iT邦幫忙

鐵人檔案

2021 iThome 鐵人賽
回列表
Security

資安這條路─系統化學習滲透測試 系列

以系統化與圖解的方式撰寫滲透測試的相關知識,若對滲透測試有興趣的夥伴,可以藉著這系列的文章由淺入深了解滲透測試的技術與細節,本系列文章也會納入滲透測試相關證照的注意事項與內容,同時兼具概念與實用性。

鐵人鍊成 | 共 37 篇文章 | 108 人訂閱 訂閱系列文 RSS系列文 團隊飛天小女警
DAY 1

達標好文 Day1 滲透測試定義與資安服務比較

何謂滲透測試 以駭客的角度,針對企業的網路、系統、網站進行檢測弱點與漏洞,並撰寫一份滲透測試報告提供給企業,該報告內容包含測試過程結果與修復建議,企業收到此報...

2021-09-16 ‧ 由 飛飛 分享
DAY 2

Day2 滲透測試流程與相關規範

滲透測試流程 與客戶進行簽約,取得合法的測試權限後,以下為簽約與接洽需要注意: 企業是否了解滲透測試可能造成的危害性 企業是否針對目標進行備份與還原的測試...

2021-09-17 ‧ 由 飛飛 分享
DAY 3

Day3 安裝滲透測試用的作業系統- Kali Linux 和 Parrot OS

上圖為常見的虛擬機軟體 VirtualBox 與 VMWare Player 比較與常見滲透測試的作業系統 Kali Linux 與 Parrot OS 比較...

2021-09-18 ‧ 由 飛飛 分享
DAY 4

Day4 被動情蒐(1)-DNS、nslookup、host

被動情蒐目的:了解目標 針對滲透目標,收集公開來源的情報,了解目標的情形,這些資料可能來自受測企業的員工或受測企業的客戶,不經意地洩漏的有用資訊,這些資料有機...

2021-09-19 ‧ 由 飛飛 分享
DAY 5

Day5 被動情蒐(2)-dig、fierce、DNSenum、DNSrecon、Sublist3r、dnsdumpster

DNS 工具:dig Domain Information Groper 一樣可以檢測 DNS 伺服器的工具。 查看參數說明查看幫助清單:dig -h 指定記...

2021-09-20 ‧ 由 飛飛 分享
DAY 6

Day 6 被動搜查(3)-Google Hacking、shadon、.git 洩漏

常見的搜尋引擎 為什麼要利用搜尋引擎找到有關於目標的資訊。因為搜尋引擎最方便,透過瀏覽器最容易可以使用。 Google 搜尋 你會用 google 當然駭客也...

2021-09-21 ‧ 由 飛飛 分享
DAY 7

Day 7 被動搜查(4)-Email 相關、Harvester、Recon-ng

Email 安全 為什麼要收集各個企業的 Email 信箱,透過了解企業公開在外的 Email,可以取得以下的資訊 可以暴力破解的帳號列表 了解企業的 Em...

2021-09-22 ‧ 由 飛飛 分享
DAY 8

Day8 主動情蒐-情蒐流程、工具與漏洞簡介

針對主動情蒐 主動情蒐指主動跟目標進行互動,會透過工具枚舉所需的資訊,本系列文會介紹以下幾種工具。 工具名稱 類型 說明 Netdiscover...

2021-09-23 ‧ 由 飛飛 分享
DAY 9

Day9 主動情蒐-nmap(1)

nmap 是一個非常好用的工具,在滲透測試時常常需要 nmap 輔助,本篇列出常見的 nmap 指令,之後實作若遇到指令也會加以講解。 安裝 nmapsudo...

2021-09-24 ‧ 由 飛飛 分享
DAY 10

Day10 主動情蒐-nmap(2)

補充 Nmap 輸入與輸出 Nmap Scripting Engine (NSE) NSE 用來擴充原本 nmap 的功能,並有五個功能分別如下: 網路探...

2021-09-25 ‧ 由 飛飛 分享