iT邦幫忙

2021 iThome 鐵人賽

DAY 30
0
Security

讓Web開發者森77的Hacking Trick系列 第 30

[Day30] 讓Web開發者森77之後 / 總結

正文

今天最後一天了,當初因為沒存稿的關係,加上很多主題想寫,但又沒把握能寫好,所以不知道能不能順利完賽XD。

Web應用程式的攻擊其實還有很多,像是SSRF、XXE、Command Injection、Deserialization、SQL Injection、XSS等等都沒有寫到,主要原因是這些很多都有人寫了,像是Orange大大的SSRF,不管是概念還是實際利用,都已經稱得上完美。所以這次主要想挑戰盡量寫一些比較少人提到的攻擊,像是ORM Injection,不過這種漏洞也因為資料相對於SQL Injection這些,資料和文獻較少很多,所以也有點碰壁,就算已經知道概念,但要好好寫成一篇文章對我來說還是有點挑戰XD。加上我自己重新review過後,也發現很多可以修正或多講的地方,也會在接下來的時間自己梳理一下。

這些攻擊也都還有很多可以延伸的地方,唯一可以預見的是,不管是Web攻擊或是Privilege Escalation甚至是其他的攻擊手法,只可能更多。包含像是各種side channel attack等等,這30天的內容實際上完全稱得上只是基礎,也讓我在研究找資料的過程中學到不少,另外也希望透過這30天勉勵自己持續學習XD。

如果你想要進入資訊安全領域,資訊安全領域也不會有學完的一天(當然很多領域也適用),而你的基本功、知識儲備、邏輯、條理、思維與毅力,決定了你在這個領域所能達到的高度。也希望這30天的內容,能夠讓更多人了解Web Application的攻擊技巧,感謝大家,有問題歡迎討論。


上一篇
[Day29] Windows Privilege Escalation
系列文
讓Web開發者森77的Hacking Trick30

1 則留言

0
HackerCat
iT邦新手 4 級 ‧ 2021-10-20 12:55:49

恭喜完賽~

Web真的很多奇奇怪怪冷門的攻擊手法

要找文獻都很難QQ

克雷格 iT邦新手 5 級 ‧ 2021-10-23 00:17:00 檢舉

也恭喜大大完賽

真的,而且實際案例也比較少

我要留言

立即登入留言