第十屆 冠軍

security
資安補漏洞,越補越大洞
WLLO

系列文章

DAY 21

[Day 21] 來玩WebGoat!之9:XXE Injection 3

今天是XXE課程第4步的練習,今天的練習跟昨天的有點類似,只是今天的挑戰要特別說明現代人愛用的REST架構可能會遇到的XXE Injection風險。 表現層...

DAY 22

[Day 22] 來玩WebGoat!之10:Authentication Flaws - Authentication Bypasses

今天來介紹Authentication Flaws這個課程,簡單來說就是利用網頁中身分認證的設計缺陷,進而達到取得帳號權限目的的意思,而在WebGoat中將這個...

DAY 23

[Day 23] 來玩WebGoat!之11:Authentication Flaws - JWT tokens 1

今天繼續來介紹Authentication Flaws,接著就來看看JWT tokens的部分吧! JWT tokens JSON Web Token (JWT...

DAY 24

[Day 24] 來玩WebGoat!之12:Authentication Flaws - JWT tokens 2

接續昨天還沒完成的JWT練習,今天來看看第5步的挑戰,其實這一題跟昨天的練習蠻類似的,他只是要我們把JWT解碼後,再把USERID改為WebGoat,並找出密鑰...

DAY 25

[Day 25] 來玩WebGoat!之13:Authentication Flaws - JWT tokens 3

今天接續昨天最後提到的acces token跟refresh token,直接進入第7步的練習吧!在這一題中,我們需要以昨天提到的access token及re...

DAY 26

[Day 26] 來玩WebGoat!之14:Insecure Communication - Insecure Login

今天要介紹的是不安全的登入 (Insecure Login),而這一個課程主要要介紹的概念是,如果今天你要設計一個含有登入功能的網頁,一定記得在送出資料的時候要...

DAY 27

[Day 27] 來玩WebGoat!之15:Access Control Flaws - Insecure Direct Object References 1

今天開始要介紹的是存取控制缺陷(Access Control Flaws)的課程,裡面包含兩個單元,分別是不安全的直接物件參考 (Insecure Direct...

DAY 28

[Day 28] 來玩WebGoat!之16:Access Control Flaws - Missing Function Level Access Control

大家好,今天原本要繼續介紹昨天不安全的直接物件參考的挑戰,但不知道為什麼,我的每台電腦都無法正常執行當中的關卡,但又沒時間看錯誤在哪裡了,只好先跳到下一個遺失功...

DAY 29

[Day 29] 來玩WebGoat!之17:Request Forgeries

今天要來介紹的是請求偽造 (Request Forgeries)的課程,在這個課程中會介紹何謂跨站請求偽造 (Cross-Site Request Forger...

DAY 30

[Day 30] 完賽但不是結束

嘿!不知不覺竟然來到第30天了,先稍微寫個完賽感想吧。 真的覺得30天發文這個活動很棒,不論寫多寫少,每天都能有至少一小時的時間是在複習舊知識或是學習新知識,而...