其實， 即使到了 2025 年， 還是有一堆網站用 admin/admin、test/test 這種弱密碼。

如果去看常見的一些資安事件， 應該會發現很多資料外洩其實不是被駭， 而是開發者不小心把敏感資訊放在公開的地方。

找到 Web 服務之後，下一步就是分析網頁內容了。 但手動看 HTML 原始碼應該蠻累的 XD，而且容易漏東西， 這時候就可以用自動化工具來幫忙。

在做滲透測試的時候，只知道 port 開著還不夠， 我們還需要知道這個 port 上跑的是什麼服務， 特別是 Web 服務，因為 Web 通常是攻擊面最大的地方。

在偵查的時候，知道某個 Port 有沒有開還不夠，通常還會去看背後是什麼服務、版本是多少。Banner Grabbing 就是透過連線到該服務，讀取它回傳的第一段訊息（Banner），來識別服務跟版本。

在資安方面，很多任務都是 I/O 密集型（例如網路掃描、HTTP 請求）， 如果只用單執行緒，就會一個一個等，速度非常慢。

先講一下 Ruby 跟其他語言的差別好了， Ruby 是強調「開發者體驗」的語言，所以很適合拿來快速開發工具跟腳本， 如果跟 Python 比較的話，Ruby 在字串處理、DSL設計上更靈活， 網頁跟自動化相關生態也可以很常看到它的身影出現。

因為之前習慣放 Notion，有些跨平台的題目比較好整理在一起，所以部分題目也會放在這邊：