學習目標:
- 掌握滲透測試流程與框架規範
- 培養可自行規劃滲透測試完整流程與方法的能力
各種滲透測試框架與規範:
- Open Source Security Testing Methodology Manual (OSSTMM)
- Council of Registered Ethical Security Testers (CREST)
- Penetration Testing Execution Standard (PTES)
- MITRE ATT&CK
- Open Web Application Security Project (OWASP) Top 10
- OOWASP Mobile Application Security Verification Standard (MASVS)
- Purdue Model
- Threat Modeling Frameworks
技能養成目標:
- 學習資訊安全藍隊相關技術與能力
- 養成分類技術與資料的能力
基本知識內容:
- 資訊與網路安全概觀
- 弱點評估概念
- Security Content Automation Protocol (SCAP)安全內容自動化協定
- SCAP官網
- SCAP 維諅百科
- SCAP Languages (SCAP 相關描述語言)
- Open Vulnerability and Assessment Language (OVAL)開放漏洞評估語言--官網--簡單說明
- Asset Reporting Format (ARF) 資產報告格式--NIST官網
- Extensible Configuration Checklist Description Format (XCCDF)可延展設定確認清單描述格式--NIST官網--維碁百科
- SCAP Identification Schemes
- Common Platform Enumeration (CPE)通用平台枚舉--NIST官網--維碁百科
- Common Vulnerabilities and Exposures (CVE)通用弱點揭露--CVE官網--維碁百科
- Common Configuration Enumeration (CCE)--NIST官網
- Common Vulnerability Scoring System (CVSS) 通用漏洞評分系統
- NIST的評分表說明,內含各式各樣的弱點評分計算機。
- 維碁百科
- Secure Software Development Life Cycle (SSDLC) 安全軟體開發生命週期
- 藍隊技能與常用工具
- 作業系統工具
- Sysinternals--Windows 官網
- PowerShell -- Windows 作業系統
- Windows Management Instrumentation Command-Line(WMIC)--說明網頁
- Bash Shell -- Linux 作業系統
- 語言工具
-
- 日誌系統的建立與分析
- Elasticsearch--官網
- wazuh--Open Source SIEM--官網--使用介紹
- 網路封包收集與分析
- IPS / IDS 入侵偵測與防禦系統
- 各式掃瞄與分析工具
- MobSF--範例
- VirusTotal惡意檔案分析工具--官網
- Joe Sandbox--官網
- Cuckoo Sandbox--官網
- Nessus 掃瞄工具--官網
- OpenVAS 掃描工具--官網--安裝方式
- Qualys 企業級商業工具--
- NMAP--官網
- URL Shorteners 網址縮短器--參考網址
- URL Un-shortening 縮短網址回復--參考網址
- Angry IP Scanner--官網
- Maltego情報收集軟體--官網
- Recon-ng情報收集工具--官網
- Nikto網頁掃瞄工具--官網--使用範例
- Arachni web應用程式掃瞄工具--官網--使用範例
- GNU Debugger 應用程式除錯器--官網--使用範例
- Immunity Debugger 開源除錯器--官網(已轉至 appgate.com)--Source Code--國外範例
- Volatility介紹--範例
- Email 分析工具
- 雲端工具
- 相關查詢資源
