetworkChuck：https://www.youtube.com/@NetworkChuck
2. zSecurity：https://www.youtube.com/@zSecurity
3. Practical Networking：https://www.youtube.com/@PracticalNetworking

如果你是喜歡看文章內容的話，這邊也推薦看 Medium 的文章內容。當然，我們 IT 邦幫忙的文章也可以去尋找一下，有許多厲害的大老都在平台裡分享 Security 相關的知識！但實作的部分恐怕就要自己設計實驗來做。

🍀 完整的題目與練習

以下這三個平台都有完整的介紹滲透測試需要的工具、觀念釐清、實作步驟。你可以試著在這些網站裡面練習，而且裡面也有分類不一樣的主題，幫助你快速找到自己想做的實驗，或是依照自己的程度來找題目。

1. Portswigger：https://portswigger.net/web-security
   專注於 Web 應用安全的互動式練習與教學，每題都有 step-by-step 的教學提示可開關，可以讓你學會「攻擊手法背後的原理解構」。適合剛學 Web 安全到中高階，或想把 Burp Suite 用熟的人。
2. Hack The Box：https://academy.hackthebox.com/catalogue/paths
   以攻防靶機 & 線上 Lab 著稱，題目多元（web、pwn、rev、crypto、forensics），適合想練綜合滲透流程的人，內容包括：「從情報收集 → 漏洞利用 → 提權 → 憑證橫移」。
3. OffSec：https://www.offsec.com/learning/paths/
   OffSec 比較偏向於考照、想要系統化、證照訓練與深度技術能力的人，或計畫轉職安全領域的人。以專業認證課程聞名（例如：OSCP、OSWE、CRTP 等等）

🍀 自己的學習心得

我自己學習的方式則是大量的閱讀文章、觀看影片、用家裡的環境做實驗。

剛開始的時候一定會不知道自己要做什麼，但是隨著大量閱讀文章，有一個知識背景之後，就會比較知道自己要做些什麼。你也可以嘗試自己畫個流程圖，用圖形化的方式會更好理解，我最常用的畫圖工具就是 Whimsical。

或甚至你也可以把你設計好的實驗流程，拿去跟 AI 討論，有時候會給你更多不一樣的反饋！可能會有些術語是你原本沒聽過的，但這就是學習的起點！術語不懂就繼續大量閱讀，很快就能夠上手。

希望大家都能夠找到屬於自己的學習方式，也祝各位能夠往自己的目標邁進！