这是一本有关渗透测试方面的技术书籍。不过在起笔之前,我并没有打算撰写这样一本书。最初,我只是将日常的渗透测试、安全会议、安全性文章、有关研究和上手经验等整理为文字。没想到随着笔记的日积月累,我也逐渐整理出可重复完成渗透测试的工作方法,慢慢领悟到哪些操作有用,哪些没有用。
这是一本有关渗透测试方面的技术书籍。不过在起笔之前,我并没有打算撰写这样一本书。最初,我只是将日常的渗透测试、安全会议、安全性文章、有关研究和上手经验等整理为文字。没想到随着笔记的日积月累,我也逐渐整理出可重复完成渗透测试的工作方法,慢慢领悟到哪些操作有用,哪些没有用。
后来我开始从事教学工作,并应邀在会议上做演讲,逐步涉足信息安全行业。这些工作经验使我相信,我的经验和教训同样会对业内的朋友有所帮助。于是,我将个人的知识、经验和教学凝聚为此书。需要着重指出的是:我不是一个职业的作家,只是出于爱好写了这本书。您可能有个人喜欢的其他工具、技术和使用的技巧,正因如此,渗透测试的工作才会变得如此精彩纷呈。同一个问题的答案常常不止一个,我邀请您逐一探索。此外,本书不可能一步一步地详细介绍每种类型的攻击,不过,不断地研究、摸索各种不同的方法,寻求适合实际情况的各种方案—这本来就是渗透测试工作的特点。
如果您大体了解常用的安全工具,接触过Metasploit,并在一定程度上跟得上安全行业的变化,那么您适合阅读本书。本书不仅面向渗透测试的从业人员,而且同样适合对信息安全感兴趣的行业爱好者阅读。
本书主要阐述了一种简单实用的渗透测试方法。确实有很多安全相关的图书详尽地介绍了各种工具和每种类型的安全漏洞,但是对于一般的渗透测试人员而言,那些书的指导意义并不大。我希望我写的这本书能够丰富您的安全知识,深入理解安全防范措施。
本书由真实的渗透技术以及典型的渗透测试的过程组成。虽然书中介绍的每种技术和操作过程不可能都与读者实际的渗透工作相吻合,但是这些知识无疑能够为您的渗透测试工作奠定良好的基础。
我个人认为,想要成为一个出色的安全行业专业人员,应当注重:
1.学习、研究并了解各种常见的安全漏洞和安全弱点;
2.在受控环境中,不断练习利用安全漏洞及防止漏洞被利用的方法;
3.在真实的环境下进行渗透测试;
4.在信息安全行业内开展教学并参与演讲。
上述4点构成了可持续的生命周期,有助于您不断地提高技术熟练度。请允许我再次感谢您能阅读这本书,我希望您能够通过本书体会到渗透测试的乐趣。