iT邦幫忙

鐵人檔案

2024 iThome 鐵人賽
回列表
Security

資安這條路:系統化學習網站安全與網站滲透測試 系列

曾經撰寫過《資安這條路─以自建漏洞環境學習資訊安全》和《資安這條路─系統化學習滲透測試》再次感謝過去支持我的邦友們,這一次我們將針對網站安全的內容深度講解,期待透過這個系列為大家複習與認識其他網站相關漏洞。

鐵人鍊成 | 共 30 篇文章 | 21 人訂閱 訂閱系列文 RSS系列文 團隊妳有什麼好 idea 嗎
DAY 1

資安這條路:Day 1 建立環境與認識網站架構

前言 為什麼從建立一個測試網站開始,在網站安全教學的過程中,如果直接從工具上手,多半會變成腳本小子,你會知道工具怎麼用,但不知道底層原理是什麼,因此這個系列會透...

2024-09-15 ‧ 由 飛飛 分享
DAY 2

資安這條路:Day 2 了解使用者輸入與輸出與前端關係

前言 今天的更新內容主要是建立一個簡單的網頁伺服器,並透過表單與API來接受使用者的輸入。 我們將一步一步地講解每個部分的設計理念,以及可能存在的安全問題,特別...

2024-09-16 ‧ 由 飛飛 分享
DAY 3

資安這條路:Day 3 深入探索 DNS:從基礎概念到資安風險

Day 3 前兩篇文章我們已經設定好環境,並更深入了解前後端的概念。現在,我們繼續拆解,當我們面對一個網站時,還會發現哪些架構呢? 以我們的 nodelab.f...

2024-09-17 ‧ 由 飛飛 分享
DAY 4

資安這條路:Day 4 深入理解 HTTP 協定中的 CRLF 與漏洞實作

HTTP 協定中的 CRLF 前三篇介紹了網站架構、環境建立、域名系統等基礎知識。這次我們將深入探討 HTTP 協定中的 CRLF,理解其工作原理以及與網站安全...

2024-09-18 ‧ 由 飛飛 分享
DAY 5

資安這條路:Day5 深入探索HTTP請求與回應:安全性與身分驗證的關鍵概念

前言 本篇文章將針對 HTTP 協定進行深入探討,並設計實作實驗(lab)來幫助讀者更好地理解這個重要的網路協定。文章將涵蓋以下三個關鍵主題: 請求方法:介...

2024-09-19 ‧ 由 飛飛 分享
DAY 6

資安這條路:Day6 資料庫安全與使用者管理系統實作、API 安全

上一篇提到基於 Base64 的身份驗證,以及寫死帳號密碼於程式碼是非常不安全的事情。 在這個地方提到資料庫相關的概念,針對資料庫,我們將設計幾個問題讓大家更...

2024-09-20 ‧ 由 飛飛 分享
DAY 7

資安這條路:Day 7 從登入註冊功能理解 Cookie、Session

今日我們將延續昨天的內容,從網站開發中常見的登入註冊功能切入,引導大家逐步認識 Cookie、Session 等重要概念。 透過思考問題引導大家學習 一、 從使...

2024-09-21 ‧ 由 飛飛 分享
DAY 8

資安這條路:Day 8 從 Cookie HTTPOnly 了解 Session Hijacking

漏洞成因 當使用者能夠向網站提交 HTML 或 JavaScript 程式碼,而網站前端未能適當過濾或轉義這些輸入時,瀏覽器將解析這些程式碼,可能導致 HTML...

2024-09-22 ‧ 由 飛飛 分享
DAY 9

資安這條路:Day 9 從登入功能了解 SQL injection

拆解 SQL injection 問題 a) 現象(question) SQL injection 是常見且危險的 Web 應用程式漏洞 許多資料外洩事件源於...

2024-09-23 ‧ 由 飛飛 分享
DAY 10

資安這條路:Day 10 從文章功能了解 Union Select SQL injection

昨天最後介紹了三大點攻擊的方向,今天更詳細的拆解內容。 基本認證繞過 為什麼可以這麼做 SQL 查詢通常由固定的結構和使用者輸入組成。 如果輸入未經適當處理就...

2024-09-24 ‧ 由 飛飛 分享