作者: stevencho

這個問題旨在指出滲透測試方法有多種，並且滲透測試人員使用的術語或行話可能不一致。然而，以下條款通常被接受：
. 指紋識別是一種識別主機或服務的技術。例如，生存時間 (TTL)、標頭或橫幅等信息可以確定操作系統、服務或守護程序名稱和版本以及其他信息。
. 端口掃描是一種確定哪些 TCP 或 UDP 端口打開或關閉的技術。

列舉
滲透測試人員通常在收集信息/情報、掃描 IP、確定設備和操作系統的類型、掃描端口並發現可用服務後，列舉主機上的服務提供的資源。
根據InfoSec Institute 的說法，枚舉用於收集以下內容：
. 用戶名、組名
. 主機名
. 網絡共享和服務
. IP表和路由表
. 服務設置和審核配置
. 應用程序和橫幅
. SNMP 和 DNS 詳細信息

偵察
然而，偵察（Reconnaissance），簡稱Recon，是一個常用但沒有一致定義的術語。大多數滲透測試人員可能會同意這種情況發生在滲透測試的早期階段。有些人可能將其等同於 OSINT，有些人可能將其視為一個階段，而不是一種技術，而另一些人可能將其視為方法的組合。
. 偵察情報。這是一種從開源收集信息或情報的更為被動的方法，稱為 OSINT（開源情報）。
. 偵察目標信息。有些人可能會採取更積極的方法通過與評估目標互動來收集信息來進行偵察。鑑於此，可以使用指紋識別技術。

參考
. 滲透測試階段的完整指南
. 什麼是枚舉？[2021 年更新]
. 第 2 階段 – 列舉：查找攻擊向量
. 安全測試——列舉
. 網路安全指紋技術和操作系統網路指紋工具

資料來源： Wentz Wu QOTD-20210201
My Blog: https://choson.lifenet.com.tw/

PS:此文章經過作者同意而翻譯

【安全】的概念要從【保護】的角度談起。因此，談安全的概念必須思考四個議題：

為什麼要保護？因為有風險。
人類有慾望、願景、目標，但卻有影響目標達成的不確定因素(風險)存在。
保護什麼東西？資產 。
資產是有價值且值得保護的東西。要實現目標必須投入資源，這些資源都是我們覺得重要、有意義或有用的東西(即有價值東西，也就是資產)。
如何保護？安全控制措施(security controls)。
從風險管理的角度，當們作了風險評鑑（識別、分析、評估）後，下個步驟就是進行風險處置。在資安，安全控制措施則是風險處置的具體手段。
保護到什麼程度或達成什麼目標？資安有三階目標。
除了最基礎的CIA，還要能支持組織業務、創造價值，實現組織的使命與願景。
因此，【資訊安全】從字面意義來看，就是指【保護資訊】。同理，【國家安全】就是在談【保護國家】。但保護資訊若只談保護【資訊】本身將不夠全面，必須將處理資料/資訊的相關元素考慮進來，也就是從【資訊系統】的角度來思考資訊安全的議題；這也就是為什麼CISSP的全名是Certified 【Information Systems】 Security Professional. 然而，當代的安全議題，除了從資訊升級到資訊系統，更納入了OT, IoT, Infrastructure等資產，進而升級到【資產】安全；這也是為什麼CISSP的Domain 2的標題叫作Asset Security的原因。

也就是說，我們中文的【資安】一詞，全稱是【資訊安全】，若只從字面意義來看，其範圍就只有保護資訊本身；其它如網路安全、電腦安全…. 大概都可以用【保護】的概念去思考。若從CISSP的全名去看【資訊安全】，也就是從資訊系統（孔雀八根毛）的角度去看，它的範圍會更全面。但若我們從CISSP的Domain 2或實務的觀點去看資安，它探討的則是資產安全的議題。

結論：我們中文的【資訊安全】或【資安】一詞，其實是一個簡約的說法，它並不是真的只討論如何保護資料，而是將【範圍】擴大到資產，以及將【目標與定位】升級到業務及組織的層級，也就是由傳統的CIA目標，升級到三階目標：亦即支持組織業務、創造價值，實現組織的使命與願景。

資料來源：https://medium.com/the-effective-cissp/%E9%87%8D%E6%96%B0%E8%AA%8D%E8%AD%98%E8%B3%87%E8%A8%8A%E5%AE%89%E5%85%A8-33bdc11fcf6b

PS:經作者同意轉載此文章

CISSP是我考過最有光榮感，也最有儀式性的資安專業認證考試！不像其它認證機構以賺錢為出發點，對於考試的公平性及完整性採取睜一隻眼、閉一隻眼的態度，ISC2是我接觸過最嚴格執行各項考試規範及規則的機構。在ISC2所有會員及CISSP共同努力下，CISSP這個品牌與形象在全球業界受到極高的評價及認可！身為CISSP及WUSON的同學應該一起來維護這個得之不易的成果！

WUSON的考試策略很簡單，只有以下幾個重點：

1. 系統思考、用對方法
2. 互助共好、持續努力
3. 水到渠成、光榮時刻
4. 一起努力、一起成功！

知識只有行動才能產生力量！因此，既然在準備CISSP的過程中學習了ISC2的道德守則、知識產權及合約條款等符合性(compliance)要求，我們接下來就應該盡最大的力量去實踐。例如：

• 持續學習、用力分享、協助伙伴一起成功，以促進專業。
• 分享文件時注意是否有版權宣告，並明確的取得著作權人的授權再分享。
• 遵守考試的保密條款，不討論、不分享、不收集實際考試的題目。

我們學習的背後都有一定的利益動機，如升官、加薪等。然而，我們的加薪與升官並不是因為學到了知識、拿到了證照，而是我們的行動創造了更多的價值(value)而加薪，以及因為承擔了更多的責任(accountability and responsibilities)而升官。

CISSP在這個資安的大時代將獲得前所未見的重視，成為CISSP將得到更多、更好的職涯機會、獲得更大的組織授權，以及承擔更多的責任。來WUSON上課，我們不只要光榮的通過CISSP考試與取得證照，還要發揮更大的影響力、產生更多的貢獻、促進好的、向上的改變，共創美好的未來！

在CISSP之路，請大家務必認真看待以下ISC2的道德守則，並盡最大的力量去實踐它們！

• Protect society, the common good, necessary public trust and confidence, and the infrastructure.
• Act honorably, honestly, justly, responsibly, and legally.
• Provide diligent and competent service to principals.
• Advance and protect the profession.

[WUSON] 商業道德與決策 — 以我的接案經驗為例

改變世界，從我們每一個人自己作起！
讓我們一起成為CISSP! 一起迎接這個人生第二次大學聯考的光榮時刻！
一起為我們國家的資安、美好的家園，以及共同的美好未來而努力！

資料來源：https://wentzwu.medium.com/cissp-%E6%88%91%E5%80%91%E7%9A%84%E5%85%89%E6%A6%AE%E6%99%82%E5%88%BB-b3db21ecc755

PS:此文章經過作者同意刊登