iT邦幫忙

鐵人檔案

2021 iThome 鐵人賽
回列表
Security

讓Web開發者森77的Hacking Trick 系列

這個系列主要會介紹一些Web Application攻擊手法和一些Real World的案例以及Windows/Linux的Privilege Escalation。
但一些特別常被人提起的Web Attack如SQL Injection, XSS等等可能就不會在這次系列中出現,取而代之的會是像ORM Injection, HTTP Verb Tampering, HTTP Request Smuggling等等有趣的主題。

鐵人鍊成 | 共 30 篇文章 | 9 人訂閱 訂閱系列文 RSS系列文 團隊打醬油
DAY 1

[Day1] 讓開發者森77之前

前言 這個系列主要會介紹一些Web Application攻擊手法和一些Real World的案例以及Windows/Linux的Privilege Escal...

2021-09-16 ‧ 由 克雷格 分享
DAY 2

[Day2] HTTP 基礎

前言 本來想要跳過這章直接進入正題,但如果寫那些攻擊原理的時候邊講HTTP的東西,感覺會有點混亂,於是就有了這篇的誕生。 正文 HTTP 超簡略介紹 HTTP...

2021-09-17 ‧ 由 克雷格 分享
DAY 3

[Day3] HTTP Verb/Method Tampering - HTTP 動詞竄改

前言 相信大家看完上一篇之後,對於HTTP有一個基本的認識了,從這篇開始會介紹一些跟HTTP相關名字有HTTP的一些攻擊。 正文 在上一篇的HTTP基礎後,我...

2021-09-18 ‧ 由 克雷格 分享
DAY 4

[Day4] HTTP Request Smuggling - HTTP 請求走私

前言 上一篇玩完HTTP Method後,接著來玩Request的Data Length吧! 正文 概念 HTTP Request Smuggling是一種很獨...

2021-09-19 ‧ 由 克雷格 分享
DAY 5

[Day5] HTTP Header Injection - HTTP Header 注入

前言 在上一篇的HTTP請求走私之後,已經知道HTTP Header也可以被拿來利用,這篇會更直接的透過Header本身實現攻擊。 正文 簡略介紹 當Web應用...

2021-09-20 ‧ 由 克雷格 分享
DAY 6

[Day6] 滲透測試證照 - OSCP 小分享

前言 前面幾篇寫了一些有趣沒什麼人討論的攻擊手法,中場休息偷懶一下 之前在PTT上看到有人討論OSCP,想說也來分享一下我的經驗 (本篇同步刊載於PTT,鐵人賽...

2021-09-21 ‧ 由 克雷格 分享
DAY 7

[Day7] Local File Inclusion / Remote File Inclusion

前言 中場休息過後,來看一下LFI和RFI吧! 正文 LFI LFI全稱Local File Inclusion,從字面上就可以大致理解這種攻擊手法,簡單來說就...

2021-09-22 ‧ 由 克雷格 分享
DAY 8

[Day8] HTTP Response Splitting - HTTP回應拆分

前言 回來講講其他HTTP攻擊吧! 正文 簡介 在Day2的HTTP基礎中,我們已經知道發送一個Request的格式,也知道Request的結尾會有一組CRLF...

2021-09-23 ‧ 由 克雷格 分享
DAY 9

[Day9] ORM Injection

前言 :你有聽過SQL Injection嗎? :有阿 :那你知道怎麼防範嗎? :參數化查詢、ORM... :那你聽過ORM Injection嗎? := =...

2021-09-24 ‧ 由 克雷格 分享
DAY 10

[Day10 ] NAT Slipstreaming

前言 最近忙到不知道能不能完賽了 QQ 正文 NAT是一種在IP Packet通過Router或防火牆時重寫source/target IP address的技...

2021-09-25 ‧ 由 克雷格 分享