iT邦幫忙

鐵人檔案

第 12 屆 iT 邦幫忙鐵人賽
回列表
Security

資安這條路─以自建漏洞環境學習資訊安全 系列

以常見的 Web Application 弱點為主軸,從簡單的漏洞範例程式碼到 Real World 真實環境出現的弱點為範例,透過自建 docker-compose 部屬漏洞環境後解析漏洞,並透過 POC 驗證漏洞存在。

鐵人鍊成 | 共 31 篇文章 | 159 人訂閱 訂閱系列文 RSS系列文 團隊路上撿組員
DAY 1

達標好文 資安這條路 01 - 前言

前言 嘿,各位好,打給賀,這裡是飛飛,雖然不知道 30 天寫不寫得完,但我會好好努力的,已經先把每一天要寫的題目都規劃好了。 這次架設資安環境會選擇使用 doc...

2020-09-16 ‧ 由 飛飛 分享
DAY 2

達標好文 資安這條路 02 - [基礎知識] HTML、JavaScript、HTTP

前端 vs 後端 今天講一些基礎知識,以下是前後端小小的差異 (X HTML LAB:使用 githubpage 建立一個個人網頁 註冊 Github :...

2020-09-17 ‧ 由 飛飛 分享
DAY 3

資安這條路 03 - [基礎知識] Docker & Docker-compose & PHP 基本資訊

安裝 docker & docker-compose 老樣子為了追求快速,因此透過 docker-compose 建立一個 PHP 環境來練習 快速安...

2020-09-18 ‧ 由 飛飛 分享
DAY 4

達標好文 資安這條路 04 - [Injection] SQL injection

前言 這個單元我們會介紹 SQL injection 並在單元之後自己建立一個 SQL injection 的 LAB 來練習,而在過程當中我們會有 port...

2020-09-19 ‧ 由 飛飛 分享
DAY 5

資安這條路 05 - [Injection] Code injection - XML injection

XML external entity (XXE) injection XML external entity injection 也就是 XXE,可以透過...

2020-09-20 ‧ 由 飛飛 分享
DAY 6

資安這條路 06 - [Injection] Code injection - Local File Inclusion, Remote File Inclusion

Code injection 也就是弱點出在程式碼當中 LFI ( Local File Inclusion ) 什麼是 LFI LFI 最大的漏洞成...

2020-09-21 ‧ 由 飛飛 分享
DAY 7

資安這條路 07 - [Injection] Command injection

今天要介紹的 Command injection ,也就是可以透過這個漏洞去執行伺服器的命令 ( Command ) ,通常有這個漏洞就可以做到遠端程式碼執行(...

2020-09-22 ‧ 由 飛飛 分享
DAY 8

資安這條路 08 - [injection] CRLF injection

CRLF injection 什麼是 CRLF 我們可以查看 Day 2 我介紹的 HTTP 中請求跟回應,有一個 CRLF ,用來告訴伺服器說我們已經換行了...

2020-09-23 ‧ 由 飛飛 分享
DAY 9

資安這條路 09 - [Injection] Server-side template injection

Template & template 引擎 提到弱點之前要先跟大家談談什麼是 Template ,如果你本身有在開發網站的人,可能對樣板引擎會比較熟...

2020-09-24 ‧ 由 飛飛 分享
DAY 10

資安這條路 10 - [跨站腳本漏洞] Store XSS , Relate XSS , DOM XSS

XSS 注入惡意的 HTML 或 JavaScript 到受害者瀏覽的網頁 全名為 Cross-Site Scripting 跨網站腳本 因縮寫跟 CS...

2020-09-25 ‧ 由 飛飛 分享