身份假冒(Spoffing identity) 身份假冒是由 認證(Authentication) 衍生出來的威脅,而認證的本質在於確認操作系統的那個人,或者是...
cchuang0425
於 2016-12-16 發表 | 2272 次瀏覽
先前我們提到了軟體開發流程、靜態原始碼描瞄、弱點掃瞄的部份,我們會發現到有一些弱點,在實際的環境上測試可能是無法驗證的,所以會造成後續不確定怎麼修補,或也可能因...
虎虎
於 2016-12-15 發表 | 4900 次瀏覽
好哦,所以在產出弱點掃描結果之後呢~最麻煩的就是驗證這些弱點是否「真正的存在」,需要自動排除「工具誤判」的弱點,驗證是弱點掃描之後最需要時間的部份了… ((眼神...
虎虎
於 2016-12-14 發表 | 15633 次瀏覽
接續上一篇[Day06]弱點掃描x概念x工具之後,你會發現弱點掃描也沒有什麼厲害噠,就只是用工具去掃描而已,還不簡單,連貓咪也會呀~ 沒錯!其實弱點掃瞄的動作都...
虎虎
於 2016-12-13 發表 | 11082 次瀏覽
其實講完[Day04]原始碼檢測x弱點修補X驗證攻擊-Path Manipulation還有點意猶未盡。感覺如果沒有講檔案上傳(File Upload)感覺有點...
虎虎
於 2016-12-12 發表 | 13045 次瀏覽
本週的工作項目也是弱點掃描週!首先,我們要建置一個 VM,然後再開始我們的弱點掃描!//VM 髒掉了可以馬上換新噠,而且VM可以放著掃不影響本機作業。 [弱點掃...
虎虎
於 2016-12-12 發表 | 46973 次瀏覽
跨網站指令碼(Cross-site scripting,通常簡稱為XSS) 是一種網站應用程式的安全漏洞攻擊,是代碼注入的一種。它允許惡意使用者將程式碼注入到網...
虎虎
於 2016-12-11 發表 | 19321 次瀏覽
前言 昨天簡單地說明了風險的量化估計方式,你一定覺得好像缺了什麼。風險?怎麼算是一回事。我們好像沒有說到,究竟是哪些風險,會造成系統的資訊安全問題。 今天同樣要...
cchuang0425
於 2016-12-10 發表 | 2054 次瀏覽
「Path Manipulation」這個弱點找不到對應的中文,假設就叫路徑暴露或跳脫路徑好了,建議關閉 Apache DirectoryIndex 設定或做存...
虎虎
於 2016-12-10 發表 | 20724 次瀏覽
前言 軟體開發的實踐,其實不算什麼高深莫測的道理。你總是能在生活中,找到類似的概念。今天,一家公司想談資訊安全,但主事者下班回家,連鎖門的習慣都可有可無。其實最...
cchuang0425
於 2016-12-09 發表 | 2043 次瀏覽
tonykuoyj
已寫 30 天
JerryHong
已寫 30 天
circleuniv
已寫 30 天
小茶
已寫 30 天
虎虎
已寫 30 天
微中子
已寫 30 天
c1mone
已寫 30 天
StanleyJui
已寫 30 天
StanleyJui
已寫 30 天
Ralph
已寫 30 天
