iT邦幫忙

鐵人檔案

第 12 屆 iT 邦幫忙鐵人賽
回列表
Security

資安這條路─以自建漏洞環境學習資訊安全 系列

以常見的 Web Application 弱點為主軸,從簡單的漏洞範例程式碼到 Real World 真實環境出現的弱點為範例,透過自建 docker-compose 部屬漏洞環境後解析漏洞,並透過 POC 驗證漏洞存在。

鐵人鍊成 | 共 31 篇文章 | 193 人訂閱 訂閱系列文 RSS系列文 團隊路上撿組員
DAY 11

資安這條路 11 - [Injection] Cross-site request forgery ( CSRF )

CSRF 跨網站請求 我們已經登入網站後,並取得 Cookie Request:/login --> Response:set-cookie...

2020-09-26 ‧ 由 飛飛 分享
DAY 12

資安這條路 12 - [Injection] Server-side request forgery (SSRF)

說明 可以利用這個弱點讓目標伺服器送出惡意攻擊者指定的目標/ IP 送出 HTTP 請求 影響 針對弱點伺服器可連接的其他內部系統、內部服務進行未授...

2020-09-27 ‧ 由 飛飛 分享
DAY 13

資安這條路 13 - [文件處理漏洞] 任意上傳檔案

在實務經驗上,常常有許多網站,針對上傳檔案沒有進行限制,導致可以上傳任意副檔名的檔案,或是限制只有做一半,導致駭客可以繞過。 原理 bypass 解...

2020-09-28 ‧ 由 飛飛 分享
DAY 14

資安這條路 14 - [權限控管漏洞] 水平越權、垂直越權、資料洩漏

越權區分 我是怎麼測試越權的 封包 攔截封包使用的軟體 Fiddler - Web Debugging Proxy - Telerik Charles...

2020-09-29 ‧ 由 飛飛 分享
DAY 15

資安這條路 15 - [Seesion] Session 劫持、 Session 固定

前言 <心態崩ㄉme> 慢下來停下來,該回頭看看自己的努力。 恩!今天是第十五篇,下班了,我不想做事情,不想製圖不想寫文章,好想放棄鐵人賽。 我不在意瀏覽...

2020-09-30 ‧ 由 飛飛 分享
DAY 16

資安這條路 16 - [WebSecurity] Web cache poisoning

今天介紹 快取緩存汙染 在 web 的世界中有許多 Cache 的種類,主要有 Cache 存於伺服器中、CDN 中、 IDP 中、瀏覽器中,瀏覽器的快...

2020-10-01 ‧ 由 飛飛 分享
DAY 17

資安這條路 17 - [WebSecurity] 點擊劫持 clickjacking

前言 鐵人賽一開始規畫的時候是想要手寫整理資安的各大弱點,不過一直覺得字醜,不過還是嘗試看看這樣的呈現方式。 點擊劫持 會偽裝連結使受害者點擊惡意連結...

2020-10-02 ‧ 由 飛飛 分享
DAY 18

資安這條路 18 - [Websecuirty] 開放重定向 Open Redirect

前言 真的是連假大魔王,不過這個假日快結束了, WebSec 也到一段落了,跟大家分享一下今天看到 API 測試資源, https://github.com/o...

2020-10-03 ‧ 由 飛飛 分享
DAY 19

資安這條路 19 - [WebSecurity] Cross-origin resource sharing (CORS)

Cross-origin resource sharing (CORS) 當我們在撰寫網站的時候,常常會遇到要去別的域名引入資源到自己的網站,當自己的網站有...

2020-10-04 ‧ 由 飛飛 分享
DAY 20

資安這條路 20 - [WebSecurity] WebSocket

WebSocket 是現今網站常使用的通訊協定,通常用來於使用者須及時操作的場景,如聊天室,首先執行 WebSocket 的必須先透過 HTTP 進行...

2020-10-05 ‧ 由 飛飛 分享