【Cyber講堂】黑客用什麼？— 網站資料泄露神器

現今網絡威脅不斷上升，黑客攻擊經常出現，最近攻擊政府機構的勒索事件成為城中熱話。黑客會使用不同的攻擊工具，以識別系統中存在的漏洞，並利用漏洞獲取受害者伺服器的存取或控制權。許多網站的資料泄露主因，是黑客熟用不同的攻擊工具，成功尋找漏洞，並利用漏洞來竊取資料。

對於一般中小企而言，公司的網頁平台，不論是公司主頁或是內部系統，很多時都會忽略了安全性檢查，繼而成為攻擊事故中的起始點。多了解最新的黑客技術和工具，對保護網站的安全至關重要。在黑客進行攻擊前，找到網站漏洞並加以修復，使黑客難以利用安全漏洞來保護資產的安全。

以下列出五個知名的網站攻擊工具，所有工具都可以公開下載並已被廣泛使用。

Nmap

Nmap 是一款備受歡迎的網絡探索工具，用於搜索網絡上的主機，檢測其提供的服務以及運行的操作系統等。對於每位學習黑客攻擊技術的學員來說，這是必學的工具，因為識別攻擊目標中運行的軟件，是發掘漏洞的第一步。

Metasploit

Metasploit 是一個擁有眾多攻擊模組的平台，覆蓋不同的攻擊目標，如網站、檔案分享伺服器、基礎建設設備等。透過其提供簡單易用的設定指令，使攻擊者快捷發動攻擊。

Burpsuite

Burpsuite 是一款攔截工具，用於攔截網頁（HTTP）用戶和伺服器之間的網絡流量，其功能為掃描網頁漏洞、了解網站運作機制以及執行自動化攻擊。

Nessus

Nessus 是一個圖形化界面的漏洞掃描工具，用於檢測各種操作系統、資料庫和網絡應用程序的漏洞，幫助組織辨識潛在安全威脅。其優點為提供直觀操作，並對目標進行全自動化的漏洞掃瞄，操作上對新手來說也較容易上手。 

SQLMap

SQLMap 專門用於自動化檢測並利用資料庫注入漏洞。它擁有強大的檢測引擎，支援坊間大部分資料庫系統。安全研究人員和黑客可以使用 SQLMap 發現網頁中的 SQL 注入漏洞，並進行資料庫的盜取、系統檔案讀取，甚至控制目標伺服器。該工具被廣泛應用於針對網站後台資料庫的攻擊，以竊取電郵、密碼、信用卡號碼等資料。

如欲深入學習更多有關尋找網站漏洞的技術，歡迎報讀由香港資訊科技學院（HKIIT）舉辦的網頁程式滲透測試證書課程。該課程由業界專家親自教授學員實戰技術，詳細講解不同的攻擊工具與識別網站的漏洞，有助學員成為市場炙手可熱的道德白帽黑客（Ethical Hacking）專才。

課程將於今年 4 月開辦，立即了解課程詳情：
網頁程式滲透測試證書：https://bit.ly/3Oob5K8

作者：Kinsey NG
香港資訊科技學院（HKIIT）網絡安全中心講師、研究範圍包括黑客攻擊技術、黑色產業。並透過模擬各種企業攻擊場景，提供校內與企業網絡安全培訓。