各位好,這個系列希望可以從淺到深的敘述與展示一些跟 Web Security 的弱點以及解決方法,然後想圓圓出書的夢 XD
要先成為魔法使之前,要先通過魔法使的資格考,在座的見習生們,準備好一起跟身為魔法少女的我─飛飛,一起出發吧。
所謂台上十分鐘,台下十年功,在進入深度的 Web Security 之前,我們要先打穩馬步,做好基本功,前階段我們會先以介紹名詞方式去介紹一些常見的基礎知識,並且會帶入一些網路概論的解釋。
「誒,等等那 Web 是什麼。」
Web 其實是 World Wide Web (全球資訊網)的簡稱,簡單來說就是利用網路進行互動,並且有互相連結的超文字組成的系統。以三種技術:統一資源標誌符(URI)、超文件標示語言(HTML)、超文字傳輸協定(HTTP)。
這邊簡單瀏覽一個網站的步驟大概是:
「那 Web Security 跟我們有什麼關係呢?」
我們每天幾乎都會瀏覽網頁,不管是利用 Google 查詢想要的資料,透過 Facebook 發發廢文,還是利用 Github 版控自己的原始碼,就連手機的 APP 有些也是透過 WebView 的方式,透過網站來讓大家使用。在瀏覽網頁的過程當中,就會出現危險性,比如輸入帳號密碼、購物商場中信用卡資訊等…這些安全性的問題都跟我們習習相關。
統一資源定位符的標準格式如下:[協定類型]://[伺服器位址]:[埠號]/[資源層級UNIX檔案路徑][檔名]?[查詢]#[片段ID]
<scheme>://<netloc>:<port>/<path>?<query>#[fragment]
http://www.google.com/search?q=ithome
PentesterLab 是一個針對滲透測試練習的網站,裡面有個 Bootcamp 是針對滲透測試進行訓練營,在這裡原本是英文版(目前英文版是新版的呈現方式),之前有替舊版的訓練營書單撰寫繁體中文版的翻譯,大家有興趣可以點擊[PentesterLab] Bootcamp繁體中文參考看看。