Web Security 領航之路 - 飛飛

本身作為資安工程師與經營過資安社團,透過 Web Security 比較好上手的特性,希望可以藉由該議程讓許多資安社團作為新手入門資安的課程安排與參考,也歡迎對資安有興趣想入門的與會者了解有哪些資源可以利用,透過議程介紹的學習路徑與教學方法可以讓上手的速度更快減少狀況期,後段也會介紹進階課程(Windows AD、提權)的安排。

目標聽眾

對資訊安全有興趣的初學者、煩惱資安社課安排的資訊社幹部

先備知識

歡迎大家來到SITCON 2021 ヽ(✿゚▽゚)ノ
共筆入口:https://hackmd.io/@SITCON/2021
手機版請點選上方 按鈕展開議程列表。

請從這裡開始

Lab網址 : http://34.125.54.250:8080/ (這能貼ㄇ,我很怕有人把整台主機當CTF打)

講者 Linux Game Repo : https://github.com/fei3363/LinuxGame

Pre Security

  • 資安概論
    • 攻擊方 (主軸)
      • 檢測
      • 攻擊
      • 測試
    • 防禦方
      • 偵測
      • 預防
      • 防守
  • Linux
    • 指令 (因為大多工具都是在Linux底下跑)
    • 相關學習資源
  • 網路基礎
    • 如何傳輸、互動
    • HTTP
    • TCP/IP 封包
    • DNS
    • 開發者工具
    • 相關資源
  • 網站基礎
    • 前端
      • HTML
      • CSS
      • JavaScript
    • 後端
      • PHP
      • Python
      • Golang
    • 瞭解怎麼寫以及為何會有這樣的弱點
    • 網站架構
    • 資料庫
      • e.g. SQL
    • 相關資源
  • Web Security
    • 相關資源
    • 練習環境專案

真實案例

Windows 和 Linux 提權

  • Linux
    • SUID / SGID 原理
    • 常見提權手法: sudo、cronjob、history
  • Windows
    • UAC、註冊表、cmd / powershell
  • 靶機學習法

滲透測試流程

  • 各階段說明
    • 收集階段
      • Nmap 端口掃描
      • OSINT(如: Google、Twitter 等)
      • 了解弱掃工具(補強滲透測試沒注意到的部分)
    • 弱點利用
    • 提權
      • 注意:要先注意能不能提權
  • 可以當作學習 web security 的方式(流程)之一

其他資源

Select a repo