網站滲透測試實務入門

確保系統安全的必備技能 

 

　　當我們將系統部署到網站上，系統就已經面對成千上萬的測試，其中不乏來自有心人士的「惡意」攻擊，系統提供愈多的服務，遭受攻擊的機率就愈高。雖然就「安全系統發展生命週期（SSDLC）」觀點，系統從一開始規劃就必須注重相關的安全防護，但一組系統的成型要經過多少人的手，如何保證每個人都盡到安全防護的責任？又該怎麼驗證？況且每天都有新的弱點、漏洞被發現，要如何得知原本安全的系統，是否也存在新發現的漏洞。要發現這些漏洞就需要依靠良性的測試，也就是所謂的「滲透測試」。 

 

　　實例引導佐以工具介紹，資安防護不求人 

 

　　本書將告訴您滲透測試作業的步驟，並介紹一些免費的的工具給讀者參考，即使沒有深厚的理論基礎，只要照著本書的步驟練習，也能輕鬆學習。 

 

本書特色 

 

　　．執行步驟演繹條理分明，毋需深厚理論基礎 

　　．建議工具皆為免費軟體，不損及學習完整性 

　　．實例引導佐以工具介紹，降低學習門檻障礙 

　　．專注於網站安全檢測，目標明確，事半功倍 

　　．輔以完整的實作圖例，強化滲透觀念的確立 

 

作者簡介
 

陳明照 

 

　　一位狂熱追求技術的資訊人，2010年以前將精力投注在軟體撰寫的技巧上，熟悉個人電腦硬體架構，能有效駕馭Assembly、C、Java、C#等程式語言，養過病毒、寫過防毒，開發過許多應用程式。 

 

　　2009年轉至目前機關任職，開啟資訊安全防護新視界，2010年取得行政院國家資通安全會報技術服務中心公務人員資安職能評量「Web應用程式安全」類證書。2012年奉派參加技術服務中心舉辦的資安事件現場稽核人員培訓，其實就是滲透測試技巧訓練，因為底子深厚，學習速度比別人快，從此由安全應用程式開發跨進系統滲透測試領域。 

 

　　目前主要職務：內部資通安全稽核、新進人員安全程式開發培訓、數位鑑識暨滲透測試團隊靈魂人物，自2013年中起即受任務指派方式對機關網站進行滲透測試，憑藉深厚的技術基礎及其獨特的思考模式，歷次滲透測試皆有不錯成績，甚至挖掘出專業廠商未發現的漏洞。現階段正致力於協助機關提升資訊系統安全防護能力。 

 

　　部落格：atic-tw.blogspot.tw 

 

第一章 關於滲透測試 

滲透測試的目的 

理論中的滲透測試 

我眼中的滲透測試 

滲透測試入門知識 

為什麼只是網站滲透測試 

 

第二章 滲透測試基本程序 

執行步驟 

記得先取得僱主的同意書（授權書） 

測試程序的PDCA 

 

第三章 滲透測試練習環境 

線上提供的滲透測試網站 

自建模擬測試環境 

使用真實站台環境 

準備滲透工具執行環境 

 

第四章 網站弱點概述 

OWASP TOP 10 

其他常見網頁程式弱點 

 

第五章 資訊蒐集 

nslookup 

whois 

Google Hacking 

SiteDigger 

theHarvester.py 

HTTrack 

DirBuster 

線上漏洞資料庫 

 

第六章 網站探測及弱點評估 

NMAP 

OWASP ZAP 

w3af 

MSBSA 

wFetch 

 

第七章 網站滲透 

關於LOCAL Proxy 

WebScarab 

ZAP 

BurpSuite 

thc-hydra 

SQLMap 

 

第八章 離線密碼破解 

線上猜解 

RainbowCrack 

John the Ripper 

 

第九章 滲透測試報告 

先備妥滲透測試紀錄 

撰寫滲透測試報告書 

報告書的撰寫建議 

 

第十章 持續精進技巧 

 

附錄一：滲透測試足跡蒐集檢查表 

附錄二：滲透測試同意書（範本） 

附錄三：滲透測試計畫書(範本) 

附錄四：滲透測試報告書(範本) 

附錄五：滲透測試紀錄(範本)