iT邦幫忙

web security相關文章
共有 26 則文章
鐵人賽 Modern Web DAY 29

技術 29. [WEB] 網站常見的資安問題有哪些?

經過一番努力,精心打造的網站眼看就要部屬到正式環境了;但在網站對外之前,你有先仔細思考過你的網站安不安全嗎?在本系列文前面的旅程中,我們討論了許多語言特性、效...

技術 玩通靈 - Intigriti's 0521 XSS challenge (Clickjacking)

前言 這是之前 Huli 大在前端社團分享的 國外 XSS 挑戰。 最近比較有時間來分享,當時 「從0~提交通過」的通靈思路。 組字串的細節可以參考 Huli...

技術 寫Web不能不知道的常見網路攻擊:CSRF

CSRF全名是 Cross Site Request Forgery,翻成中文就是跨站請求偽造。 攻擊原理 因為一般cookie是存放在瀏覽器的,網頁開發者不必...

鐵人賽 Security DAY 5

技術 [Day5] HTTP Header Injection - HTTP Header 注入

前言 在上一篇的HTTP請求走私之後,已經知道HTTP Header也可以被拿來利用,這篇會更直接的透過Header本身實現攻擊。 正文 簡略介紹 當Web應用...

鐵人賽 Security DAY 4

技術 [Day4] HTTP Request Smuggling - HTTP 請求走私

前言 上一篇玩完HTTP Method後,接著來玩Request的Data Length吧! 正文 概念 HTTP Request Smuggling是一種很獨...

鐵人賽 Security DAY 11

技術 [Day11] SSTI (Server Side Template Injection)

前言 系列完成3分之1了,今天來談談SSTI吧 正文 簡介 SSTI,全稱Server Side Template Injection伺服器模板注入,這是一種將...

鐵人賽 Security DAY 1

技術 [Day1] 讓開發者森77之前

前言 這個系列主要會介紹一些Web Application攻擊手法和一些Real World的案例以及Windows/Linux的Privilege Escal...

鐵人賽 Security DAY 19

技術 [Day19 ] Prototype Pollution - Prototype汙染

前言 你使用過Prototype,那你知道它可以被汙染嗎? 正文 概念 Javascript的物件透過Prototype機制相互繼承功能(屬性、方法),這種Ob...

鐵人賽 Security DAY 3

技術 [Day3] HTTP Verb/Method Tampering - HTTP 動詞竄改

前言 相信大家看完上一篇之後,對於HTTP有一個基本的認識了,從這篇開始會介紹一些跟HTTP相關名字有HTTP的一些攻擊。 正文 在上一篇的HTTP基礎後,我...

鐵人賽 Security DAY 15

技術 [Day15] CSV Injection(Formula Injection)

前言 寫完一半了,灑花 你的使用的Sheet Application安全嗎? 正文 概念 CSV是一個用逗號,取值的格式,適合用來作為大量資料在不同應用程式之間...

鐵人賽 Security DAY 14

技術 [Day14] LDAP Injection

前言 Injection +1 ↑ 正文 概念 LDAP全稱Lightweight Directory Access Protoco,輕量目錄訪問協定。LDAP...

鐵人賽 Security DAY 13

技術 [Day13] Web Cache Poison

前言 你聽過Web Cache,那Web Cache Poison呢? 正文 概念 Cache就是將內容留存一份在Cache Server/Service中,讓...

鐵人賽 Security DAY 18

技術 [Day18] Null byte Injection

前言 %00 正文 概念 Null byte Injection是一種將Null Byte(如%00或0x00)注入到某個input中,來bypass一些Sec...

鐵人賽 Security DAY 17

技術 [Day17] XML Signature Wrapping

前言 你的簽名安全嗎? 正文 概念 正常狀況下,對已簽名的數據做出任何修改的動作,都會被接收此message的Web Service輕易檢測到。但是,XSW(X...

鐵人賽 Security DAY 2

技術 [Day2] HTTP 基礎

前言 本來想要跳過這章直接進入正題,但如果寫那些攻擊原理的時候邊講HTTP的東西,感覺會有點混亂,於是就有了這篇的誕生。 正文 HTTP 超簡略介紹 HTTP...

鐵人賽 Security DAY 8

技術 [Day8] HTTP Response Splitting - HTTP回應拆分

前言 回來講講其他HTTP攻擊吧! 正文 簡介 在Day2的HTTP基礎中,我們已經知道發送一個Request的格式,也知道Request的結尾會有一組CRLF...

鐵人賽 Security DAY 9

技術 [Day9] ORM Injection

前言 :你有聽過SQL Injection嗎? :有阿 :那你知道怎麼防範嗎? :參數化查詢、ORM... :那你聽過ORM Injection嗎? := =...

鐵人賽 Security DAY 26

技術 [Day26] Business Logic Vulnerabilities - 商業邏輯漏洞

前言 前面介紹過很多各種各樣的web application攻擊手法,今天來介紹Business Logic中引發的問題 正文 Business Logic E...

鐵人賽 Security DAY 20

技術 [Day20] Open Redirect - 開放重定向

前言 Open Redirect漏洞除了拿來釣魚,還有呢? 正文 概念 Open Redirect常常是被Web開發者忽視的漏洞,這讓攻擊者可以驅使一般正常使用...

鐵人賽 Security DAY 7

技術 [Day7] Local File Inclusion / Remote File Inclusion

前言 中場休息過後,來看一下LFI和RFI吧! 正文 LFI LFI全稱Local File Inclusion,從字面上就可以大致理解這種攻擊手法,簡單來說就...

鐵人賽 Security DAY 12

技術 [Day12] XSLT Injection

前言 又來Injection了! 正文 XSLT,全稱Extensible Stylesheet Language Transformations,這是一種樣式...

鐵人賽 Security DAY 21

技術 [Day21] Remote Code Execution

前言 你知道Remote Code Execution很嚴重,但你知道有哪些可以觸發RCE嗎? 正文 概念 只要能夠Remote Code Execution,...

鐵人賽 Security DAY 22

技術 [Day22] Websocket Injection

前言 :Websocket除了能建立一個雙向通訊通道外,還能幹嘛? :當然是拿來Injection阿 正文 概念 Websocket允許客戶端或Server建立...

鐵人賽 Security DAY 25

技術 [Day25] JSON Injection

正文 概念 JSON 是一個以純文字為基礎去生成的簡單結構,可以很簡單的與其他應用程式交換資料、傳遞訊息。但若是讓未經驗證的input在應用程式中執行,就會引發...

鐵人賽 Security DAY 16

技術 [Day16] Arbitrary File Upload

前言 上班倒數 QQ 正文 概念 不管你是要繳交各種報名資料,申請某公司職位或是各種社交帳號和通訊軟體,都會遇到需要上傳功能的時候。若是這些服務,沒有好好檢查用...

鐵人賽 Security DAY 23

技術 [Day23] Session fixation

前言 被Netflix fixation了,差點忘記發文 正文 概念 CWE-384 Authenticating a user, or otherwise...