[Burp Suite 完整教學] 滲透測試從來不是一件簡單的事

今天是迎接中秋連假的第一天~
祝大家中秋快樂,烤肉月餅吃好吃滿滿,
中秋月圓,人也要吃到肚子圓圓XD

除了中秋以外呢,今天也剛好是鐵人賽過半的日子,
每天上班案子滿到還要加班,回到家也要強迫自己運動一下,
自己的youtube的網站也不能完全荒廢(雖然這陣子真的挺廢XD),
偶爾也當然要與親友同事聚餐,還要擠出時間學習新東西新技術,
所以可以每天擠出一些時間在IT鐵人賽發文,一直持續到今天,
我自己是給自己一個及格的分數XD

那今天剛好在鐵人賽的中間,
就打算來簡單閒聊一下關於滲透測試。

身為一個Pentester,
其實很常會遇到別人問以下的問題:
你都是從哪裡學的?
你們做滲透測試是用哪工具?
要做滲透測試要考甚麼執照?
諸如此類的問題…

首先,如同標題所寫的一般,
「滲透測試從來不是一件簡單的事」
我的目的不是在於自抬身價甚麼的,
雖然我目前經濟的確…QQ

我只是想給一些想踏入滲透測試的人一些小小提醒,
要好好考慮清楚是不是真的要踏入這個坑XD

首先簡單談談剛剛上面提到的問題
1.你都是從哪裡學的?
2.你們做滲透測試是用哪工具?
3.要做滲透測試要考甚麼執照?

其實當初問我這個問題的人,是不止一個,
但是我從他們的問題與閒聊之間,
的確是發現人有些人太過於把一切想太美好。

譬如從哪裡學的?
有的人可能期望有一套課程,或是有一個網站,
可以看完或是學完,就可以學會滲透測試,
實際上我想這是很困難,甚至說幾乎是不可能。

學習過程你一定會接觸很多不管是線上課程、靶機LAB、網路文章、網站、滲透測試規範等等,
有些是直接與資安或是滲透測試相關,有些則是你可能感覺不到關係,
但實際上可能是有需要的,或者是有幫助的,譬如說學程式語言、了解一些資訊技術原理。
我在自己的Youtebe也會推薦一些當初幫助我許多的學習資源
https://www.youtube.com/watch?v=pmJXAbB0AfE&list=PLnb6DdhpDg9QYHkY7YywyqFobnF80aFlZ
如果是想更了解滲透測試的方法論與大致測試規範項目
則可以參考看看一些規範標準 https://www.qa-knowhow.com/?p=4073

再來是我用的是哪一套工具?
我去年的鐵人賽其實介紹了不少的工具,有興趣是可以參考看看,
https://ithelp.ithome.com.tw/users/20114110/ironman/2536
這個問題的確也是有少數人會陷入某些迷思。

迷思一: 滲透測試就是要用某種工具
我想應該很多人聽過Kali Linux,他是一個很好用很實用的滲透測試用作業系統,
但是不代表平常不用Kali,或是完全沒遇過Kali的人,就不會滲透測試,
一個人的專業能力與使用工具其實應該是兩回事,大神不會因為沒有工具就不會PT。

因為我大概也曾算是魔術圈人,之前有個滿有名的魔術師分享自己遇到覺得荒謬的事情,
有次他在麥當勞遇到有兩個年輕人拿著Bicycle撲克牌在練習紙牌魔術,
他就去便利商店也買了一副牌,想說可以過去跟他們一起玩,
結果被年輕人反嗆,大叔你知道我們玩魔術都在用這種Bicycle魔術專用的撲克牌嗎XD。

不過大神也不會因為想證明自己就不用工具啦,
真的有工具好輔助幫忙進行滲透測試,其實沒有必要也不會特別不去使用。

迷思二: 用了某個工具就可以滲透測試
其實跟剛剛那點有點像啦,
其實就像是我前幾篇介紹的Burp Intruder這個功能,
甚至也不用專門提那個功能,就來講講Burp這套工具好了,
如果真的沒有對於WEB的技術與安全測試手法與原理有所知悉,
那你也不會因為用了這套工具就變成大神。

接著關於執照與認證,這邊我今天只想提一件事情,
就是都決定要考照了,拿到認證固然是件重要的事情,
不過希望大家一定要真的是扎實的準備,
不是只為了考照而考照,而是真的可以具備那張證照或是認證的能力。

講完也不是真的要逼退想走PT的人啦,
只是想讓對PT有興趣的新人,可以好好多想想為什麼要走PT,
當然要當Pentester也不是真的說多難,
畢竟不過也就是一份工作,薪資也…. XD
還有如果是打CTF出來的,或是對技術原理、挖漏洞有極大熱忱的,
要好好想想你其實想走的會不會是資安研究員,
Pentester工作內容通常會包含要寫報告、還有要給甲方修補建議,
還有面對客戶有時會有許多奇奇怪怪的要求QQ

最後聊聊鐵人賽,回頭看了一下自己的文章,
如果是習慣用Burp的人應該是覺得沒甚麼太難的,
但我看了一下,想想對於零經驗新手與入門的人,
好像是有那麼一點小小的硬XD

但如果是想踏入滲透測試這領域,
我想這些內容大部分還是偏基礎,應該需要知道的。

其他人的文章也不少更硬的~
當然也有一些比較平易近人的。
其實也很建議,想走PT的人,
可以把Security領域每個人的文章都看過一遍,
畢竟文章說真的也不算是很多。

WEB與程式開發,其實也可以挑有興趣來看,
對於WEB技術與開發有所了解,對於滲透絕對是會有所助益。

今天就到這裡囉,
抱歉今天有點太偏閒聊文,
不過大家可以參考參考^^

本系列的文章為作者參與第 12 屆 iT 邦幫忙鐵人賽的文章修改
原文連結
 https://ithelp.ithome.com.tw/users/20114110/ironman/3806

This Post Has 5 Comments

  1. Selena

    我也想入門資安,也想學滲透測試,真的不太好入門XD,在網路搜尋的時候剛好看到您的文章,想請問:
    1.台灣的Pentester職缺一般都會包含技術+寫各種文件規範這兩項工作?
    我以為這算是兩種不同職缺,因為一個需要的是技術,另一個比較偏向顧問。
    2.延續問題1,這樣把兩種性質差大的工作項目合在一起的現象是只有台灣這樣還是全球都是這樣?
    3.資安相關的工作,跟其他軟體相關工作(指專門寫code的那類)相比,容易進外商公司嗎?

    1. hackercat

      1.這個每間公司都有不同的做法,可以在人力銀行網站觀察看看~
      2.這我真的不知道XD 我連台灣都不是很清楚了更何況國外
      3.我個人認為不會。如果是單純目標就是想進外商,也可以先去了解台灣有那些外商那些職缺,需要甚麼樣的人才

  2. chen

    快看完教學了,來留言感謝一下大大 ~~

    對於後端初學者,文章內容不會太硬,很好理解 ~~

    1. hackercat

      謝謝, 加油唷!

發佈留言