The Declaration of hacker (TDOH)

校園資安巡迴講座





校園資安巡迴講座
!?


這是在幹嘛?






這是一個很輕鬆的講座




講座中大家只需要




聽台上那個騙子唬爛




把該記得的牢牢記住





把不該記的一秒忘光



貼心提醒:


講座中你不能做什麼呢?





睡覺時不可以打呼




不可以聊的比我還大聲



拜託不要往台上丟垃圾 



m(_ _)m  m(_ _)m  m(_ _)m






大家好! 我是 HrJ



現任

TDOH  北區召集人

 




兼任

VSsecurity 助理顧問



應該還是


淡大 死大學生

 





聊天 





為什麼要學習資安?





在我們聊天的同時





台灣每分鐘就遭受6次攻擊

 












網路攻擊影響媒體

犯罪集團復仇式的 300 GB 級 DDoS  


 




          一般 DDoS 

300GB級的佛光波動炮! 


這告訴我們壞事不要幹太多

 網路威脅每分每秒都在發生





告訴我!





你有什麼理由不學習資安?

 


 





 


 


 噓噓東表示 : 






何謂駭客?

 八點檔駭客

電影裡的駭客


遊戲裡的駭客

動畫裡的駭客

一般人心中的駭客

屁孩心中的駭客

 我認識的駭客

 





差異?





Hacker        /        Cracker





駭客        /        黑客





白帽駭客        /        黑帽駭客





何謂 駭客 / 白帽駭客 !?






 白帽駭客 - HrJ







何謂 黑客 / 黑帽駭客 !?






 

黑帽駭客 - 莫風







好人        /        壞人





有女友        /        沒女友





這故事告訴我們什麼?





當白帽,得女友





灰帽 - 爭議性的道德駭客










想成為哪一種駭客?





駭客永遠的第一堂課





駭客的道德與倫理

 







道德 :


衡量行為正當與否的觀念標準
不同的對錯標準來自於
特定生產能力生產關係生活形態下自然形成的。


道德相對主義 :

道德和文化有密切關係
雖然人類的道德在某些方面有共通性,
但是在不同的時代不同的社會,往往有一些不同的道德觀念





身為一位駭客





甚麼是 我們的駭客道德 ?





發現漏洞 ?





What should you do?





回報?





公開?





網路攻擊 ?





When can you do?





合法性 ?





理由 ?





時機 ?





利用駭客技能賺錢?





How can you do ?





詐騙 / 攻擊 / 威脅 ?  





鑑識 / 防禦 ?

小說<歷史學家>:

也許你相信

你的選擇是正確的

但你需要思考

為什麼是正確的




問心無愧 -


認為自己這麼作對社會與資安是有所幫助





去思考、去了解





你 想成為 哪一種駭客?



from 網路攻防戰





當白帽,得女友






那些學校沒教的黑魔法攻防





這堂課要讓你變成








 這不科學啊!!!!


 剛剛都是開玩笑的 (被揍飛






駭客就像魔法師




魔法禁書目錄 史提爾 :

"火系魔法師之所以為魔法師,只是比較擅長火系魔法,但也會其他魔法的。"





魔法學徒 > 魔法使 > 魔法師





電腦使用者 > MIS/程式設計師 > 駭客/資安人員




滲透攻擊咒法 -

 Metasploit





何謂 滲透測試





模擬攻擊者技術與手法





滲透測試 VS. 弱點掃描 





專家手動測試 VS. 自動化測試





低誤判 VS. 高誤判





未知弱點 VS. 已知弱點





詳細報告 VS. 簡略報告





高成本 VS. 低成本





國際標準與相關規範




OWASP (Open Web Application Security Project)
網站應用程式安全測試清單第三版 




OSSTMM (Open Source Security Testing Methodology Manual)
開源安全測試方法指南第三版 

http://www.isecom.org/research/osstmm.html




NIST SP 800-115 (National Institute of Standards and Technology - Special Publication 800-115)
美國國家標準與技術研究院 - 資訊安全測試與評估指南 





PTES 標準滲透測試流程





前期交流階段





情報蒐集階段





威脅模型分析階段





漏洞分析階段





滲透攻擊階段





後滲透攻擊階段





報告階段

 

  • 前期交互階段
  • 情報蒐集階段
  • 威脅模型分析階段
  • 漏洞分析階段
  • 滲透攻擊階段
  • 後滲透攻擊階段
  • 報告階段




如果需更詳細了解

推薦網站 : Devcore





APT攻擊:一場沒有中立國的戰爭





黑魔法咒語基礎





Exploit 





Payload





Shellcode





Module





Listener





黑魔法陣








探測型黑魔法

 Nmap















尋找適用的法術











鎖定施法目標






發動黑魔法











讓我們看看攻擊成果





課程教材 - 
metasploit 滲透測試指南





噢對!





請一定要用 mac 施法喔





為什麼?






SITCON workshop 資安場

By hrjk

SITCON workshop 資安場

  • 3,336