資安實務課程─初階滲透測試課程
在這個數位時代,資訊安全的重要性日益凸顯,不論是大企業還是個人,我們都必須積極應對網路威脅。
本課程不僅讓您洞悉企業選擇滲透測試的原因,更是讓你體驗從資料蒐集的技巧、分析網站系統的常見弱點,到掌握攻擊思維和提升權限的有效方法,將其轉換為如何防禦及應對。最後,並在學會如何撰寫清晰、專業的滲透測試報告。
本課程無須具備滲透測試相關知識,但須具備基本電腦操作知識(如 Linux / Windows 基本環境操作)。
課程簡介
在這個數位時代,資訊安全的重要性日益凸顯,不論是大企業還是個人,我們都必須積極應對網路威脅。這堂課程,將引領您深入滲透測試的核心,幫助您理解其真正的價值與實施目的。
本課程不僅讓您洞悉企業選擇滲透測試的原因,還將教會您如何讓這一過程發揮最大效果。從資料蒐集的技巧、分析網站系統的常見弱點,到掌握攻擊思維和提升權限的有效策略,我們將一一展開。學習過程中,您將體驗駭客的攻擊方法,並學習如何針對各種外部攻擊進行預防和應對,從而更好地守護個人與組織的數位安全。
在課程的最後,您還將學會如何撰寫清晰、專業的滲透測試報告,這不僅能讓閱讀者快速理解安全漏洞的細節,還能提供實際的修復方案。一同開啟資訊安全的新篇章,讓我們在日常的數位世界中建立起一座堅不可摧的防護牆。
課程目標
- 理解四大企業需求核心,釐清滲透測試的真正價值
- 掌握兩種資料蒐集技巧,找突破口為滲透測試鋪路
- 分析網站系統常見弱點,從攻擊到確認防禦的方向
- 洞悉權限提升有效策略,將弱點的影響性具體放大
- 掌握測試報告撰寫技巧,提升資安工程師專業實力
課程定位
- 適用人員:對滲透測試概念與流程有興趣的學員,無須具備滲透測試相關知識,但須具備基本電腦操作知識(如 Linux / Windows 基本環境操作)。
- 課程藉由大量的案例與演練進行引導,協助學員從零開始進行滲透測試,到報告撰寫的重點與注意事項。
課程大綱
- 滲透測試流程框架
- 何謂滲透測試:企業為什麼需要滲透測試
- 滲透測試流程:流程中需要注意的細節
- 攻擊流程分析盤點:盤點常見攻擊流程與
- 分析滲透測試應該注意的細節:接洽服務時應跟客戶諮詢哪些內容
- 如何使用 ChatGPT 輔助滲透測試
- 資源:滲透測試資源列表
- Recon 偵查
- 資料蒐集目的
- 常見的掃描工具
- OSINT 公開資訊情蒐
- 弱點掃描懶人包
- 如何查看弱點掃描報告與驗證弱點加強滲透測試
- 如何 Mapping 到 MITRE ATT&CK
- 資源:弱點掃描與資料蒐集資源列表
- Web 常見弱點
- 針對網站目錄掃描工具與技巧
- 常見網站安全之統計 OWASP Top 10
- 網站弱點的影響:RCE、商業邏輯影響
- 實戰後端弱點:Injection、檔案型漏洞
- 實戰前端弱點:XSS、CSRF
- 資源:網站型漏洞演練機器列表
- 系統型常見弱點
- 系統型掃描工具:掃描工具與針對系統掃描技巧
- 實戰:已知漏洞的攻擊手法演練
- Metasploit vs GitHub Exploit
- 資源:已知漏洞演練機器列表
- 後滲透測試- 提升權限(Privilege Escalation)
- 提升權限原理
- 提升權限攻擊手法
- 提升權限工具使用
- 實戰:提權演練
- 資源:提權演練機器列表
- 滲透測試報告撰寫
- 滲透測試報告概論
- 實戰:撰寫滲透測試報告
- 滲透測試報告資源
課程時數
本課程預計授課時數為 18 小時,且課程可以實體或線上直播授課。
課程備註
本課程包含實作演練課程。
