iT邦幫忙

鐵人檔案

2022 iThome 鐵人賽
回列表
影片教學

從建立環境、驗證漏洞、感受漏洞來學習資安 系列

期望透過手把手的影片教學各種漏洞的環境如何建立跟驗證,並在自己的能力範圍內解釋漏洞的運作原理,讓開始學習資安的新手也可以不用藉由Vulnhub 或是上網冒險搜尋肉機進行漏洞測試,也能夠讓程式開發者透過影片感受到與漏洞的距離其實並非那麼遙遠。

鐵人鍊成 | 共 37 篇文章 | 58 人訂閱 訂閱系列文 RSS系列文 團隊那團名要叫什麼?
DAY 1

達標好文 Day1 - 甚麼是漏洞? 談談我們與漏洞的距離吧。

漏洞(Vulnerability),是指系統開發者因為本身的疏忽,造成系統本身面臨機密性、完整性、可用性上的威脅。漏洞也可視為是開發者的因素導致的Bug,...

2022-09-16 ‧ 由 aeifkz 分享
DAY 2

Day2 - 就決定是你了 - Ubuntu,來幫我打贏這30天的戰役吧~~!!!

虛擬機器(virtual machine),可建立一個環境模擬完整硬體的功能,可在上面安裝與宿主機器不同的作業系統,進而形成一個隔離環境進行測試。常見的免...

2022-09-17 ‧ 由 aeifkz 分享
DAY 3

Day03 - 想像帶著 log4j,架了伺服器,紀錄日誌還唱著歌,突然就被駭客RCE了

大風起兮雲飛揚!安得猛士兮走四方!麻匪,任何時候都要剿,不剿不行,你們想想,你帶著老婆,出了城,吃著火鍋還唱著歌,突然就被麻匪劫了!- 讓子彈飛 (2010)...

2022-09-18 ‧ 由 aeifkz 分享
DAY 4

Day04 - 鯊鯊,你給我翻譯翻譯,甚麼是他X的Log4Shell (作業1)

你給我翻譯翻譯,什麽他媽的是他媽的驚喜!- 讓子彈飛 (2010) 第四天我們要針對建立的漏洞環境開始進行分析。以往分析不外乎兩種方式,靜態分析及動態分析...

2022-09-19 ‧ 由 aeifkz 分享
DAY 5

Day05 - 那些年,我們與黑橘大神一起追的Spring4Shell (作業1解答)

第五天終於要開始進行第二個漏洞環境的建立,名字跟Log4Shell很像,被稱為Spring4Shell。這個漏洞有個有趣的小插曲,在POC程式發表前台灣的國...

2022-09-20 ‧ 由 aeifkz 分享
DAY 6

Day06 - Spring4Shell 跟 Log4Shell 建置環境差不了多少,地獄17層和16層的差別而已

第六天終於要開始進行第二個漏洞環境的分析,但這次會針對這個漏洞設計一個測試用的SpringBoot專案,方便我們之後進行測試用。而測試的程式碼則是透過靜態...

2022-09-21 ‧ 由 aeifkz 分享
DAY 6

Day 06 亂入 - Dirty 漏洞系列,Assemble!!!!

剛好今天有出 DirtyCred 的漏洞 POC,就把相關的影片一併放上,但不算在這30天系列的漏洞裡面,就當作是亂入的部分吧。

2022-09-21 ‧ 由 aeifkz 分享
DAY 7

Day07 - 裁判,可以讓人這樣點了又點,點了又點,點了又點,點了又點嗎?? (作業2)

在上次影片我們建立了一個自己的弱點專案環境,那第七天要開始針對漏洞原理做一些簡單的測試部分。但在測試之前要先觀察一下這個Spring4Shell漏洞的相關...

2022-09-22 ‧ 由 aeifkz 分享
DAY 8

Day08 - 今天一天來建立滿滿的大....IP平台 (作業2解答)

第八天要額外建置一個特殊的環境叫F5 Big-IP,一樣先針對漏洞資訊做個整理。 漏洞相關資訊 漏洞編號 : CVE-2022-1388 CVSS...

2022-09-23 ‧ 由 aeifkz 分享
DAY 9

Day09 - 透過 Confluence OGNL 漏洞來練習一下達可康頗斯 (Docoker Compose)

第九天終於迎來RCE類別弱點的最後一個,這個弱點是發生在一個叫做Confluence的套裝商用軟體身上。一樣先送上漏洞資訊給各位參考一下。 漏洞相關資...

2022-09-24 ‧ 由 aeifkz 分享