### 2021/09/30 資安概論 本學期課程安排: Web : 網頁基礎,網站安全,滲透測試,業界經驗 Reverse : C語言, 組合語言,PE/Shellcode,業界經驗 - 攻擊:弱點掃描,滲透測試,紅隊演練 - 防禦:數位鑑識,資安產品,資安管理 肉雞:有漏洞的機器 建議自己寫一個靶機或網路下載靶機練習 資安事件發生: 網站入侵 --> 鑑識小鑑 -->鑑識報告 log:網站日誌/紀錄,每個人在瀏覽網站會有紀錄 幾點幾分誰用哪個ip連到我的server 如何預防駭客: 委託檢查 --> 滲透報告 --> 改善安全 app互聯網設備系統檢測 #### 網站功能有問題 - 企業資料外洩,身分驗證或弱密碼 - 爆破密碼攻擊 - 弱密碼 - Cookie , Session 無驗證機制 在瀏覽器端叫 Cookie ,在伺服器端叫 Session #### 資料庫有問題 - SQL injection - 資料庫是什麼:放資料的地方(有資料表.欄位) - SQL 是什麼 :資料庫查詢語言 - SQL injection 是什麼:在後端用 SQL 時造成非預期查詢結果(例:某大學資料庫學生成績被改成87分) -非預期查詢結果:不小心/故意輸入一些惡意的語法,導致資料庫資料,被刪除.被新增.被修改! 資安工作:  如何進行資安研究:  For Example 進行資安研究:  ### 資安是二轉技能 程式語言(C,Python,Java),網頁設計(HTML,PHP,SQL), 作業系統(Windows,Mac,Linux,BSD),密碼學(數論,離散數學) ### CTF 技巧分享 Web:可參考 OWASP10,XSS,CSRF(前端漏洞),SSRF, SQL injection(後端漏洞) Crypto:古典/現代密碼學,區塊鏈安全 Reverse:組合/非組合語言逆向(動靜態 Debugger) Pwn:Reverse是二轉技能,Pwn是三轉!(Buffer,Heap,Stack) Misc:大雜燴,各種通靈技術 推薦資安文:Web Security 領航之路 - 飛飛 https://medium.com/%E8%B3%87%E5%AD%90%E4%B9%8B%E6%89%8B-%E5%AE%89%E4%B9%8B%E4%BD%A0%E6%88%91/%E8%B3%87%E5%AE%89%E6%96%B0%E6%89%8B%E5%85%A5%E9%96%80%E6%89%8B%E5%86%8A-web-security-%E9%A0%98%E8%88%AA%E4%B9%8B%E8%B7%AF-8d634d9228b5