iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

4 Like 1 留言 3366 瀏覽

鐵人賽 Security DAY 30

資安補漏洞，越補越大洞系列第 30 篇

技術 [Day 30] 完賽但不是結束

嘿！不知不覺竟然來到第30天了，先稍微寫個完賽感想吧。真的覺得30天發文這個活動很棒，不論寫多寫少，每天都能有至少一小時的時間是在複習舊知識或是學習新知識，而...

WLLO ‧ 2018-11-14

1 Like 0 留言 2577 瀏覽

鐵人賽 Security DAY 29

資安補漏洞，越補越大洞系列第 29 篇

技術 [Day 29] 來玩WebGoat！之17：Request Forgeries

今天要來介紹的是請求偽造 (Request Forgeries)的課程，在這個課程中會介紹何謂跨站請求偽造 (Cross-Site Request Forger...

WLLO ‧ 2018-11-13

1 Like 0 留言 4301 瀏覽

鐵人賽 Security DAY 28

資安補漏洞，越補越大洞系列第 28 篇

技術 [Day 28] 來玩WebGoat！之16：Access Control Flaws - Missing Function Level Access Control

大家好，今天原本要繼續介紹昨天不安全的直接物件參考的挑戰，但不知道為什麼，我的每台電腦都無法正常執行當中的關卡，但又沒時間看錯誤在哪裡了，只好先跳到下一個遺失功...

WLLO ‧ 2018-11-12

2 Like 0 留言 3892 瀏覽

鐵人賽 Security DAY 27

資安補漏洞，越補越大洞系列第 27 篇

技術 [Day 27] 來玩WebGoat！之15：Access Control Flaws - Insecure Direct Object References 1

今天開始要介紹的是存取控制缺陷(Access Control Flaws)的課程，裡面包含兩個單元，分別是不安全的直接物件參考 (Insecure Direct...

WLLO ‧ 2018-11-11

1 Like 0 留言 2961 瀏覽

鐵人賽 Security DAY 26

資安補漏洞，越補越大洞系列第 26 篇

技術 [Day 26] 來玩WebGoat！之14：Insecure Communication - Insecure Login

今天要介紹的是不安全的登入 (Insecure Login)，而這一個課程主要要介紹的概念是，如果今天你要設計一個含有登入功能的網頁，一定記得在送出資料的時候要...

WLLO ‧ 2018-11-10

1 Like 0 留言 4337 瀏覽

鐵人賽 Security DAY 25

資安補漏洞，越補越大洞系列第 25 篇

技術 [Day 25] 來玩WebGoat！之13：Authentication Flaws - JWT tokens 3

今天接續昨天最後提到的acces token跟refresh token，直接進入第7步的練習吧！在這一題中，我們需要以昨天提到的access token及re...

WLLO ‧ 2018-11-09

3 Like 0 留言 3448 瀏覽

鐵人賽 Security DAY 24

資安補漏洞，越補越大洞系列第 24 篇

技術 [Day 24] 來玩WebGoat！之12：Authentication Flaws - JWT tokens 2

接續昨天還沒完成的JWT練習，今天來看看第5步的挑戰，其實這一題跟昨天的練習蠻類似的，他只是要我們把JWT解碼後，再把USERID改為WebGoat，並找出密鑰...

WLLO ‧ 2018-11-08

2 Like 1 留言 4030 瀏覽

鐵人賽 Security DAY 23

資安補漏洞，越補越大洞系列第 23 篇

技術 [Day 23] 來玩WebGoat！之11：Authentication Flaws - JWT tokens 1

今天繼續來介紹Authentication Flaws，接著就來看看JWT tokens的部分吧！ JWT tokens JSON Web Token (JWT...

WLLO ‧ 2018-11-07

1 Like 0 留言 4549 瀏覽

鐵人賽 Security DAY 22

資安補漏洞，越補越大洞系列第 22 篇

技術 [Day 22] 來玩WebGoat！之10：Authentication Flaws - Authentication Bypasses

今天來介紹Authentication Flaws這個課程，簡單來說就是利用網頁中身分認證的設計缺陷，進而達到取得帳號權限目的的意思，而在WebGoat中將這個...

WLLO ‧ 2018-11-06

1 Like 0 留言 3043 瀏覽

鐵人賽 Security DAY 21

資安補漏洞，越補越大洞系列第 21 篇

技術 [Day 21] 來玩WebGoat！之9：XXE Injection 3

今天是XXE課程第4步的練習，今天的練習跟昨天的有點類似，只是今天的挑戰要特別說明現代人愛用的REST架構可能會遇到的XXE Injection風險。表現層...

WLLO ‧ 2018-11-05

1 Like 0 留言 3771 瀏覽

鐵人賽 Security DAY 20

資安補漏洞，越補越大洞系列第 20 篇

技術 [Day 20] 來玩WebGoat！之8：XXE Injection 2

今天來解看看挑戰題吧，首先是第3步的題目，題目希望我們可以用XXE的方式列出root目錄下的資料夾。首先先在留言欄輸入test試試看，利用ZAP來攔截訊息，發現...

WLLO ‧ 2018-11-04

1 Like 0 留言 4299 瀏覽

鐵人賽 Security DAY 19

資安補漏洞，越補越大洞系列第 19 篇

技術 [Day 19] 來玩WebGoat！之7：XXE Injection

今天要來介紹的是XML External Entity (XXE) injection漏洞，這個漏洞其實跟之前介紹的SQL Injeciton有那麼一點點的相似...

WLLO ‧ 2018-11-03

1 Like 1 留言 9427 瀏覽

鐵人賽 Security DAY 18

資安補漏洞，越補越大洞系列第 18 篇

技術 [Day 18] 來玩WebGoat！之6：SQL Injection (advanced) - Blind SQL Injection

接著來介紹一種叫做Blind SQL Injection的技術，它也是SQL Injection的一種，但跟我們之前介紹的SQL Injection有點差異。之...

WLLO ‧ 2018-11-02

2 Like 0 留言 5962 瀏覽

鐵人賽 Security DAY 17

資安補漏洞，越補越大洞系列第 17 篇

技術 [Day 17] 來玩WebGoat！之5：SQL Injection (advanced)

今天來繼續下一個課程吧，也就是進階版的SQL Injection技巧，而要使用這些進階版的技巧，就必須要自己本身也熟悉SQL式的使用技巧，如此一來才能活動這項邪...

WLLO ‧ 2018-11-01

1 Like 0 留言 6999 瀏覽

鐵人賽 Security DAY 16

資安補漏洞，越補越大洞系列第 16 篇

技術 [Day 16] 來玩WebGoat！之4：SQL Injection

今天我們進到SQL Injection的課程，相信大家或多或少都有聽過他的大名，那到底什麼是SQL Injection呢？首先，SQL是一種跟資料庫進行溝通的語...

WLLO ‧ 2018-10-31

2 Like 0 留言 15313 瀏覽

鐵人賽 Security DAY 15

資安補漏洞，越補越大洞系列第 15 篇

技術 [Day 15] 來玩WebGoat！之3：HTTP Proxies & OWASP ZAP

接下來進到HTTP Proxies的部分，在這邊主要是要讓讀者可以了解Proxy的概念，以及學會如何使用一些流量攔截工具。那首先就來介紹一下Proxy是什麼吧...

WLLO ‧ 2018-10-30

2 Like 0 留言 6960 瀏覽

鐵人賽 Security DAY 14

資安補漏洞，越補越大洞系列第 14 篇

技術 [Day 14] 來玩WebGoat！之2：HTTP Method

昨天把WebGoat安裝好了，今天就趕快來實際玩看看吧～首先利用昨天的指令把WebGoat啟動，並把網頁打開後，會看到一個登入的介面，因此我們需要先點選Reg...

WLLO ‧ 2018-10-29

1 Like 2 留言 19607 瀏覽

鐵人賽 Security DAY 13

資安補漏洞，越補越大洞系列第 13 篇

技術 [Day 13] 來玩WebGoat！之1：安裝

在介紹WebGoat的第一天，我們先來介紹如何安裝這套軟體，目前這套軟體在Windows、Linux及OS X上都可以執行。第一步，先確認電腦上有安裝JRE。...

WLLO ‧ 2018-10-28