SlideShare a Scribd company logo

資安入門

Jyny Chen
Jyny Chen

逢甲資訊安全策進會

Software
1 of 86
Download to read offline
資安⼊入⾨門 JYNY @ FISA 9/25 2015
聽說今天第⼀一堂社課
⼤大家放輕鬆
來聊聊天 free talk
今天不是上課
沒有DEMO QAQ
分享⼀一些資安⼊入⾨門 (駭客)
⼤大家好
我是JYNY
About 即將延畢的⼤大學⽣生⼀一枚 資安愛好者 資訊安全策進會前社⻑⾧長 TDOH 中區活動⻑⾧長 Forx team core member
About 本名 JYNY 綽號 陳俊佑 jyny.tw fb.me/jynychen telegram.me/jynychen
來講講 駭客技能s
剛開始玩資安得時候
認為⿊黑客技能⼤大概是
這樣吧
後來漸漸發現...
⼤大概還需要
這樣
再加上
這些
再加上
這些
Orz …
不是叫你們多買書
也不是多看書
駭客技能學不完
攻擊⼿手法進化快速
⼤大致上做個分類
駭客技能s Reserve Engineering Forensic Web Sec Crypto PWN
Reserve Engineering 逆向⼯工程 拆遊戲 拆程式 把組合語⾔言變回C
Reserve Engineering 拆⼿手機APP 破解 繞過驗證
Forensic 數位鑑識 看Log 看封包 各種奇特的找⾜足跡技能
Web Sec 網⾴頁應⽤用程式安全 打網站 ⼿手法都很猥瑣 SQLinj (吸摳注⼊入) XSS
Crypto 通常是講如何加密拉... RSA破解 各種數學,各種神奇算法
PWN PWN 獲得權限 Exploit 找洞利⽤用漏洞 很硬很好玩 把組合語⾔言當開⽔水灌
駭客⽂文化介紹
Conf’s 台灣駭客年會 Hitcon 吃 拜⼤大神 聽各路⼤大⿊黑⿊黑演講 台灣駭客們年度⼤大盛事
Conf’s Black hat Defcon
Defcon
駭客遊戲 CTF’s (wargame) 拿key,盡全⼒力找flag 很多種形式 解題,多對多,多對⼀一
CTF’s 應⽤用各種駭客技 找漏洞技術還有速度 團隊合作 PWN
被攻擊
攻擊成功
資安觀念 (駭客思維)
資訊越多,⼊入侵的機會越多 服務越多,⼊入侵的機會越多
伺服器端的服務
 Apache、nginx、IIS (http)
 3389、vnc (remote destop)
伺服器端上的服務的服務
 (HTTP > web framework)
 Struts2、.NET、ThinkPHP、 Ruby on Rails
伺服器端上的服務的服務
 …的服務
 HTTP > Web framework > web app
 Oswasp Top10 (SQL injection、XSS)
發⽣生在本地端的漏洞
瀏覽器
 IE、Safari
瀏覽器上的外掛
 Flash、Java、ActiveX
本地惡意⽂文件
 PDF、.doc、OFFICE
還有 …
 bad user habits、那些不⼩小⼼心的點兩下
說到惡意程式
名詞解釋
⽊木⾺馬 Trojan ⼊入侵後維持存取 開後⾨門讓駭客任意控制 怎麼藏是另⼀一個故事了 Web App 也有
蠕蟲 Worm ⾃自動化攻擊程式 平⾏行感染 ⾃自我複製 Web App 也有
真實世界 病毒不⼀一定要讓電腦變慢 惡意程式可以有很多功能 只防得了已知,防不了未知 被⿊黑從來不是在你知道的那個點上 拔了網路線吧
其實也沒有這麼可怕
惡意程式在被執⾏行之前
也只是個...檔案
執⾏行是⼀一個什麼動作 (跟點兩下差不多)
總之
駭客要做的事 要想辦法塞惡意程式給你 要想辦法讓惡意程式執⾏行
駭客也只是 努⼒力想塞檔案給你 想盡辦法騙你點兩下 開⼤大絕,在你不知道時下載 開⼤大絕,在你不知道的情況下執⾏行 找弱點,漏洞,利⽤用,達到⺫⽬目的
新⼿手Q&A (⾃自問⾃自答)
Q:當駭客會不會很難
A:我打下第⼀一個網站時 我還不會寫程式
You need "Google"
Google Hacking
Q:所謂的漏洞是什麼
A:所謂漏洞 就是可以讓攻擊者 操控程式的執⾏行流程
漏洞 > 利⽤用
Vulnerability Exploit
Q:該怎麼⼊入⾨門駭客
A:⼀一顆⿊黑⿊黑的⼼心
A:敬請參考 https://gotyour.pw/
阿, 對了 !
別說我沒講
以後在社團聽到的 學校⼤大多不會教 聽到忘記⽐比較好 記住了也當作忘記⽐比較好 可以先讀熟刑法 358 ~ 368 電腦妨礙使⽤用罪
之後會越教越難
會有很多實作
不會像今天⼀一樣⼀一直講 (嘴砲)
歡迎⼤大家⼀一起玩資安 : )
Thanks
Q&A

Recommended

資策會 新生茶會
資策會 新生茶會資策會 新生茶會
資策會 新生茶會Jyny Chen
 
How to select password(Chinese)
How to select password(Chinese)How to select password(Chinese)
How to select password(Chinese)Sway Wang
 
HITCON GIRLS 資安萌芽推廣 2017: 還能不能好好玩遊戲了
HITCON GIRLS 資安萌芽推廣 2017: 還能不能好好玩遊戲了HITCON GIRLS 資安萌芽推廣 2017: 還能不能好好玩遊戲了
HITCON GIRLS 資安萌芽推廣 2017: 還能不能好好玩遊戲了HITCON GIRLS
 
資訊安全入門
資訊安全入門資訊安全入門
資訊安全入門Tyler Chen
 
台科逆向簡報
台科逆向簡報台科逆向簡報
台科逆向簡報耀德 蔡
 
Web sec-淺談
Web sec-淺談Web sec-淺談
Web sec-淺談Jyny Chen
 
網站程式資安白箱與黑箱檢測處理經驗分享
網站程式資安白箱與黑箱檢測處理經驗分享網站程式資安白箱與黑箱檢測處理經驗分享
網站程式資安白箱與黑箱檢測處理經驗分享Ying-Chun Cheng
 
SQL Injection
SQL InjectionSQL Injection
SQL InjectionVincent Chi
 

Recommended

資策會 新生茶會
資策會 新生茶會資策會 新生茶會
資策會 新生茶會Jyny Chen
 
How to select password(Chinese)
How to select password(Chinese)How to select password(Chinese)
How to select password(Chinese)Sway Wang
 
HITCON GIRLS 資安萌芽推廣 2017: 還能不能好好玩遊戲了
HITCON GIRLS 資安萌芽推廣 2017: 還能不能好好玩遊戲了HITCON GIRLS 資安萌芽推廣 2017: 還能不能好好玩遊戲了
HITCON GIRLS 資安萌芽推廣 2017: 還能不能好好玩遊戲了HITCON GIRLS
 
資訊安全入門
資訊安全入門資訊安全入門
資訊安全入門Tyler Chen
 
台科逆向簡報
台科逆向簡報台科逆向簡報
台科逆向簡報耀德 蔡
 
Web sec-淺談
Web sec-淺談Web sec-淺談
Web sec-淺談Jyny Chen
 
網站程式資安白箱與黑箱檢測處理經驗分享
網站程式資安白箱與黑箱檢測處理經驗分享網站程式資安白箱與黑箱檢測處理經驗分享
網站程式資安白箱與黑箱檢測處理經驗分享Ying-Chun Cheng
 
SQL Injection
SQL InjectionSQL Injection
SQL InjectionVincent Chi
 
逆向工程入門
逆向工程入門逆向工程入門
逆向工程入門耀德 蔡
 
NTUSTxTDOH 資訊安全基礎工作坊 基礎逆向教育訓練
NTUSTxTDOH 資訊安全基礎工作坊 基礎逆向教育訓練NTUSTxTDOH 資訊安全基礎工作坊 基礎逆向教育訓練
NTUSTxTDOH 資訊安全基礎工作坊 基礎逆向教育訓練Sheng-Hao Ma
 
Apt攻擊簡介 tyler
Apt攻擊簡介 tylerApt攻擊簡介 tyler
Apt攻擊簡介 tylerTyler Chen
 
雲端入侵:郵件攻擊與密碼竊取
雲端入侵:郵件攻擊與密碼竊取雲端入侵:郵件攻擊與密碼竊取
雲端入侵:郵件攻擊與密碼竊取openblue
 
Network
NetworkNetwork
NetworkJyny Chen
 
滲透測試 Talk @ Nisra
滲透測試 Talk @ Nisra滲透測試 Talk @ Nisra
滲透測試 Talk @ NisraOrange Tsai
 
網頁設計 - 資料庫存取
網頁設計 - 資料庫存取網頁設計 - 資料庫存取
網頁設計 - 資料庫存取Vincent Chi
 
網頁設計 - PHP技巧與應用
網頁設計 - PHP技巧與應用網頁設計 - PHP技巧與應用
網頁設計 - PHP技巧與應用Vincent Chi
 
網路攻防:第一堂法律課
網路攻防:第一堂法律課網路攻防:第一堂法律課
網路攻防:第一堂法律課Vincent Chi
 
網頁設計 - 概述
網頁設計 - 概述網頁設計 - 概述
網頁設計 - 概述Vincent Chi
 
網頁設計 - Bootstrap前端框架
網頁設計 - Bootstrap前端框架網頁設計 - Bootstrap前端框架
網頁設計 - Bootstrap前端框架Vincent Chi
 
2015年4月TDOH幹部訓
2015年4月TDOH幹部訓2015年4月TDOH幹部訓
2015年4月TDOH幹部訓Vincent Chi
 
Static Code Analysis 靜態程式碼分析
Static Code Analysis 靜態程式碼分析Static Code Analysis 靜態程式碼分析
Static Code Analysis 靜態程式碼分析Bill Lin
 
網頁設計 - 基礎PHP
網頁設計 - 基礎PHP網頁設計 - 基礎PHP
網頁設計 - 基礎PHPVincent Chi
 
Ccns 網路基礎概論
Ccns 網路基礎概論 Ccns 網路基礎概論
Ccns 網路基礎概論 世平 梁
 
網站自動化測試
網站自動化測試網站自動化測試
網站自動化測試Bruce Chen
 
xss實戰
xss實戰xss實戰
xss實戰Vincent Chi
 
Phpconf 2011 introduction_to_codeigniter
Phpconf 2011 introduction_to_codeigniterPhpconf 2011 introduction_to_codeigniter
Phpconf 2011 introduction_to_codeigniterBo-Yi Wu
 
Laravel - 簡介與環境設定
Laravel - 簡介與環境設定Laravel - 簡介與環境設定
Laravel - 簡介與環境設定Vincent Chi
 
Laravel - 系統全攻略
Laravel - 系統全攻略Laravel - 系統全攻略
Laravel - 系統全攻略Vincent Chi
 

More Related Content

Viewers also liked

逆向工程入門
逆向工程入門逆向工程入門
逆向工程入門耀德 蔡
 
NTUSTxTDOH 資訊安全基礎工作坊 基礎逆向教育訓練
NTUSTxTDOH 資訊安全基礎工作坊 基礎逆向教育訓練NTUSTxTDOH 資訊安全基礎工作坊 基礎逆向教育訓練
NTUSTxTDOH 資訊安全基礎工作坊 基礎逆向教育訓練Sheng-Hao Ma
 
Apt攻擊簡介 tyler
Apt攻擊簡介 tylerApt攻擊簡介 tyler
Apt攻擊簡介 tylerTyler Chen
 
雲端入侵:郵件攻擊與密碼竊取
雲端入侵:郵件攻擊與密碼竊取雲端入侵:郵件攻擊與密碼竊取
雲端入侵:郵件攻擊與密碼竊取openblue
 
滲透測試 Talk @ Nisra
滲透測試 Talk @ Nisra滲透測試 Talk @ Nisra
滲透測試 Talk @ NisraOrange Tsai
 
網頁設計 - 資料庫存取
網頁設計 - 資料庫存取網頁設計 - 資料庫存取
網頁設計 - 資料庫存取Vincent Chi
 
網頁設計 - PHP技巧與應用
網頁設計 - PHP技巧與應用網頁設計 - PHP技巧與應用
網頁設計 - PHP技巧與應用Vincent Chi
 
網路攻防:第一堂法律課
網路攻防:第一堂法律課網路攻防:第一堂法律課
網路攻防:第一堂法律課Vincent Chi
 
網頁設計 - 概述
網頁設計 - 概述網頁設計 - 概述
網頁設計 - 概述Vincent Chi
 
網頁設計 - Bootstrap前端框架
網頁設計 - Bootstrap前端框架網頁設計 - Bootstrap前端框架
網頁設計 - Bootstrap前端框架Vincent Chi
 
2015年4月TDOH幹部訓
2015年4月TDOH幹部訓2015年4月TDOH幹部訓
2015年4月TDOH幹部訓Vincent Chi
 
Static Code Analysis 靜態程式碼分析
Static Code Analysis 靜態程式碼分析Static Code Analysis 靜態程式碼分析
Static Code Analysis 靜態程式碼分析Bill Lin
 
網頁設計 - 基礎PHP
網頁設計 - 基礎PHP網頁設計 - 基礎PHP
網頁設計 - 基礎PHPVincent Chi
 
Ccns 網路基礎概論
Ccns 網路基礎概論 Ccns 網路基礎概論
Ccns 網路基礎概論 世平 梁
 
網站自動化測試
網站自動化測試網站自動化測試
網站自動化測試Bruce Chen
 
Phpconf 2011 introduction_to_codeigniter
Phpconf 2011 introduction_to_codeigniterPhpconf 2011 introduction_to_codeigniter
Phpconf 2011 introduction_to_codeigniterBo-Yi Wu
 
Laravel - 簡介與環境設定
Laravel - 簡介與環境設定Laravel - 簡介與環境設定
Laravel - 簡介與環境設定Vincent Chi
 
Laravel - 系統全攻略
Laravel - 系統全攻略Laravel - 系統全攻略
Laravel - 系統全攻略Vincent Chi
 

Viewers also liked (20)

逆向工程入門
逆向工程入門逆向工程入門
逆向工程入門
 
NTUSTxTDOH 資訊安全基礎工作坊 基礎逆向教育訓練
NTUSTxTDOH 資訊安全基礎工作坊 基礎逆向教育訓練NTUSTxTDOH 資訊安全基礎工作坊 基礎逆向教育訓練
NTUSTxTDOH 資訊安全基礎工作坊 基礎逆向教育訓練
 
Apt攻擊簡介 tyler
Apt攻擊簡介 tylerApt攻擊簡介 tyler
Apt攻擊簡介 tyler
 
雲端入侵:郵件攻擊與密碼竊取
雲端入侵:郵件攻擊與密碼竊取雲端入侵:郵件攻擊與密碼竊取
雲端入侵:郵件攻擊與密碼竊取
 
Network
NetworkNetwork
Network
 
滲透測試 Talk @ Nisra
滲透測試 Talk @ Nisra滲透測試 Talk @ Nisra
滲透測試 Talk @ Nisra
 
網頁設計 - 資料庫存取
網頁設計 - 資料庫存取網頁設計 - 資料庫存取
網頁設計 - 資料庫存取
 
網頁設計 - PHP技巧與應用
網頁設計 - PHP技巧與應用網頁設計 - PHP技巧與應用
網頁設計 - PHP技巧與應用
 
網路攻防:第一堂法律課
網路攻防:第一堂法律課網路攻防:第一堂法律課
網路攻防:第一堂法律課
 
網頁設計 - 概述
網頁設計 - 概述網頁設計 - 概述
網頁設計 - 概述
 
網頁設計 - Bootstrap前端框架
網頁設計 - Bootstrap前端框架網頁設計 - Bootstrap前端框架
網頁設計 - Bootstrap前端框架
 
2015年4月TDOH幹部訓
2015年4月TDOH幹部訓2015年4月TDOH幹部訓
2015年4月TDOH幹部訓
 
Static Code Analysis 靜態程式碼分析
Static Code Analysis 靜態程式碼分析Static Code Analysis 靜態程式碼分析
Static Code Analysis 靜態程式碼分析
 
網頁設計 - 基礎PHP
網頁設計 - 基礎PHP網頁設計 - 基礎PHP
網頁設計 - 基礎PHP
 
Ccns 網路基礎概論
Ccns 網路基礎概論 Ccns 網路基礎概論
Ccns 網路基礎概論
 
網站自動化測試
網站自動化測試網站自動化測試
網站自動化測試
 
xss實戰
xss實戰xss實戰
xss實戰
 
Phpconf 2011 introduction_to_codeigniter
Phpconf 2011 introduction_to_codeigniterPhpconf 2011 introduction_to_codeigniter
Phpconf 2011 introduction_to_codeigniter
 
Laravel - 簡介與環境設定
Laravel - 簡介與環境設定Laravel - 簡介與環境設定
Laravel - 簡介與環境設定
 
Laravel - 系統全攻略
Laravel - 系統全攻略Laravel - 系統全攻略
Laravel - 系統全攻略
 

資安入門