網站滲透測試實務入門

陳明照

買這商品的人也買了...

商品描述

<內容特色>

確保系統安全的必備技能
當我們將系統部署到網站上,系統就已經面對成千上萬的測試,其中不乏來自有心人士的「惡意」攻擊,系統提供愈多的服務,遭受攻擊的機率就愈高。雖然就「安全系統發展生命週期(SSDLC)」觀點,系統從一開始規劃就必須注重相關的安全防護,但一組系統的成型要經過多少人的手,如何保證每個人都盡到安全防護的責任?又該怎麼驗證?況且每天都有新的弱點、漏洞被發現,要如何得知原本安全的系統,是否也存在新發現的漏洞。要發現這些漏洞就需要依靠良性的測試,也就是所謂的「滲透測試」。

實例引導佐以工具介紹,資安防護不求人
本書將告訴您滲透測試作業的步驟,並介紹一些免費的的工具給讀者參考,即使沒有深厚的理論基礎,只要照著本書的步驟練習,也能輕鬆學習。

本書特色
.執行步驟演繹條理分明,毋需深厚理論基礎
.建議工具皆為免費軟體,不損及學習完整性
.實例引導佐以工具介紹,降低學習門檻障礙
.專注於網站安全檢測,目標明確,事半功倍
.輔以完整的實作圖例,強化滲透觀念的確立

<作者介紹>

陳明照
一位狂熱追求技術的資訊人,2010年以前將精力投注在軟體撰寫的技巧上,熟悉個人電腦硬體架構,能有效駕馭Assembly、C、Java、C#等程式語言,養過病毒、寫過防毒,開發過許多應用程式。
2009年轉至目前機關任職,開啟資訊安全防護新視界,2010年取得行政院國家資通安全會報技術服務中心公務人員資安職能評量「Web應用程式安全」類證書。2012年奉派參加技術服務中心舉辦的資安事件現場稽核人員培訓,其實就是滲透測試技巧訓練,因為底子深厚,學習速度比別人快,從此由安全應用程式開發跨進系統滲透測試領域。
目前主要職務:內部資通安全稽核、新進人員安全程式開發培訓、數位鑑識暨滲透測試團隊靈魂人物,自2013年中起即受任務指派方式對機關網站進行滲透測試,憑藉深厚的技術基礎及其獨特的思考模式,歷次滲透測試皆有不錯成績,甚至挖掘出專業廠商未發現的漏洞。現階段正致力於協助機關提升資訊系統安全防護能力。

部落格:http://atic-tw.blogspot.tw

<序>

主管對資通訊安全非常、非常重視,除了定期委託外部專業機構對各系統進行安全檢測外,也主導成立自己的滲透測試及數位鑑識團隊,筆者有幸受主管指派參與這個團隊。

因參與滲透測試及數位鑑識團隊緣故,受指派參加外部機構舉辦的相關教育訓練,因緣際會,受張裕敏、吳肯尼及洪光鈞老師指導,老師們教學方式生動,讓我了解到施行駭客技術也可以提昇機關的防禦能力,駭客技巧可以是建設,而不是破壞,故而對滲透測試產生莫大的興趣,也導正我對系統入侵的偏執想法。

雖然筆者是資訊從業人員,也受過相當程度的白帽駭客課程,並執行過幾次滲透測試作業,但滲透測試領域博大精深,涉及的專業知識不知幾凡,到目前仍覺得無法參透滲透測試作業的精髓。剛踏入滲透測試這道門時,我曾努力自習,尋找相關的書籍及網路資訊,但心中一直有個缺憾,為什麼找不到幾本有參考性的正體中文書,反倒受益於對岸出版的簡體書,因此想拋磚引玉,編寫一本正體中文入門書,希望引起國內的專家願意奉獻所長,為想進入滲透測試領域的人提供更有價值、觀念正確的學習教材。
相信有許多人跟我初學滲透測試時一樣,多數老師都蜻蜓點水帶過,教了一堆工具軟體,聽的時候好像懂了,實際上又不知要用在什麼地方,再者,每個老師都有自己慣用的工具組,雖然工具不同,但大部分都功能重疊,心中想著:真要學那麼多工具嗎?本書就是以一個初踏入滲透測試領域者的觀點出發,期以淺顯的文字讓初學者在短時間內,以最有效的方式一窺滲透測試的全貌。

這本書並非我個人獨力完成,要感謝我的好朋友陳慶龍、陳右龍在工作之餘,身心俱疲的情形下,願意撥冗為我校稿,並提供諸多建設性的修改意見;感謝我的長官,讓我參與滲透測試作業,我的實力才能快速提升;還要感謝我太太,時時鼓勵我,在我有新的發現時,願意傾聽我的高談闊論,縱然她不明白我說的內容,也能耐心聽我描述,讓我有繼續提筆的動力。

筆者自認還沒完全學會滲透測試,畢竟資訊技術博大精深,個人才疏學淺,書中所述方法、觀念或有偏誤,敬請先進不吝指正,筆者亦不定期將應用心得發表於雅技資訊日誌(http://atic-tw.blogspot.tw)以饗同好。

<章節目錄>

 第一章 關於滲透測試
滲透測試的目的
理論中的滲透測試
我眼中的滲透測試
滲透測試入門知識
為什麼只是網站滲透測試

第二章 滲透測試基本程序
執行步驟
記得先取得僱主的同意書(授權書)
測試程序的PDCA

第三章 滲透測試練習環境
線上提供的滲透測試網站
自建模擬測試環境
使用真實站台環境
準備滲透工具執行環境

第四章 網站弱點概述
OWASP TOP 10
其他常見網頁程式弱點

第五章 資訊蒐集
nslookup
whois
Google Hacking
SiteDigger
theHarvester.py
HTTrack
DirBuster
線上漏洞資料庫

第六章 網站探測及弱點評估
NMAP
OWASP ZAP
w3af
MSBSA
wFetch

第七章 網站滲透
關於LOCAL Proxy
WebScarab
ZAP
BurpSuite
thc-hydra
SQLMap

第八章 離線密碼破解
線上猜解
RainbowCrack
John the Ripper

第九章 滲透測試報告
先備妥滲透測試紀錄
撰寫滲透測試報告書
報告書的撰寫建議

第十章 持續精進技巧

附錄一:滲透測試足跡蒐集檢查表
附錄二:滲透測試同意書(範本)
附錄三:滲透測試計畫書(範本)
附錄四:滲透測試報告書(範本)
附錄五:滲透測試紀錄(範本)