iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

6 Like 6 留言 152817 瀏覽

鐵人賽 Security DAY 61

資事體大毒擋一面 - 資安防護深入淺出系列第 31 篇

達標好文技術 [Postx1] 攻擊行為－SQL 資料隱碼攻擊 SQL injection

Structured Query Language（SQL）常使用於 database 系統中，包括 Microsoft SQL server、Oracle、M...

小茶 ‧ 2017-02-14

1 Like 2 留言 18105 瀏覽

鐵人賽 Security DAY 13

資安補漏洞，越補越大洞系列第 13 篇

技術 [Day 13] 來玩WebGoat！之1：安裝

在介紹WebGoat的第一天，我們先來介紹如何安裝這套軟體，目前這套軟體在Windows、Linux及OS X上都可以執行。第一步，先確認電腦上有安裝JRE。...

WLLO ‧ 2018-10-28

2 Like 0 留言 14674 瀏覽

鐵人賽 Security DAY 15

資安補漏洞，越補越大洞系列第 15 篇

技術 [Day 15] 來玩WebGoat！之3：HTTP Proxies & OWASP ZAP

接下來進到HTTP Proxies的部分，在這邊主要是要讓讀者可以了解Proxy的概念，以及學會如何使用一些流量攔截工具。那首先就來介紹一下Proxy是什麼吧...

WLLO ‧ 2018-10-30

4 Like 1 留言 10227 瀏覽

鐵人賽 Security DAY 1

資安補漏洞，越補越大洞系列第 1 篇

技術 [Day 1] 漏洞是什麼？能吃嗎？

大家好，本人是個菜鳥分析師，不論是技術學識都仍待加強，去年在被一群好心人士趕鴨子上架騙來參加iT邦幫忙鐵人賽，很感謝各位評審的抬愛，有幸得到優選，今年再度來參賽...

WLLO ‧ 2018-10-16

7 Like 3 留言 8990 瀏覽

技術 ASP.NET發生重大漏洞，網站管理者權限會直接被拿走...

採用ASP.NET技術的網站開發者或是企業請注意，該漏洞非常嚴重且大規模影響到「所有使用ASP.NET技術的網站」，請盡速修正您的網站設定檔或進行相關程式的修訂...

Q=Q ‧ 2010-09-26

1 Like 1 留言 8646 瀏覽

鐵人賽 Security DAY 18

資安補漏洞，越補越大洞系列第 18 篇

技術 [Day 18] 來玩WebGoat！之6：SQL Injection (advanced) - Blind SQL Injection

接著來介紹一種叫做Blind SQL Injection的技術，它也是SQL Injection的一種，但跟我們之前介紹的SQL Injection有點差異。之...

WLLO ‧ 2018-11-02

1 Like 1 留言 7919 瀏覽

鐵人賽 Security DAY 7

資安補漏洞，越補越大洞系列第 7 篇

技術 [Day 7] 漏洞種類百百種？ [上]

今天開始來講講漏洞有哪些種類呢？每個漏洞研究人員對於同樣一個漏洞的描述方法都不盡相同，對於漏洞的種類要如何區分，以及分到多細一定有更多的爭論，今天要介紹的就是一...

WLLO ‧ 2018-10-22

1 Like 0 留言 7162 瀏覽

鐵人賽 Security DAY 8

資安補漏洞，越補越大洞系列第 8 篇

技術 [Day 8] 漏洞種類百百種？ [下]

漏洞種類 CWE 昨天先大致介紹了通用弱點列舉 (Common Weakness Enumeration, CWE)計畫，那要如何在這個計畫中找到弱點資訊呢？...

WLLO ‧ 2018-10-23

1 Like 0 留言 6573 瀏覽

鐵人賽 Security DAY 16

資安補漏洞，越補越大洞系列第 16 篇

技術 [Day 16] 來玩WebGoat！之4：SQL Injection

今天我們進到SQL Injection的課程，相信大家或多或少都有聽過他的大名，那到底什麼是SQL Injection呢？首先，SQL是一種跟資料庫進行溝通的語...

WLLO ‧ 2018-10-31

2 Like 0 留言 6518 瀏覽

鐵人賽 Security DAY 14

資安補漏洞，越補越大洞系列第 14 篇

技術 [Day 14] 來玩WebGoat！之2：HTTP Method

昨天把WebGoat安裝好了，今天就趕快來實際玩看看吧～首先利用昨天的指令把WebGoat啟動，並把網頁打開後，會看到一個登入的介面，因此我們需要先點選Reg...

WLLO ‧ 2018-10-29

2 Like 0 留言 6339 瀏覽

鐵人賽 Security DAY 11

資安補漏洞，越補越大洞系列第 11 篇

技術 [Day 11] 挖漏洞補錢包洞

許多研究人員挖掘漏洞可能是為了讓網路世界更安全，也可能是要為了證明自己的能力，但其實挖漏洞還有另一種功能，就是可以透過通報產品漏洞給廠商，賺取漏洞挖掘獎金，而這...

WLLO ‧ 2018-10-26

2 Like 0 留言 5636 瀏覽

鐵人賽 Security DAY 17

資安補漏洞，越補越大洞系列第 17 篇

技術 [Day 17] 來玩WebGoat！之5：SQL Injection (advanced)

今天來繼續下一個課程吧，也就是進階版的SQL Injection技巧，而要使用這些進階版的技巧，就必須要自己本身也熟悉SQL式的使用技巧，如此一來才能活動這項邪...

WLLO ‧ 2018-11-01

22 Like 10 留言 5320 瀏覽

技術詳解安全漏洞的形成與防範

軟體和系統無法避免會出現漏洞。一說起漏洞，有人就會感到氣憤，認為被坑了。其實不然，漏洞的產生是不可避免的。有了漏洞，我們就應該去補救。本文就以漏洞的形成與防治為...

魯大 ‧ 2008-05-23

2 Like 0 留言 5277 瀏覽

鐵人賽 Security DAY 2

資安補漏洞，越補越大洞系列第 2 篇

技術 [Day 2] 國內有哪些漏洞協處單位？

不論國內外，都有不少的組織在協助處理漏洞，今天就先來介紹國內有哪些可以協助處理漏洞的單位，首先是民間組織所建立的平台HITCON ZeroDay。相信資安界的...

WLLO ‧ 2018-10-17

2 Like 1 留言 5158 瀏覽

鐵人賽 Security DAY 6

資安補漏洞，越補越大洞系列第 6 篇

技術 [Day 6] 這個漏洞有多嚴重？ [下]

昨天介紹了CVSS的一些歷史發展，以及CVSSv3.0的項目介紹及基本矩陣群，今天繼續來介紹暫時矩陣群及環境矩陣群是在做什麼的呢？首先，昨天有提到CVSS分數...

WLLO ‧ 2018-10-21

1 Like 1 留言 5053 瀏覽

技術修補 Fortigate SSL VPN Web門戶中的不正當授權漏洞

IThome新聞揭露，經由8月7日Black Hat USA 2019大會中有關三個知名資安品牌的SSL VPN漏洞消息，相關細節新聞請參考其中有關Forti...

mytiny ‧ 2019-08-09

3 Like 0 留言 4175 瀏覽

鐵人賽 Security DAY 3

資安補漏洞，越補越大洞系列第 3 篇

技術 [Day 3] 國際有哪些漏洞協處單位？

昨天介紹了國內兩個可以協助處理漏洞的組織，今天就來介紹幾個國外的，首先就是鼎鼎大名的MITRE。講到MITRE大家可能沒聽過，但講到CVE大家一定有聽過了吧（...

WLLO ‧ 2018-10-18

3 Like 0 留言 4050 瀏覽

鐵人賽 Security DAY 9

資安補漏洞，越補越大洞系列第 9 篇

技術 [Day 9] 找到漏洞好興奮，我想給他一個名份 [上]

資安研究人員往往要耗費大量時間，才能挖掘出一個漏洞，而他們有時也會藉由替漏洞申請CVE編號來證實自己的能力，而今天開始將會用兩天的時間來介紹一個漏洞要符合哪些資...

WLLO ‧ 2018-10-24

2 Like 0 留言 3631 瀏覽

鐵人賽 Security DAY 10

資安補漏洞，越補越大洞系列第 10 篇

技術 [Day 10] 找到漏洞好興奮，我想給他一個名份 [下]

昨天介紹完前3項判斷標準，今天就來講後5項判斷標準吧！後五項的比較像是政策類的判斷，而非昨天令人頭昏眼花的技術類判斷，所以會輕鬆一點。編號發給規則 (Incl...

WLLO ‧ 2018-10-25

2 Like 1 留言 3279 瀏覽

鐵人賽 Security DAY 12

資安補漏洞，越補越大洞系列第 12 篇

技術 [Day 12] 網頁漏洞長的是圓是方？

今天來介紹一個致力全球網路安全非常知名且重要的組織，也就是漏洞開放網頁應用程式安全計畫 (Open Web Application Security Proje...

WLLO ‧ 2018-10-27

4 Like 1 留言 3187 瀏覽

鐵人賽 Security DAY 30

資安補漏洞，越補越大洞系列第 30 篇

技術 [Day 30] 完賽但不是結束

嘿！不知不覺竟然來到第30天了，先稍微寫個完賽感想吧。真的覺得30天發文這個活動很棒，不論寫多寫少，每天都能有至少一小時的時間是在複習舊知識或是學習新知識，而...

WLLO ‧ 2018-11-14

2 Like 0 留言 2874 瀏覽

技術請使用最新版的電商系統，以提高網站的安全性

https://www.ithome.com.tw/news/129525這是一個還蠻新的熱門外掛漏洞，如果你有中獎，請盡快更新版本。在好幾天前，線上觀看了...

OpenCart 資深工匠 ‧ 2019-03-22

1 Like 0 留言 2105 瀏覽

技術部份Fortinet產品加密金鑰漏洞

安全研究人員發現Fortinet防火牆產品FortiGate及端點安全產品Forticlient，因程式撰寫問題導致加密金鑰曝露，可能讓駭客得以攔截用戶資料，或...

mytiny ‧ 2019-11-26

0 Like 1 留言 880 瀏覽

技術 6種常見的JWT attack方法,繞過網站身份驗證

JWT攻擊是使用者向網站發送修改後的JWT，目標是冒充另一個身份的使用者，並繞過身份驗證和存取控制。如果攻擊者能夠使用任意值創建自己的JWT有效令牌，他們能夠升...

raymond0820 ‧ 2024-03-29

0 Like 0 留言 580 瀏覽

技術國軍網路戰聯隊軍士官遭調查局偵辦，攻防演練與竊取將領個資成謎

新聞來源自本網站新聞國軍網路戰聯隊軍士官遭調查局偵辦，攻防演練與竊取將領個資成謎真是衰姣，自己有漏洞不修，等著讓人入侵還怪別人攻擊演習時找出的漏洞，仍然未修補...

mytiny ‧ 2020-06-04

0 Like 0 留言 377 瀏覽

技術揭露 2022 年最常被利用的漏洞

網路安全和基礎結構安全局 (CISA) 剛剛發佈了一份報告，重點介紹了 2022 年最常被利用的漏洞。作為大部分網際網路的反向代理，Cloudflare 處於獨...

Cloudflare_ithelp ‧ 2023-09-26

0 Like 0 留言 261 瀏覽

鐵人賽 Security DAY 9

30日奪旗之旅 - 一個月不間斷研究CTF 系列第 9 篇

技術 Day 09 | [CTF．WEB] 邏輯漏洞 ( 一 ) ：甚麼是邏輯漏洞？

這個部分我會講的比較深入，所以就決定分成兩天來講了。這篇會注重於基礎以及例子，偏向純資訊安全的角度下一篇將會注重於邏輯漏洞在CTF的實踐，大家可以根據自己的情況...

sayakohzk ‧ 2023-09-24 ‧團隊沙培小子

達標好文 技術 [Postx1] 攻擊行為－SQL 資料隱碼攻擊 SQL injection