鐵人檔案
曾經撰寫過《資安這條路─以自建漏洞環境學習資訊安全》和《資安這條路─系統化學習滲透測試》再次感謝過去支持我的邦友們,這一次我們將針對網站安全的內容深度講解,期待透過這個系列為大家複習與認識其他網站相關漏洞。
前言 延續昨天提到的 SQL injection 資料庫注入的攻擊,今天探討兩個主題 使用自動化攻擊工具攻擊 sqlmap 如果進行過濾是否可以防範 實作攻...
學習 ORM 與上傳檔案漏洞 ORM ORM 是什麼 ORM(Object-Relational Mapping,物件關聯對應)是一種程式設計技術,用來在物件導...
前言 隨著網站架構和應用程式越來越依賴 NoSQL 資料庫(例如 MongoDB、CouchDB、Redis 等),NoSQL injection 攻擊變得愈發...
前言 延續昨日的練習,Nodejs 中 Mongoose 本身有驗證機制,因此了解框架內部含有的安全機制,也是開發者需要了解的內容。 NoSQL Injecti...
什麼是 XML? XML(可擴展標記語言,Extensible Markup Language)是一種常用於儲存和傳輸資料的語言,其結構類似於 HTML。 不同...
前言 許多網站中會進行資料處理和檔案管理的功能,但如果這些功能的實作不夠謹慎,可能會引發嚴重的安全漏洞。Command Injection(指令注入)是其中一種...
前言 模板引擎被廣泛應用於動態生成 HTML 頁面。然而,如果模板引擎未能妥善處理使用者輸入,將會產生嚴重的安全風險,這就是所謂的 SSTI (Server-S...
前言 在網站開發中,Command injection(指令注入)一直是一個嚴重的安全威脅。這種攻擊方式允許惡意使用者透過操縱應用程式的輸入,執行未經授權的系統...
前言 許多網站為了要傳遞資料,會將資料的序列化和反序列化的行為。 序列化與反序列化的過程允許開發者將物件或資料結構轉換成可傳輸的格式,然後再還原回原來的狀態。...
前言 伺服器代表使用者或應用程式本身發起請求是很常見的功能。以下是一些具體的例子: 第三方 API 整合: 天氣資訊:應用程式可能需要從氣象局的 API 取...
