菜鳥工程師看資安，公司每年都會進行弱點掃描，而去年有考慮執行滲透測試，在好奇心的驅使下我也跟著聽了幾間廠商介紹，從而初淺的了解了一些資安相關的知識～而這兩者有甚麼差別呢，google看了一些文章後用自己的話講講看。

弱點掃描

弱點掃描通常是利用現成工具，針對IP或domain依照現成工具的規則下去檢測APP有哪些疑似漏洞或風險比較高的錯誤。

很常見的風險都是程式或伺服器版本過低，一些軟體版本過低往往容易造成已存在/已揭漏的bug沒有補丁更新從而導致被攻擊，所以弱掃完後通常會依據報告中顯示的風險進行更新或補強，然後再進行第二次掃描確認第一次報告中的風險已不存在。

其中好像還有細分很多種，原始碼掃描，網站掃描，伺服器系統掃描等等。

而價格則會相對地比較便宜，因為所需的人力成本比較低，都是由現成自動化工具下去掃描比較多的樣子。

滲透測試

滲透測試就比較有趣了，是一種模仿駭客思維去針對目標攻擊。

現在server，app百百種，滲透就很難依靠一種工具去執行，所以都是由滲透工程師自己本人的經驗進行滲透攻擊，而有經驗有能力的工程師所產生的費用當然就比較高，且工程師人力有限，為一家企業進行滲透測試光想像就覺得要花費的時間成本也不低，固然價格相對高。

然而滲透工程師需要經驗才有辦法成長，但又不可能亂打其他人的網站，還可能害自己犯法，就挺好奇在成為專業的滲透工程師之前是怎麼度過的。

最後

其實我小時候就對駭客就有一種嚮往，可以在網路的世界自由穿梭又有點在灰色地帶活動，感覺非常有趣，當然不排除電視電影過度美化影響和小男孩天真的想法 XD，不過從簡單的了解滲透和弱掃就可以知道成為駭客所需要的知識量是非常大量和堅實的，且還需要具有柔軟和跳躍的思維，更需要了解人的天性，才能構思出完整的攻擊手法和防禦手段。

而資安還有很多關鍵字可以搜尋，OWASP，CVE，CWE，CTF等等