本篇是資安入門與實務應用介紹系列中的最後一篇文,在這篇文中會以「資安的核心思維」為主線,帶你們回顧基本理論、常用防禦模型,並展望未來三大技術趨勢與治理重點,讓你...
雖然區塊鏈技術本身強調「安全、透明、不可竄改」, 但它的應用層 —— 特別是 智能合約(Smart Contract) —— 仍然存在許多資安風險。 這些漏洞往...
隨著網路攻擊的手段日益複雜,APT(Advanced Persistent Threat) 攻擊已經成為各大企業與政府機構的最大資安威脅之一。 APT 攻擊是一...
區塊鏈技術自比特幣問世以來,逐漸影響了全球金融與交易系統。然而,隨著區塊鏈技術的普及,它也帶來了全新的資安挑戰。從數字貨幣的詐騙、智能合約漏洞,到去中心化應用(...
在現代企業與個人資安事件中,「勒索軟體」已經成為最具破壞力的攻擊之一。 這類惡意程式會加密受害者的檔案,接著要求支付贖金(通常以加密貨幣)才能取回資料。 今天我...
很多人想看網站的 HTTP 層級行為(請求、回應、Header、狀態碼),但遇到 HTTPS 就乾脆放棄。其實最簡單、最安全的方式,是用瀏覽器內建的 DevTo...
前一篇提到漏洞管理與補丁的重要性,今天就用兩個真實案例來說明: Heartbleed(OpenSSL 漏洞) 和 Log4Shell(Log4j 漏洞)。 這兩...
前言要在同一個畫面同時看到「站名」與「幾分鐘到」,關鍵在於兩份資料能不能對得上。沿用昨天的規則:欄位用小駝峰、時間用 ISO 8601(含時區)、持續時間用秒、...
為什麼先把「寫法」講好資料每天都可能變,但寫法要固定。固定的寫法能讓介面設計、測試、自動化與協作變簡單:欄位看名字就懂、錯誤一眼能判斷、時間不用猜。今天把三件事...
目標 完成一份 Postman Collection,包含「站/路線(固定)」與「到站(即時)」兩支請求。 以按鈕方式發送兩次請求並取得成功回應,保存為學習成...
目標:1.規劃「到站小看板」版面與文案。2.訂出資料新鮮度(SLO)與顯示規則,確保資訊清楚、穩定、可預期。 介面草圖如下: [ 到站小看板|市政府站(往○○方...
前言:今天先不急著去按任何按鈕,把心力放在「看懂官方的說明頁」。理由很簡單:要畫畫面、決定多久更新一次,都要建立在「我知道去哪裡問、要帶什麼、回來長怎樣」這三件...
今天談一個企業資安最實務也最重要的環節:漏洞管理與補丁(Patch)流程。 紅隊可能會利用漏洞入侵,藍隊必須透過有效的漏洞管理與補丁流程把風險降下來。這一段不是...
今天談一個實務上很常見的概念:紅隊(Red Team)與藍隊(Blue Team) 的對抗演練。簡單說,紅隊像攻擊方,藍隊像防守方;透過演練可以驗證一套防禦是否...
在前面的幾天,我透過 Nmap 和 Wireshark 初步了解了網路服務與封包分析。 今天的主題是「滲透測試」(Penetration Testing),也就...
今天的實作是學習使用 Wireshark 來捕獲和分析網路封包。Wireshark 是一款強大的封包捕獲與分析工具,適合用來檢視網路中流動的資料,對於發現不明流...
前言每天早上我在臺北等公車,手機上的不同 App 有時給出不同的到站時間。不是誰故意騙人,而是大家拿資料的方式不一樣、更新時間也不一致。把資料透過「同一個窗口」...
滲透測試(Penetration Testing)的一個完整流程。滲透測試不是「亂砍主機」,而是模擬攻擊者來找出弱點、驗證防護效果,最後把發現回饋給防護方。整個...
今天進入一個非常現實、卻最常被忽略的主題——社交工程。 這類攻擊不是靠技術突破,而是靠「騙人」。換句話說,駭客不一定入侵你的電腦,而是入侵你的信任。 一、什麼...
介紹一下在 Windows 的幾項重要安全機制,因為 Windows 在桌面與企業環境都很常見,懂它們的用途與限制很實用。 一、UAC(User Accoun...
今天來談一個更貼近日常的主題──惡意軟體(Malware)。 這類威脅不只是駭客工具,也可能是釣魚郵件夾帶的附件、破解遊戲的暗藏程式、甚至瀏覽器擴充功能中的惡意...
今天來實作如何用 Nmap 掃描 自己的電腦(localhost),了解有哪些 port 開放、服務是什麼。全程只對本機操作,安全、合法、流程大約5–15 分鐘...
開場白 這篇提供 3 個「10–15 分鐘可完成」的小任務: 啟用 DNS over HTTPS(DoH) 開啟 瀏覽器 HTTPS-Only...
另外來介紹一下CSRF(Cross-Site Request Forgery),這一種是把「受害者已登入的權限」拿來做壞事的攻擊方式。攻擊者誘導受害者在已登入的...
今天介紹一下 XSS,很實用也很常見。XSS 本質上是「把攻擊腳本塞進網站,讓其他使用者在不知情下執行惡意 JavaScript」,結果可能是竊取 Cookie...
來介紹一下講端點防護的概念,重點放在「防毒/端點檢測與回應(AV / EDR)」的差別,以及 Windows Defender 在整個防護架構裡扮演的角色。...
開場白 網站上線後,最常遇到的不是「被駭入資料庫」,而是掃描器、機器人與濫用流量。本篇聚焦 Cloudflare Free 方案的「點選式」配置,搭配 Verc...
今天來講個蠻基礎但超重要的主題 —— 作業系統的安全機制。 很多人學資安只想玩駭客工具,但其實不懂 OS 安全,根本不知道攻擊與防禦在幹嘛。 這篇會講 Wind...
小背景 在這一篇中,我們將深入探討 Zero Trust(零信任)安全模型,這是一種基於「假設網路已被攻破」的安全架構。隨著企業越來越依賴雲端應用,並且員工的工...
今天不講太多學術的,直接上手做兩件事:確認網站是不是安全連線(HTTPS/憑證),以及練習辨識一封可疑郵件。這兩個都是蠻實用又簡單的操作。 為什麼做這兩件事?...