以常見的 Web Application 弱點為主軸,從簡單的漏洞範例程式碼到 Real World 真實環境出現的弱點為範例,透過自建 docker-compose 部屬漏洞環境後解析漏洞,並透過 POC 驗證漏洞存在。
CSRF 跨網站請求 我們已經登入網站後,並取得 Cookie Request:/login --> Response:set-cookie...
說明 可以利用這個弱點讓目標伺服器送出惡意攻擊者指定的目標/ IP 送出 HTTP 請求 影響 針對弱點伺服器可連接的其他內部系統、內部服務進行未授...
在實務經驗上,常常有許多網站,針對上傳檔案沒有進行限制,導致可以上傳任意副檔名的檔案,或是限制只有做一半,導致駭客可以繞過。 原理 bypass 解...
越權區分 我是怎麼測試越權的 封包 攔截封包使用的軟體 Fiddler - Web Debugging Proxy - Telerik Charles...
前言 <心態崩ㄉme>慢下來停下來,該回頭看看自己的努力。恩!今天是第十五篇,下班了,我不想做事情,不想製圖不想寫文章,好想放棄鐵人賽。我不在意瀏覽量,也...
今天介紹 快取緩存汙染 在 web 的世界中有許多 Cache 的種類,主要有 Cache 存於伺服器中、CDN 中、 IDP 中、瀏覽器中,瀏覽器的快...
前言 鐵人賽一開始規畫的時候是想要手寫整理資安的各大弱點,不過一直覺得字醜,不過還是嘗試看看這樣的呈現方式。 點擊劫持 會偽裝連結使受害者點擊惡意連結...
前言 真的是連假大魔王,不過這個假日快結束了, WebSec 也到一段落了,跟大家分享一下今天看到 API 測試資源,https://github.com/om...
Cross-origin resource sharing (CORS) 當我們在撰寫網站的時候,常常會遇到要去別的域名引入資源到自己的網站,當自己的網站有...
WebSocket 是現今網站常使用的通訊協定,通常用來於使用者須及時操作的場景,如聊天室,首先執行 WebSocket 的必須先透過 HTTP 進行...