123
返回列表 發帖
samiux

Rank: 3Rank: 3Rank: 3
11# 跳轉到 »
發表於 2018-8-9 08:58 | 只看該作者
感謝大大無私分享
da7lee 發表於 2018-8-9 08:21


不要客氣,這個世界是要交由你們的年青人接捧的。我只是提燈點路吧了,希望有心人能夠有所得著,不要多行冤枉路。

現附上 Ron CHAN 的另一訪問 :



另一位也來自香港的白帽 Filedescriptor :

TOP

samiux

Rank: 3Rank: 3Rank: 3
12#
發表於 2018-8-9 09:18 | 只看該作者
基於有些討論題目被刪除,我現在補貼一些已經在其他的貼發表了但又被刪除的內容以供有心人士參考。

via HKEPC IR Pro 3.4.0 - Android(2.3.4)

TOP

samiux

Rank: 3Rank: 3Rank: 3
13#
發表於 2018-8-9 09:18 | 只看該作者
小弟談不上是甚麼大神,只是對這方面有興趣吧了。我擁有 OSCE,OSCP 及 OSWP 認證,所以對 OSCP 的認證比較了解。

滲透測試基本上可以分為三大類,就是網絡滲透測試、網站滲透測試和流動裝置滲透測試。

香港近來有僱主聘請具有 CISSP,CEH 或 OSCP 認證的僱員,但大多數都要求應徵者具有多年的資訊科技安全經驗。

CISSP 的認證需要回答大約五百條選擇題,而每三至四年要重新認證,重新認證方法可以參考其官方網站。課程內容大致包括多方面的資安管理,但基本上純粹是理論為主。香港有學校教授這個課程,主要以英語為主,附以中文教授。

CEH 的認證也需要回答二百多條選擇題,而每三至四年要重新認證,重新認證方法可以到其官方網站了解。課程內容大致包括常見的入侵方法,主要是理論為主,但大多附有實習環節。本港亦有學校教授,是以英語為主並附以中文教授。

至於 OSCP 的認證需要在廿三小時四十五分鐘內完成五條試題,包括網站入侵、網絡入侵、防毒軟體免殺及漏洞開發等題目。這五條題目是實戰問題,完成後要譔寫報告。你需要至少七十分或以上方可合格。這個認證是不需要每幾年重新認證,她是終生制的。課程內容主要是到官方的實驗室去攻擊五十多台的電腦,並需要譔寫攻擊報告和完成習作。授課語言是英語,而且是遙距課程。這是一個自學課程,不要期望課程會提供所有教材,你是需要邊研究邊學習去進行。實驗室的使用權和時間是需要購買的。

CISSP 和 CEH 是以理論為主,而 OSCP 是以實戰為主。你可以根據你自己的需要和喜好來選擇那個認證。再者,OSCP 是要求有一般的網絡知識和編程能力的。如果對視窗命令行和 Linux 有認識的話更會得心應手。

以上只是一些簡介,資料有可能已經過時,詳情請參閱有關的官方網站。

参考連結

CISSP
CEH
OSCP

via HKEPC IR Pro 3.4.0 - Android(2.3.4)

TOP

samiux

Rank: 3Rank: 3Rank: 3
14#
發表於 2018-8-9 09:19 | 只看該作者
工欲善其事,必先利其器。每個工作或工種都有其自家的工具來協助其完成工作,滲透測試也不例外,其工具箱是特製的 Linux 發行版本,例如 BlackArch,ArchStrike,Pentoo,BlackBox,Parrot Security OS,Kali Linux,Fedora Security Spin 及 Bugraq 等。(排名不分先後)

要做滲透測試之前,應當首先選擇一個自己喜歡的特製發行版本去詳細了解,包括所提供的工具的位置和使用等,不是所有的工具都要知道如何使用,這是沒有可能的,但至少要知道它們的存在。

至於你要經常使用的工具,必須先要了解它是怎樣運作和應用的,但不是所有的黑客都是做用相同的工具,不同的黑客會使用他們喜愛的工具,所以你要必先找出你經常使用的工具的使用方法。

入侵地球!Hack The Planet!

via HKEPC IR Pro 3.4.0 - Android(2.3.4)

TOP

samiux

Rank: 3Rank: 3Rank: 3
15#
發表於 2018-8-9 09:20 | 只看該作者
如果你的目的是練習真實的滲透測試的話,在選擇奪旗行動方面,不要揀選太深的奪旗行動,因為此等靶機太過狡猾 (tricky) 與現實脫離太多,應當選較淺的靶機作為練習。

但如果你的目的是在玩遊戲的話,不論深淺都可以選擇,但要視乎個人能力。

最後,玩奪旗行動出色,並不代表在現實環境的滲透測試都一樣出色。在現實環境中,是有真實例子的,就是有一名黑客玩和設計奪旗行動都非常出色,但在 OSCP 考試中並不合格。

所以我才建議在選擇奪旗行動時,不要選擇一些與現實脫離太多的靶機來練習。

via HKEPC IR Pro 3.4.0 - Android(2.3.4)

TOP

samiux

Rank: 3Rank: 3Rank: 3
16#
發表於 2018-8-9 16:56 | 只看該作者
以下是一些懸賞平台,可以參考一 下 (排名不分先後):

Appsecure
BugCrowd
Bounty Factory
Cobalt Labs
Hacken Proof
HackerOne
Internet Bug Bounty
Intigriti
Synack

尚有一些公司自己提供懸賞計劃的。

TOP

~虎~

Rank: 3Rank: 3Rank: 3
17#
發表於 2018-8-11 03:45 | 只看該作者
講起呢類遊戲
我十幾年前玩過的 Hacking Game 剛剛搵返仲係度
不過題目已經睇已經非常過時... 過時到 Run 唔到
http://www.try2hack.nl/

TOP

samiux

Rank: 3Rank: 3Rank: 3
18#
發表於 2018-8-11 17:00 | 只看該作者
講起呢類遊戲
我十幾年前玩過的 Hacking Game 剛剛搵返仲係度
不過題目已經睇已經非常過時... 過時到 R ...
~虎~ 發表於 2018-8-11 03:45


    在玩第二關時,它會偵測瀏覽器是否 Microsoft。因我的是火狐而又無安裝有關 addons,所以無再玩了。

via HKEPC IR Pro 3.4.0 - Android(2.3.4)

TOP

thomas6681

Rank: 3Rank: 3Rank: 3
19#
發表於 2018-8-11 19:31 | 只看該作者
現在應該無人玩了.
附件: 您需要登錄才可以下載或查看附件。沒有帳號?註冊

TOP

samiux

Rank: 3Rank: 3Rank: 3
20#
發表於 2018-8-11 20:07 | 只看該作者
現在應該無人玩了.
thomas6681 發表於 2018-8-11 19:31


    相信香港已經無無綫路由器用 WEP 了。這個工具想當年是非常熱熾的,因為是幾乎全自動工具。

via HKEPC IR Pro 3.4.0 - Android(2.3.4)

TOP

123
返回列表