iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

21 Like 10 留言 43790 瀏覽

達標好文技術什麼是網頁應用程式源碼檢測

在弱點管理的範疇中，我們經常可聽聞幾個辭彙，例如源碼檢測、弱點掃描、滲透測試，他們之間的差異是什麼，在網頁程式開發領域中，這三種測試系統弱點的方式該怎麼應用？導...

ithelp ‧ 2008-02-01

0 Like 0 留言 9647 瀏覽

徵才 [台北內湖] 資安工程師

#職務內容執行網站、主機系統滲透測試服務(APT) 執行駭客攻防演練 (如: 木馬免殺、程序逆向、分析後台數據、waf、ips、社工攻擊、撒網式釣魚、定向欺...

cammy ‧ 2019-03-11

0 Like 0 留言 3344 瀏覽

技術 Hack The Box - NetWorked Writeup.

前言抱歉上星期在衝HTB的Rank並沒有寫到Jarvis的文章QQ如果有人有興趣的話有空會發今天退休的又是一台難度簡單的機器題目內容幾乎都與Injection...

badbug ‧ 2019-11-16

2 Like 1 留言 2232 瀏覽

技術 Hack The Box - Craft Writeup.

前言以下自己寫的腳本有放在我的HTB GitHub詳細筆記(因為是用純文字模式在linux打的很醜請見諒:P)最近開始會整合寫過的腳本到這裡來(有很多腳本都在...

badbug ‧ 2020-01-05

0 Like 0 留言 2080 瀏覽

技術 Hack The Box - SwagShop writeups.

Hack The Box - SwagShop writeups. 資安新手，把自己的解題過程記錄下來避免失憶症發作 lol有錯誤的地方請大佬用力的噴我，想學...

badbug ‧ 2019-09-28

0 Like 0 留言 1605 瀏覽

技術 Hack The Box - Writeup writeup.

前言 Hack The Box 對於其線上題目有嚴格的規定那就是題目退休以前絕對不能洩漏答案因此很多writeup都只能等機器退休才能發出來。首先來到題目頁...

badbug ‧ 2019-10-13

0 Like 0 留言 1504 瀏覽

技術 Hack The Box - Safe walkthrough.

前言這星期的退休機器我並沒有解到但是我看了IPPSec的影片後覺得這機器好像挺好玩的所以就來做做看題目也已退休了所以此次標題為WalkThrough. 題目...

badbug ‧ 2019-10-28

0 Like 0 留言 1460 瀏覽

技術 Hack The Box - Haystack Writeup.

前言本次的機器在User Shell方面偏向CTF-Like，但是在Root Shell方面還可以，此機器的難度為簡單。題目開始基本nmap : n...

badbug ‧ 2019-11-02

0 Like 0 留言 1294 瀏覽

技術新手學滲透

各位大神，有人可以手把手教我怎麼做滲透找漏洞嗎，期末作業危危可急，小妹愚笨網路資料太複雜看了一個禮拜進度0，在線求，急，非常感謝大家。

xiao10912177 ‧ 2023-01-04

0 Like 0 留言 901 瀏覽

技術 [滲透新手小知識01]上傳檔案到User Shell

今天開始決定把解題過程的小撇步紀錄在這，這系列偏向手法簡單的小動作，每篇篇幅都短短的，老手們就可以略過了。正文開始！今天假使我拿到User Shell後我...

badbug ‧ 2019-10-01

0 Like 1 留言 888 瀏覽

技術 6種常見的JWT attack方法,繞過網站身份驗證

JWT攻擊是使用者向網站發送修改後的JWT，目標是冒充另一個身份的使用者，並繞過身份驗證和存取控制。如果攻擊者能夠使用任意值創建自己的JWT有效令牌，他們能夠升...

raymond0820 ‧ 2024-03-29

0 Like 0 留言 834 瀏覽

技術弱點掃描與滲透測試的不同

今天剛好聽主管分享筆記一下網站上線前，一般會做一些掃描，主要有：原始碼掃描網站或主機的弱點掃描滲透測試原始碼掃描 => 白箱測試，直接對原始...

WeLoveSeafood ‧ 2024-04-11

0 Like 0 留言 653 瀏覽

技術用合法動作掩飾非法行為,這4種業務邏輯安全漏洞,穿過保護機制套利提權

業務邏輯漏洞是應用程式設計和實作中常見的缺陷，允許攻擊者引發意外行為。這可能使攻擊者能夠操縱合法功能來實現惡意目標。識別它們通常需要一定程度的人類知識，例如...

raymond0820 ‧ 2024-04-14

0 Like 0 留言 326 瀏覽

鐵人賽 Security DAY 28

從 0 開始的 PT 學習生活系列第 28 篇

技術 [ Day 28 ]從 0 開始的 PT 學習生活 - 報告説明01

倒數兩天！！好的弱點基本上都講過一輪了，那就像之前説過的我們只是做個測試而已，重點是學習一下相關的流程，如果是真的在外面工作的話就還會有一些環境確認已經複測之類...

rweng ‧ 2023-10-13 ‧團隊每件事都壓死線的大家真的可以完賽嗎？

0 Like 0 留言 290 瀏覽

鐵人賽 Security DAY 23

從 0 開始的 PT 學習生活系列第 23 篇

技術 [ Day 23 ]從 0 開始的 PT 學習生活 - 分析弱點09

倒數7天！昨天我們用手打的方式去玩了 Path Traversal 這個漏洞，今天的話就來玩一下可以直接爆路徑的自動工具，那我選的是 dirsearch 這個工...

rweng ‧ 2023-10-08 ‧團隊每件事都壓死線的大家真的可以完賽嗎？

0 Like 0 留言 289 瀏覽

鐵人賽 Security DAY 21

從 0 開始的 PT 學習生活系列第 21 篇

技術 [ Day 21 ]從 0 開始的 PT 學習生活 - 分析弱點07

倒數9天！昨天講完了 XSS，今天就進入下一個漏洞類型，終於來到一個比較簡單的主題：Path Traversal，至於爲什麽不是 LFI，因爲我覺得 Path...

rweng ‧ 2023-10-06 ‧團隊每件事都壓死線的大家真的可以完賽嗎？

0 Like 0 留言 254 瀏覽

鐵人賽 Security DAY 20

從 0 開始的 PT 學習生活系列第 20 篇

技術 [ Day 20 ]從 0 開始的 PT 學習生活 - 分析弱點06

倒數10天 go go~ 昨天我們介紹了那個測試網站的 XSS，今天的話就去玩玩之前 SQLi 時介紹的 Burp Suit，那至於是要打什麽弱點呢，那就是我們...

rweng ‧ 2023-10-05 ‧團隊每件事都壓死線的大家真的可以完賽嗎？

0 Like 0 留言 246 瀏覽

鐵人賽 Security DAY 29

從 0 開始的 PT 學習生活系列第 29 篇

技術 [ Day 29 ]從 0 開始的 PT 學習生活 - 報告説明02

29天啦！go go 最後衝刺昨天說了一個滲透測試報告裡面需要有什麽東西，今天就來寫一篇類滲透測試報告吧，至於爲什麽是類而不是完整的報告我昨天有解釋過了，這邊就...

rweng ‧ 2023-10-14 ‧團隊每件事都壓死線的大家真的可以完賽嗎？

0 Like 0 留言 213 瀏覽

鐵人賽 Security DAY 25

從 0 開始的 PT 學習生活系列第 25 篇

技術 [ Day 25 ]從 0 開始的 PT 學習生活 - 分析弱點11

今天是國慶日，同時也是鐵人賽的倒數第5天，大家有去台中看煙火嗎，逢甲附近的人真的是不知道在多什麽啊喂，好回歸正題，可能有稍微自己打過這個網站的同學會問這個哪裡有...

rweng ‧ 2023-10-10 ‧團隊每件事都壓死線的大家真的可以完賽嗎？

0 Like 0 留言 212 瀏覽

鐵人賽 Security DAY 17

從 0 開始的 PT 學習生活系列第 17 篇

技術 [ Day 17 ]從 0 開始的 PT 學習生活 - 分析弱點03

昨天我們確定了有 SQLi 的漏洞之後，我們就可以拿一些更暴力的工具來玩壞他 sql map 這個是一個自動的 sql 掃描工具，基本上就是自動檢測跟利用 SQ...

rweng ‧ 2023-10-02 ‧團隊每件事都壓死線的大家真的可以完賽嗎？

0 Like 0 留言 195 瀏覽

鐵人賽 Security DAY 27

從 0 開始的 PT 學習生活系列第 27 篇

技術 [ Day 27 ]從 0 開始的 PT 學習生活 - 分析弱點13

倒數第三天！！今天絕對不唬，要把 CSRF 在這個網站的實際應用講完，之前的介紹就只有提一些簡單的原理并沒有太過實際的應用，而且沒有講完的話我會良心不安，好啦主...

rweng ‧ 2023-10-12 ‧團隊每件事都壓死線的大家真的可以完賽嗎？

0 Like 0 留言 169 瀏覽

鐵人賽 Security DAY 22

從 0 開始的 PT 學習生活系列第 22 篇

技術 [ Day 22 ]從 0 開始的 PT 學習生活 - 分析弱點08

倒數8天！在昨天我們簡單的介紹了一下 Path Traversal 這個漏洞以後相信大家都有稍微去玩一下那如果實在是沒有頭緒要做什麽的也別擔心，今天就一步步示範...

rweng ‧ 2023-10-07 ‧團隊每件事都壓死線的大家真的可以完賽嗎？

0 Like 0 留言 145 瀏覽

鐵人賽 Security DAY 19

從 0 開始的 PT 學習生活系列第 19 篇

技術 [ Day 19 ]從 0 開始的 PT 學習生活 - 分析弱點05

昨天我們講了 XSS，目前針對這種類型的弱點一般都是采用 payload in response 的方式（俗稱手動），雖然也有像是 xssfork 這樣的自動掃...

rweng ‧ 2023-10-04 ‧團隊每件事都壓死線的大家真的可以完賽嗎？

0 Like 0 留言 139 瀏覽

鐵人賽 Security DAY 18

從 0 開始的 PT 學習生活系列第 18 篇

技術 [ Day 18 ]從 0 開始的 PT 學習生活 - 分析弱點04

昨天講完了我們掃出來的第一個大方向 SQLi，并且介紹了相關的自動工具 sqlmap，那今天就讓我們先認識一下第二個弱點 —— XSS 到底是什麽 XSS Cr...

rweng ‧ 2023-10-03 ‧團隊每件事都壓死線的大家真的可以完賽嗎？

0 Like 0 留言 137 瀏覽

鐵人賽 Security DAY 24

從 0 開始的 PT 學習生活系列第 24 篇

技術 [ Day 24 ]從 0 開始的 PT 學習生活 - 分析弱點10

今天來稍微講一下 LFI（Local File Inclusion），基本上概念就是能控制文件參數，並利用 ../ 目錄遍歷，是一個跟前兩天介紹的 Path T...

rweng ‧ 2023-10-09 ‧團隊每件事都壓死線的大家真的可以完賽嗎？

0 Like 0 留言 129 瀏覽

鐵人賽 Security DAY 16

從 0 開始的 PT 學習生活系列第 16 篇

技術 [ Day 16 ] 從 0 開始的 PT 學習生活 - 分析弱點02

昨天把大的方向找了出來，今天就來處理其中的一個分項，那就先決定我們的1號受害者是 injection，那他沒有特別去講基本上就是 SQLi，那我們就先用手戳戳看...

rweng ‧ 2023-10-01 ‧團隊每件事都壓死線的大家真的可以完賽嗎？

達標好文 技術 什麼是網頁應用程式源碼檢測