摘要 本處資安技術中心九十四年度資本支出派員出國進修研究實習計畫，項目為『實習資通安全新技術』。藉由本次實習穿透測試與駭客攻防技術，強化資訊安全技術能力，以提升本分公司資通安全作業環境。本次實習內容乃參加舉世聞名的駭客研討會『Blackhat』與『Defcon』，舉辦地點為美國拉斯維加斯，其中Blackhat 是由Blackhat公司每年所舉辦之知名網路安全攻防技術研討會，而Defcon則是每年全球最盛大的駭客聚會。 藉由本次出國實習，學習到許多資訊安全與駭客攻防技術，在駭客技術訓練課程中，共參與了四門課程，分別是『Ultimate Hacking Expert』、『Hacking by numbers-combat edition』、『Web Application – Attacks & Defence』、『Dynamic Defense』。其中Foundstone公司舉辦的Ultimate Hacking Expert，內容涵蓋進階的攻擊手法與系統漏洞研究，而Hacking by numbers課程，則實際以互動方式實習許多現有的系統漏洞之攻防，像是SQL injection、CGI 漏洞、Buffer Overflow及駭客工具等。另外「Web Application – Attacks & Defence」課程針對目前被廣泛使用的網頁應用系統，詳細解說各種可能遭受到的資安攻擊，並加以實例操作演練，可提供本技術中心未來對內外部網頁系統進行滲透測試攻防技術。「Dynamic Defense」課程則說明「主機型 Anomaly IDS」的運作原理，透過了解一個作業系統中程式運作的正常流程及特徵，監控系統運作是否出現異常，此概念可以應用於本技術中心未來進行主機鑑識時，鑑別病毒後門程式之基據。 本報告共分三個單元，第一部份說明本次實習之目的，第二單元敘述參與課程內容，第三單元為參訪之心得與建議。