鐵人檔案
資安問題層出不窮,究竟駭客是用了什麼手法,而我們又有什麼方法能夠事先避免或防範呢?藉由這30天,我們將藉由一些實際的例子進行探討,力求深入淺出,並同時在某些篇章提供模擬漏洞的網站供讀者練習參考。
WEB的輸入到底在做什麼? 一般web會因應各式處理需求而有不同的輸入,來源有常見的GET、POST、Cookie等,而該怎麼處理使用者可控的變數就是一門很深的...
輸入值的驗證 輸入值的驗證是非常重要的,如果今天忘記加上SQL Injection的過濾器,甚至是一些可利用性的漏洞被發現,有做格式的驗證至少還能將傷害降低,驗...
簡介 存在有讓使用者可控的值,藉以影響輸出畫面的內容,若在這個地方處理不當,使用者可藉由惡意偽造的代碼,使得輸出的內容變成具有意義的 script ,這就稱作...
一些利用手段 簡單的範例: <input type=text name=mail value=<?php echo $_GET['p']; ?>...
一些利用手段 除了在 XSS Pattern〈一〉 舉的例子, XSS 還可用來獲取某些使用者瀏覽器的歷史紀錄, ex:瀏覽過的網站、搜尋過的關鍵字等,以上的手...
一些常用的調適工具 ※推薦安裝 OWASP 提供的 Mantra 套件瀏覽器 (Firefox ver.),其中提供多款熱門調適、攔截用工具。 1.Firebu...
結論 XSS 的簡介差不多到這裡為止,也介紹不少利用的方法及工具,主要還是處理輸入的問題,若能控制得好就能避免 XSS 的發生。要記住, XSS 容易被外界以為...
簡介 在正常的 query 中夾帶不懷好意的 SQL指令,若程式未能正確判斷,便會將這些指令也夾帶進去執行,造成危害。 原理 例如在 web applicati...
利用工具 推薦駭客必備工具: Hacker Bar Windows 下快捷鍵: Alt + A:Load URI Alt + S:Parameter-Parse...
資料萃取 Error based:如果有 SQL 錯誤訊息就可以使用。 常用的方法有 double query: select * from test wher...
