現在資訊發展快速,各式各樣的資訊產品也不斷推陳出新,有的廠商只考慮到產品功能性,卻忽略了其安全性;有的廠商很認真修補漏洞,但還是常常被發現產品有漏洞存在,總之就是防不勝防。而國內外有那些處理漏洞的單位?他們是如何運作的?如果自己發現漏洞應該如何處理?這次利用30天,就請各位讀者跟我一起認識各種千奇百怪創意十足的資安漏洞吧!
今天是XXE課程第4步的練習,今天的練習跟昨天的有點類似,只是今天的挑戰要特別說明現代人愛用的REST架構可能會遇到的XXE Injection風險。 表現層...
今天來介紹Authentication Flaws這個課程,簡單來說就是利用網頁中身分認證的設計缺陷,進而達到取得帳號權限目的的意思,而在WebGoat中將這個...
今天繼續來介紹Authentication Flaws,接著就來看看JWT tokens的部分吧! JWT tokens JSON Web Token (JWT...
接續昨天還沒完成的JWT練習,今天來看看第5步的挑戰,其實這一題跟昨天的練習蠻類似的,他只是要我們把JWT解碼後,再把USERID改為WebGoat,並找出密鑰...
今天接續昨天最後提到的acces token跟refresh token,直接進入第7步的練習吧!在這一題中,我們需要以昨天提到的access token及re...
今天要介紹的是不安全的登入 (Insecure Login),而這一個課程主要要介紹的概念是,如果今天你要設計一個含有登入功能的網頁,一定記得在送出資料的時候要...
今天開始要介紹的是存取控制缺陷(Access Control Flaws)的課程,裡面包含兩個單元,分別是不安全的直接物件參考 (Insecure Direct...
大家好,今天原本要繼續介紹昨天不安全的直接物件參考的挑戰,但不知道為什麼,我的每台電腦都無法正常執行當中的關卡,但又沒時間看錯誤在哪裡了,只好先跳到下一個遺失功...
今天要來介紹的是請求偽造 (Request Forgeries)的課程,在這個課程中會介紹何謂跨站請求偽造 (Cross-Site Request Forger...
嘿!不知不覺竟然來到第30天了,先稍微寫個完賽感想吧。 真的覺得30天發文這個活動很棒,不論寫多寫少,每天都能有至少一小時的時間是在複習舊知識或是學習新知識,而...