Penetration test introduction for beginner. It only contains a little of web pen-test . (This is my first lesson teaching others about security!) 這是我在中正大學開的一堂滲透測試入門課程，裡面主要是一些入門的知識，沒有太深的東西，因此很適合初學的資安愛好者觀看。 (這是我第一次做關於資安的校內課程，因此有不對的地方還煩請告知我，謝謝您！)

3. 資
安
入
門
滲
透
測
試
流
程
常
見
攻
擊
手
段
&
工
具
資
安
推
廣
實
作
時
間

5. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間
第339條之3
意圖為自己或第三人不法之所有，以不正方法將虛偽資料或
不正指令輸入電腦或其相關設備，製作財產權之得喪、變更
紀錄，而取得他人財產者，處一年以上一年以下有期徒刑。
第358條
無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電
腦系統之漏洞 ，而入侵他人之電腦或其相關設備者，處三年
以下有期徒刑、拘役或併科十萬元以下罰金。

6. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間
第359條
無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄，
致生損害於公 眾或他人者，處五年以下有期徒刑、拘役或併
科二十萬元以下罰金。
第361條
對於公務機關之電腦或其相關設備犯前三條之罪者，加重其
刑至二分之一 。

7. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間
你
學校

8. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間
• OWASP是一個開放社群的非營利組織，致力於改善網站應用程式的安全性。
• OWASP Top 10揭露常見的網站應用程式弱點，以供軟體開發安全參考。

9. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間

10. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間

11. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間

12. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間

13. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間
滲透測試是指一個具備資安知識與經驗、技術人員受僱主所託，
為僱主的網路設備、主機，模擬駭客的手法對網路或主機進行攻
擊測試，為的是發掘系統漏洞、並提出改善方法。

15. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間
情蒐 掃描 漏洞利用 回報問題（撰寫報告）
權限提升 維持存取 清除軌跡

16. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間
情報蒐集

17. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間
公開來源情報（OSINT）是從公開來源收集到的情報 。在情報機
構來看，「公開」是指公然展示的、公眾可見的來源（相對於被
掩蓋或並非公開可見的來源）。
美國國家情報總監（Director of National Intelligence，DNI）和
美國國防部(DoD)都把OSINT定義為「從公開可用的信息所產生，
定期進行搜集、萃取和供應，以滿足特定的情報需求。」

18. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間

19. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間

20. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間

21. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間

22. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間
弱點掃描

23. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間
Footprinting是指「有系統」及「有組織」地去收集一個目標組
織的基本資料，目的在描繪出該目標組織的安全機制藍圖。
Footprinting收集資料的內容有：入侵目標的基本資料、網路範
圍、主機數量、已開啟之通訊埠（Port）或存取切入點、作業系
統及版本及其所執行的網路服務類型等。

24. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間

25. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間

26. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間
漏洞利用

27. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間

28. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間

29. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間

30. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間

31. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間
回報問題（撰寫報告）

32. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間

33. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間

35. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間
Kali 是一個基於 Debian 的 Linux 發行版。它的目標就是為了簡
單：在一個實用的工具包裡儘可能的包含滲透工具。Kali 實現了
這個目標，大多數作安全測試的開源工具都被囊括在內。

36. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間
SQL資料隱碼攻擊（英語：SQL injection），簡稱SQL攻擊或隱
碼攻擊，是發生於應用程式與資料庫層的安全漏洞。簡而言之，
是在輸入的字串之中夾帶SQL指令，在設計不良的程式當中忽略
了字元檢查，那麼這些夾帶進去的惡意指令就會被資料庫伺服器
誤認為是正常的SQL指令而執行，因此遭到破壞或是入侵。

37. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間

38. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間

39. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間
跨網站指令碼（英語：Cross-site scripting，通常簡稱為：XSS）
是一種網站應用程式的安全漏洞攻擊，是程式碼注入的一種。它
允許惡意使用者將程式碼注入到網頁上，其他使用者在觀看網頁
時就會受到影響。這類攻擊通常包含了HTML以及使用者端指令
碼語言。
XSS攻擊通常指的是通過利用網頁開發時留下的漏洞，通過巧妙
的方法注入惡意指令程式碼到網頁，使用戶載入並執行攻擊者惡
意製造的網頁程式。

40. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間

41. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間

42. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間
PHP.ASP.NET
HTTP Request
HTML.CSS

43. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間
HTTP Request
修改HTTP Request
偽造後傳送
Proxy（代理伺服器）

45. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間

46. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間

48. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間
注意！！！

49. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間
請大家將手機網路分享出來做使用
使用學術網路進行實作練習會吃到資安通報！

50. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間
http://140.110.112.32/challenges

51. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間

52. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間
限時三分鐘

53. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間

54. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間

55. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間
限時十分鐘
Hint1：兩分鐘後
Hint2：五分鐘後

56. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間
robots.txt（統一小寫）是一種存放於網站根目錄下的
ASCII編碼的文字檔案，它通常告訴網路搜尋引擎，此網
站中的哪些內容是不應被搜尋引擎取得的，哪些是可以被
取得的。

57. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間
有看起來怪怪的路徑嗎？

58. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間

59. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間
限時十分鐘
Hint：五分鐘後

60. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間
你剛剛是不是沒有認真上課？

61. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間

62. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間
限時十分鐘
Hint：五分鐘後

63. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間
你剛剛是不是沒有認真上課？

64. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間

65. 資安入門 滲透測試流程 常見攻擊手段&工具 資安推廣 實作時間
暖身結束！
CTF開放時間：12月6日18:00~12月18日23:00