iT邦幫忙

鐵人檔案

第 11 屆 iThome 鐵人賽
回列表
Security

應用程式弱點與它們的產地 系列

快速說明弱點與參考修復方式(?)

參賽天數 16 天 | 共 17 篇文章 | 39 人訂閱 訂閱系列文 RSS系列文
DAY 1

[Day01]源自於同事的困擾

「那個不能說名字的客戶又來客訴了…」「呃…所以是哪個模組?」「我看看…最近新人剛好在動這個模組欸…」「哪個?」「Tiger…」「那你把她的程式整段註解應該就能解...

2019-09-17 ‧ 由 虎虎 分享
DAY 2

[Day02]來自駭客的預告信

「呃…我收到駭客的信了,我轉給你哦~」「之前不是做過資安檢測了嗎?怎麼又有漏洞…」「這個要怎麼解啊…要付錢嗎…」「我來打電話…」 基本上漏洞平台或是弱點平台都...

2019-09-18 ‧ 由 虎虎 分享
DAY 3

[Day03]A1-SQL Injection

還是 OWASP TOP 10 中的影響力及破壞力最高的 Injection包含 SQL Injection、Command Injection、DLL Inj...

2019-09-19 ‧ 由 虎虎 分享
DAY 4

[Day04]A2-Broken Authentication

大家有去過 IKEA 嗎?先別管 IKEA 怎麼唸,你知道它有可以繞過收銀台的方式嗎?直接繞過收銀台!破解IKEA電梯漏洞 婦人狂搬商品離開 台中市南屯區IKE...

2019-09-20 ‧ 由 虎虎 分享
DAY 5

[Day05]A3 - Sensitive Data Exposure

站在預防未來公司密碼外洩的,請問身為資料庫工程師的你,該怎麼設計你的密碼保護邏輯?(A) 加密(B) Hash(C) Encoding(D) TLS 1.2(E...

2019-09-21 ‧ 由 虎虎 分享
DAY 6

[Day06]A4-XML External Entity Injection

沒錯!也是 Injection 的一種!以下簡稱 XXE。 弱點瞄述 話說這個弱點,會發現在 XML 引用內部或外用部資源,由於 XML 解析器不會阻止及限制外...

2019-09-22 ‧ 由 虎虎 分享
DAY 7

[Day07]A5- Broken Access Control

弱點描述 這個弱點主要是先確認頁面是並是「機敏資訊」,再來就是確認機敏資訊存取的權限,故攻擊者可透過網址直接存取,簡單就是說各種證頁面的繞過。 弱點利用 Fo...

2019-09-23 ‧ 由 虎虎 分享
DAY 8

[Day08]A6- Security Misconfiguration

「我在內網掃瞄的時候,發現了不是依規範命名的電腦欸?」「是 Server 嗎?」「那它的 Port 開什麼?」「有 80、445、8080、1433、1521…...

2019-09-24 ‧ 由 虎虎 分享
DAY 9

[Day09]A7-Cross-Site Scripting

常見的弱點 Cross-Site Scripting 也稱 XSS。 弱點描述 資料從不可信賴的來源進入後端網頁程式,而程式再傳送未經驗證的資料到網路瀏覽器中,...

2019-09-25 ‧ 由 虎虎 分享
DAY 10

[Day10]A8- Insecure Deserialization

我們想來弄個"瓶裝綜合果汁"在 500cc 的杯子裡原料預計是 200cc 瓶裝甘蔗汁 + 300cc 的瓶裝蘋果汁做混合但是…原裝甘蔗汁拿...

2019-09-26 ‧ 由 虎虎 分享