序
會寫這本書是因為同事跟我說:「教滲透測試的書那麼多,但測試的標的在哪裡?」是的,別人的網站未經許可不能打,自己的網站又沒有那麼多弱點可以測試,而且測了也未必能確認弱點。
本書希望達到:自學者可以架設練習的環境、教學者可以提供實習的平臺。如同練武需要木人樁,本書就是希望扮演滲透測試木人樁的角色,以網路上常見的教學框架(Metasploitable)做為練習目標,一步一步說明滲透測試作業的過程,如何透過端口掃描尋找攻擊的對象、藉由探測界定可能的弱點、探討弱點的利用腳本及使用方法,使初學者了解滲透技巧的連貫性。
依據行政院國家資通安全會報「政府機關(構)資通安全責任等級分級作業規定」,A級機關每年辦理一次滲透測試、B級機關每兩年辦理一次滲透測試,可看出政府對資安的重視,相信資安人員的價值亦將水漲船高。
《網站滲透測試實務入門》、《Kali Linux滲透測試工具》、《Kali Linux滲透測試工具》等書,但這些書旨在提供滲透測試各階段對應工具的使用,所有的指令語法都在筆者自行架設機器上測試,稍嫌流於片段,本書即為補前述書籍之不足。以教學的角度來看,《網站滲透測試實務入門》、《Kali Linux滲透測試工具》第二版與本書可視為套書組合,希望個人微薄的付出,能為滲透測試領域略盡棉薄之力。
