iT邦幫忙

web security相關文章
共有 67 則文章
鐵人賽 Security DAY 7

技術 Day 0x07 Natas Level 5 → Level 6

Natas Level 5 → Level 6 Info Username: natas6 Password: 從上關獲取 URL: http://...

鐵人賽 Security DAY 6

技術 Day 0x06 Natas Level 4 → Level 5

Natas Level 4 → Level 5 Info Username: natas5 Password: 從上關獲取 URL: http://...

鐵人賽 Security DAY 21

技術 [Day 21] 網路攻擊類型 Reply attack & Transitive attack

Reply Attack(重播攻擊):重播攻擊,有時也被稱為"重放攻擊",是一種攻擊方式,在此攻擊中,攻擊者會攔截和記錄一段合法的數據傳...

鐵人賽 Security DAY 5

技術 Day 0x05 Natas Level 3 → Level 4

Natas Level 3 → Level 4 Info Username: natas4 Password: 從上關獲取 URL: http://...

鐵人賽 Security DAY 4

技術 Day 0x04 Natas Level 2 → Level 3

Natas Level 2 → Level 3 Info Username: natas3 Password: 從上關獲取 URL: http://...

鐵人賽 Security DAY 3

技術 Day 0x03 Natas Level 1 → Level 2

Natas Level 1 → Level 2 Info Username: natas2 Password: 從上關獲取 URL: http://...

鐵人賽 Security DAY 2

技術 Day 0x02 Natas Level 0 → Level 1

Natas Level 0 → Level 1 Info Username: natas1 Password: 從上關獲取 URL: http://...

鐵人賽 Security DAY 1

技術 Day 0x01 Intro & Natas Level 0

What is OverTheWire? https://overthewire.org/wargames/ 經典的 wargames 平台,提供多樣的類...

鐵人賽 Security DAY 3

技術 [Day3] 駭客分類&攻擊者分類

今天來介紹駭客的不同的類型,每種類型都有不同的動機和目標。 以下是5種常見的駭客類型: 1. Black hats(黑帽駭客):黑帽駭客是那些惡意的、攻擊性的駭...

鐵人賽 Security DAY 1

技術 [Day1] “你懂資安 資安就會幫你" 資訊安全簡介

前言: 資安其實都是我一直想要了解的部分,但其實資訊都是比較分散,剛好誤打誤撞參加了CompTia security 證照班,想趁鐵人賽時候整理一些簡單入門的資...

技術 【Hacker101 CTF】Micro-CMS v1:如何製造XSS可攻擊的程式碼?

當頁面的內容可以允許使用者輸入,例如:線上筆記軟體, 聊天對話框,如果沒有適當的檢核直接進行儲存,甚至進行執行,就有可能有XSS的疑慮。 /* 正常下 */ c...

鐵人賽 Security DAY 26

技術 [Day26] Business Logic Vulnerabilities - 商業邏輯漏洞

前言 前面介紹過很多各種各樣的web application攻擊手法,今天來介紹Business Logic中引發的問題 正文 Business Logic E...

鐵人賽 Security DAY 25

技術 [Day25] JSON Injection

正文 概念 JSON 是一個以純文字為基礎去生成的簡單結構,可以很簡單的與其他應用程式交換資料、傳遞訊息。但若是讓未經驗證的input在應用程式中執行,就會引發...

鐵人賽 Security DAY 23

技術 [Day23] Session fixation

前言 被Netflix fixation了,差點忘記發文 正文 概念 CWE-384 Authenticating a user, or otherwise...

鐵人賽 Security DAY 22

技術 [Day22] Websocket Injection

前言 :Websocket除了能建立一個雙向通訊通道外,還能幹嘛? :當然是拿來Injection阿 正文 概念 Websocket允許客戶端或Server建立...

鐵人賽 Security DAY 21

技術 [Day21] Remote Code Execution

前言 你知道Remote Code Execution很嚴重,但你知道有哪些可以觸發RCE嗎? 正文 概念 只要能夠Remote Code Execution,...

鐵人賽 Security DAY 20

技術 [Day20] Open Redirect - 開放重定向

前言 Open Redirect漏洞除了拿來釣魚,還有呢? 正文 概念 Open Redirect常常是被Web開發者忽視的漏洞,這讓攻擊者可以驅使一般正常使用...

鐵人賽 Security DAY 19

技術 [Day19 ] Prototype Pollution - Prototype汙染

前言 你使用過Prototype,那你知道它可以被汙染嗎? 正文 概念 Javascript的物件透過Prototype機制相互繼承功能(屬性、方法),這種Ob...

鐵人賽 Security DAY 18

技術 [Day18] Null byte Injection

前言 %00 正文 概念 Null byte Injection是一種將Null Byte(如%00或0x00)注入到某個input中,來bypass一些Sec...

鐵人賽 Security DAY 17

技術 [Day17] XML Signature Wrapping

前言 你的簽名安全嗎? 正文 概念 正常狀況下,對已簽名的數據做出任何修改的動作,都會被接收此message的Web Service輕易檢測到。但是,XSW(X...

鐵人賽 Security DAY 16

技術 [Day16] Arbitrary File Upload

前言 上班倒數 QQ 正文 概念 不管你是要繳交各種報名資料,申請某公司職位或是各種社交帳號和通訊軟體,都會遇到需要上傳功能的時候。若是這些服務,沒有好好檢查用...

鐵人賽 Security DAY 15

技術 [Day15] CSV Injection(Formula Injection)

前言 寫完一半了,灑花你的使用的Sheet Application安全嗎? 正文 概念 CSV是一個用逗號,取值的格式,適合用來作為大量資料在不同應用程式之間的...

鐵人賽 Security DAY 14

技術 [Day14] LDAP Injection

前言 Injection +1 ↑ 正文 概念 LDAP全稱Lightweight Directory Access Protoco,輕量目錄訪問協定。LDAP...

鐵人賽 Security DAY 13

技術 [Day13] Web Cache Poison

前言 你聽過Web Cache,那Web Cache Poison呢? 正文 概念 Cache就是將內容留存一份在Cache Server/Service中,讓...

鐵人賽 Security DAY 12

技術 [Day12] XSLT Injection

前言 又來Injection了! 正文 XSLT,全稱Extensible Stylesheet Language Transformations,這是一種樣式...

鐵人賽 Security DAY 11

技術 [Day11] SSTI (Server Side Template Injection)

前言 系列完成3分之1了,今天來談談SSTI吧 正文 簡介 SSTI,全稱Server Side Template Injection伺服器模板注入,這是一種將...

鐵人賽 Security DAY 9

技術 [Day9] ORM Injection

前言 :你有聽過SQL Injection嗎?:有阿:那你知道怎麼防範嗎?:參數化查詢、ORM...:那你聽過ORM Injection嗎?:= = 正文 簡述...

鐵人賽 Security DAY 8

技術 [Day8] HTTP Response Splitting - HTTP回應拆分

前言 回來講講其他HTTP攻擊吧! 正文 簡介 在Day2的HTTP基礎中,我們已經知道發送一個Request的格式,也知道Request的結尾會有一組CRLF...

鐵人賽 Security DAY 7

技術 [Day7] Local File Inclusion / Remote File Inclusion

前言 中場休息過後,來看一下LFI和RFI吧! 正文 LFI LFI全稱Local File Inclusion,從字面上就可以大致理解這種攻擊手法,簡單來說就...

鐵人賽 Security DAY 5

技術 [Day5] HTTP Header Injection - HTTP Header 注入

前言 在上一篇的HTTP請求走私之後,已經知道HTTP Header也可以被拿來利用,這篇會更直接的透過Header本身實現攻擊。 正文 簡略介紹 當Web應用...