當我們將系統部署到網站上,系統就已經面對成千上萬的測試,其中不乏來自有心人士的「惡意」攻擊,系統提供愈多的服務,遭受攻擊的機率就愈高。雖然就「安全系統發展生命週期(SSDLC)」觀點,系統從一開始規劃就必須注重相關的安全防護,但一組系統的成型要經過多少人的手,如何保證每個人都盡到安全防護的責任?又該怎麼驗證?況且每天都有新的弱點、漏洞被發現,要如何得知原本安全的系統,是否也存在新發現的漏洞。要發現這些漏洞就需要依靠良性的測試,也就是所謂的「滲透測試」。
實例引導佐以工具介紹,資安防護不求人
本書將告訴您滲透測試作業的步驟,並介紹一些免費的的工具給讀者參考,即使沒有深厚的理論基礎,只要照著本書的步驟練習,也能輕鬆學習。
.執行步驟演繹條理分明,毋需深厚理論基礎
.建議工具皆為免費軟體,不損及學習完整性
.實例引導佐以工具介紹,降低學習門檻障礙
.專注於網站安全檢測,目標明確,事半功倍
.輔以完整的實作圖例,強化滲透觀念的確立
一位狂熱追求技術的資訊人,2010年以前將精力投注在軟體撰寫的技巧上,熟悉個人電腦硬體架構,能有效駕馭Assembly、C、Java、C#等程式語言,養過病毒、寫過防毒,開發過許多應用程式。
2009年轉至目前機關任職,開啟資訊安全防護新視界,2010年取得行政院國家資通安全會報技術服務中心公務人員資安職能評量「Web應用程式安全」類證書。2012年奉派參加技術服務中心舉辦的資安事件現場稽核人員培訓,其實就是滲透測試技巧訓練,因為底子深厚,學習速度比別人快,從此由安全應用程式開發跨進系統滲透測試領域。
目前主要職務:內部資通安全稽核、新進人員安全程式開發培訓、數位鑑識暨滲透測試團隊靈魂人物,自2013年中起即受任務指派方式對機關網站進行滲透測試,憑藉深厚的技術基礎及其獨特的思考模式,歷次滲透測試皆有不錯成績,甚至挖掘出專業廠商未發現的漏洞。現階段正致力於協助機關提升資訊系統安全防護能力。
部落格:atic-tw.blogspot.tw