正文

今天最後一天了，當初因為沒存稿的關係，加上很多主題想寫，但又沒把握能寫好，所以不知道能不能順利完賽XD。

Web應用程式的攻擊其實還有很多，像是SSRF、XXE、Command Injection、Deserialization、SQL Injection、XSS等等都沒有寫到，主要原因是這些很多都有人寫了，像是Orange大大的SSRF，不管是概念還是實際利用，都已經稱得上完美。所以這次主要想挑戰盡量寫一些比較少人提到的攻擊，像是ORM Injection，不過這種漏洞也因為資料相對於SQL Injection這些，資料和文獻較少很多，所以也有點碰壁，就算已經知道概念，但要好好寫成一篇文章對我來說還是有點挑戰XD。加上我自己重新review過後，也發現很多可以修正或多講的地方，也會在接下來的時間自己梳理一下。

這些攻擊也都還有很多可以延伸的地方，唯一可以預見的是，不管是Web攻擊或是Privilege Escalation甚至是其他的攻擊手法，只可能更多。包含像是各種side channel attack等等，這30天的內容實際上完全稱得上只是基礎，也讓我在研究找資料的過程中學到不少，另外也希望透過這30天勉勵自己持續學習XD。

如果你想要進入資訊安全領域，資訊安全領域也不會有學完的一天(當然很多領域也適用)，而你的基本功、知識儲備、邏輯、條理、思維與毅力，決定了你在這個領域所能達到的高度。也希望這30天的內容，能夠讓更多人了解Web Application的攻擊技巧，感謝大家，有問題歡迎討論。