3個如何入門資訊安全測試的建議
這篇文章主要說明資訊安全測試的建議學習步驟,
這三個步驟不完全要有先後順序關係,可以不斷的交叉反覆思考與練習。
如果要入門資訊安全測試要怎樣開始呢?
駭客的思維與我們不同
舉個例子,看到下列網站我們一般會進行的測試可能是:
- 錯誤帳號密碼測試
- 從”網頁”輸入非法字元
- 看看密碼會不會明文傳送
- ….
接著讓我們看看駭客的思維。
換句話說,這個網頁只是駭客用來 “參考” 該網站提供的功能與商業邏輯。並不是駭客用來照著資料輸入!
駭客的思維是跳躍式。對於背後看不到的資訊更是寶藏。
有些駭客可能只會一種攻擊 Known Vulneraiblity,因此針對全世界只要有幾個網站有這樣的弱點他就有機可趁。
資訊安全測試專家不同,資訊安全測試專家必須要知道所有可能的攻擊情境。
駭客不需要知道怎樣修補漏洞。因為駭客的主要目標是 Hacking 系統。
資訊安全專家需要知道修補漏洞的防護之道。
駭客更著重於上機演練。
資訊安全專家著重於流程、管理面等。
那麼要如何培養駭客那樣的上機練習 ?
筆者建議可以透過下列方式學習。
WebGoat 線上練習
這個下載後執行是一個 Java Web Site,線上有許多駭客攻擊的練習題。每一種攻擊的情境都會模擬說明。
如果真的不知道怎樣進行攻擊,還有線上說明與提示。筆者推薦的一個入門練習的環境。
網站的資訊安全測試
除了上機練習之後,還必須了解背後的基本原理。筆者建議可以選一本自己容易閱讀的 Web Security Hacking 相關的書籍。
畢竟攻擊行為會改變、工具會改變,但是有些核心的基本原理是不會變。
筆者自己最喜歡的一本書是這本。這本書理論與實務兼顧,也有許多個案討論與工具介紹。
不會像 CISSP 的書籍讀完之後,要怎樣應用在實務上測試還是有些落差。
駭客工具集
最後介紹 “Kali Linux”,這個是一個 Linux Virtual Machine。
裡面包含幾乎所有駭客會用到的工具。可以根據攻擊的情境慢慢熟悉這些工具。
https://www.kali.org/downloads/
小結
要入門資訊安全測試必須要慢慢培養駭客思維,從這三個方向交叉的學習。
- 駭客思維 (書本知識或是多看個案)
- 如何測試 (駭客工具)
- 建立練習環境 (WebGoat)
再次強調,在未經許可的系統執行這樣的測試練習是違法! 因此建立自己的虛擬練習環境是必須的。