第1章｜Kali與滲透測試

第2章｜Kali安裝與設定

第3章｜關於Linux的基本操作

第4章｜補充滲透能量

第5章｜建立練習環境

第6章｜情報蒐集工具

第7章｜目標探測

第8章｜漏洞評估

第9章｜Web掃描

第10章｜社交工程

第11章｜資料庫探測與攻擊

第12章｜密碼破解

第13章｜封包監聽與篡改、提權工具

第14章｜持續控制

第15章｜Metasploit專章

第16章｜無線網路攻擊

第17章｜藍牙設備

第18章｜壓力測試

第19章｜終章

序



　　日子過得好快，感覺第二版才剛發行，但其實已經是四年前的事了。這期間發生不少資安事件，遠的不說，單單國內就有幾宗大事件：WannaCry肆虐，連台積電也中槍；國內幾家機構受到DDoS攻擊；中華郵政、疾管局、臺北市政府及銓敘部的個資外洩事件；第一銀行的ATM遭駭。國際上的資安事件就更精采了，LinkedIn、Facebook、Yahoo及Google等大公司發生個資外洩、多家銀行及大型機構遭受攻擊。就在本書即將定稿之際，竟然又發生勒索病毒肆虐，衛生福利部及至少18間醫院遭到襲擊。



　　對滲透測試人員影響較深的事件則是「資通安全管理法」在2018年公布，2019年元月正式施行，筆者不是法律人，沒辦法判斷它的衝擊有多大，但無庸置疑，它對機關、企業鐵定造成極大震撼，依照「資通安全管理法施行細則」第４條第１項第２款，各機關依本法第９條委外辦理資通系統之建置、維運或資通服務之提供，選任及監督受託者時，應注意：受託者應配置充足且經適當之資格訓練、擁有資通安全專業證照或具有類似業務經驗之資通安全專業人員。這項要求正是資安人的契機。



　　除了不間斷的資安事件，Kali的更新未曾停歇，累積四年的改版，裡頭又加入了其他新工具，既有工具亦先後推出新版本，例如metasploit從4.0升到5.0、theHavester增加支援hunter.io、thc-Hydra可支援破解多主機上的帳密，為提供讀者最新資訊，本書確實有改版必要，相信當中有值得讀者期待的內容。



　　縱觀書市，相較於簡體中文書籍，滲透測試的正體中文書仍屬少數，畢竟簡體中文不是我們的原生語言，閱讀上仍有隔閡，筆者衷心期盼資通安全管理法施行之後能激勵國內的資安出版產業，讓國內的專家願意奉獻所長，為想進入滲透測試領域的人提供更有價值、觀念正確的學習教材。



　　筆者一向奉行國父孫中山先生「知難行易」的精神，本書是以「參考手冊」的角度編撰，著重操作的實用性，不會講述太多理論細節，希望本書能成為讀者執行滲透測試專案時的輔助指南，而非學習各種通訊協定的教科書。



　　最後，感謝碁峰編輯團隊的幫忙，多虧他們的協助方能提高本書的可讀性；感謝鼓勵我、體諒我的長官與同事們，才得以持續精進滲透技巧；感謝太座的鼓勵及支持，讓我不致失去對資訊技術的熱情；還要感謝許多網友的建議和指正，及時矯正筆者偏差的觀念，無法一一向您們致謝，謹借用陳之藩大師的話：要感謝的人太多了，就感謝天吧！



　　和其他資訊技術相比，滲透測試包含的內容更加廣泛，涉及多門專業領域，囿於時間、體力、精力及腦力，實難樣樣精通，謬誤之處，在所難免，敬請各位同好不吝指正。



　　知識因分享而偉大；旅程因你同行而精采。共勉~~