iT邦幫忙

vulnerability相關文章
共有 21 則文章
鐵人賽 Security DAY 5

技術 [Day 5] 這個漏洞有多嚴重? [上]

現在資訊產品的漏洞這麼多,有些影響程度很輕微,放著不理他也不會造成很大的影響,但有些漏洞如果沒修補,就會導致大型悲劇,例如前陣子沸沸揚揚的WannaCry勒索病...

鐵人賽 Security DAY 13

技術 [Day 13] 來玩WebGoat!之1:安裝

在介紹WebGoat的第一天,我們先來介紹如何安裝這套軟體,目前這套軟體在Windows、Linux及OS X上都可以執行。 第一步,先確認電腦上有安裝JRE。...

鐵人賽 Security DAY 15

技術 [Day 15] 來玩WebGoat!之3:HTTP Proxies & OWASP ZAP

接下來進到HTTP Proxies的部分,在這邊主要是要讓讀者可以了解Proxy的概念,以及學會如何使用一些流量攔截工具。 那首先就來介紹一下Proxy是什麼吧...

鐵人賽 Security DAY 1

技術 [Day 1] 漏洞是什麼?能吃嗎?

大家好,本人是個菜鳥分析師,不論是技術學識都仍待加強,去年在被一群好心人士趕鴨子上架騙來參加iT邦幫忙鐵人賽,很感謝各位評審的抬愛,有幸得到優選,今年再度來參賽...

鐵人賽 Security DAY 18

技術 [Day 18] 來玩WebGoat!之6:SQL Injection (advanced) - Blind SQL Injection

接著來介紹一種叫做Blind SQL Injection的技術,它也是SQL Injection的一種,但跟我們之前介紹的SQL Injection有點差異。之...

鐵人賽 Security DAY 7

技術 [Day 7] 漏洞種類百百種? [上]

今天開始來講講漏洞有哪些種類呢?每個漏洞研究人員對於同樣一個漏洞的描述方法都不盡相同,對於漏洞的種類要如何區分,以及分到多細一定有更多的爭論,今天要介紹的就是一...

鐵人賽 Security DAY 8

技術 [Day 8] 漏洞種類百百種? [下]

漏洞種類 CWE 昨天先大致介紹了通用弱點列舉 (Common Weakness Enumeration, CWE)計畫,那要如何在這個計畫中找到弱點資訊呢?...

鐵人賽 Security DAY 16

技術 [Day 16] 來玩WebGoat!之4:SQL Injection

今天我們進到SQL Injection的課程,相信大家或多或少都有聽過他的大名,那到底什麼是SQL Injection呢?首先,SQL是一種跟資料庫進行溝通的語...

鐵人賽 Security DAY 14

技術 [Day 14] 來玩WebGoat!之2:HTTP Method

昨天把WebGoat安裝好了,今天就趕快來實際玩看看吧~ 首先利用昨天的指令把WebGoat啟動,並把網頁打開後,會看到一個登入的介面,因此我們需要先點選Reg...

鐵人賽 Security DAY 11

技術 [Day 11] 挖漏洞補錢包洞

許多研究人員挖掘漏洞可能是為了讓網路世界更安全,也可能是要為了證明自己的能力,但其實挖漏洞還有另一種功能,就是可以透過通報產品漏洞給廠商,賺取漏洞挖掘獎金,而這...

鐵人賽 Security DAY 17

技術 [Day 17] 來玩WebGoat!之5:SQL Injection (advanced)

今天來繼續下一個課程吧,也就是進階版的SQL Injection技巧,而要使用這些進階版的技巧,就必須要自己本身也熟悉SQL式的使用技巧,如此一來才能活動這項邪...

鐵人賽 Security DAY 2

技術 [Day 2] 國內有哪些漏洞協處單位?

不論國內外,都有不少的組織在協助處理漏洞,今天就先來介紹國內有哪些可以協助處理漏洞的單位,首先是民間組織所建立的平台HITCON ZeroDay。 相信資安界的...

鐵人賽 Security DAY 6

技術 [Day 6] 這個漏洞有多嚴重? [下]

昨天介紹了CVSS的一些歷史發展,以及CVSSv3.0的項目介紹及基本矩陣群,今天繼續來介紹暫時矩陣群及環境矩陣群是在做什麼的呢? 首先,昨天有提到CVSS分數...

鐵人賽 Security DAY 3

技術 [Day 3] 國際有哪些漏洞協處單位?

昨天介紹了國內兩個可以協助處理漏洞的組織,今天就來介紹幾個國外的,首先就是鼎鼎大名的MITRE。 講到MITRE大家可能沒聽過,但講到CVE大家一定有聽過了吧(...

鐵人賽 Security DAY 9

技術 [Day 9] 找到漏洞好興奮,我想給他一個名份 [上]

資安研究人員往往要耗費大量時間,才能挖掘出一個漏洞,而他們有時也會藉由替漏洞申請CVE編號來證實自己的能力,而今天開始將會用兩天的時間來介紹一個漏洞要符合哪些資...

鐵人賽 Security DAY 10

技術 [Day 10] 找到漏洞好興奮,我想給他一個名份 [下]

昨天介紹完前3項判斷標準,今天就來講後5項判斷標準吧!後五項的比較像是政策類的判斷,而非昨天令人頭昏眼花的技術類判斷,所以會輕鬆一點。 編號發給規則 (Incl...

鐵人賽 Security DAY 12

技術 [Day 12] 網頁漏洞長的是圓是方?

今天來介紹一個致力全球網路安全非常知名且重要的組織,也就是漏洞開放網頁應用程式安全計畫 (Open Web Application Security Proje...

鐵人賽 Security DAY 30

技術 [Day 30] 完賽但不是結束

嘿!不知不覺竟然來到第30天了,先稍微寫個完賽感想吧。 真的覺得30天發文這個活動很棒,不論寫多寫少,每天都能有至少一小時的時間是在複習舊知識或是學習新知識,而...

技術 學習管理平台Moodle-測驗卷計算題可從遠端執行程式[已修補]

Moodle.org 5月25日發佈計算題題型漏洞 MSA-18-0007: Calculated question type allows remote co...

鐵人賽 DevOps DAY 29
Golang X DevOps 系列 第 29

技術 Day29 - Golang 的 Vulnerability Management

我們講完了 Fuzzing Test 和 Unit Testing,那我們來簡單帶一下 Go 的漏洞風險管理 Vulnerability Managemen...

技術 如何透過 Grafana 將 OCS Inventory CVE Reporting 視覺化

OCS Inventory 可以每天把盤點到的所有軟體與 CPE 幾十萬多筆的受漏洞影響的產品進行比對,然後告知您的資訊資產存在哪些 CVE 漏洞與資訊。 內建...