鐵人檔案
跨站請求偽造是甚麼? 📌 想像你有張「銀行通行證」,只要帶著它銀行就相信你是本人,可以轉帳 CSRF 就像有人在你不知情時,把你帶到銀行櫃檯 利用你沒拔掉的通行...
怎麼把菜送到顧客手上? API → 餐廳的點餐窗口 認證/授權就是窗口的身分檢查(誰可以點什麼菜) OAuth2 → 規定一套「代客下單」的流程 第三...
日誌是甚麼? 📌 記錄誰進來、什麼時間、做了什麼 如果你沒有日誌,發生壞事後就像沒監視器、沒目擊者,什麼都查不到 監控就是不斷看日誌,當出現「怪怪的行為」時系...
管理漏洞是甚麼? 📌 家裡找出所有破損的窗戶(漏洞)、記錄在哪扇窗 評估哪扇最容易被小偷翻入(可被利用性) 這扇窗裡藏的是不是貴重物品(資產價值) 安排修理的...
惡意軟體是甚麼? 📌 像是電腦界的病毒,它會偷偷跑進你的系統 偷你的資料、讓電腦變慢、甚至控制整台電腦 有些是透過郵件附件、有些是網站下載、有些藏在看似安全的...
SSRF是甚麼? 📌 你的網站像是一位助理,你很忙請他幫你去拿東西 當這位助理可以被騙去幫壞人拿東西 甚至跑到你家後院拿東西 結果把機密交給攻擊者! 攻擊原理...
權限怎麼升級? 📌 取得初始存取 → 權限升級 → 蒐集憑證 → 橫向移動 → 進一步控制 權限升級 → 小偷先闖入隔壁的普通房間,然後找到鑰匙變成房東 橫向...
如何尋找威脅? 📌 Hunting 幫你早一步發現威脅,DFIR 幫你把事件調查清楚並回復正常 威脅搜尋 → 主動去找還沒被自動系統發現的壞人行為 數位鑑識...
雲端安全是甚麼? 📌 把你的伺服器租到別人的大樓 房東 → 負責大樓結構(physical host、hypervisor) 你 → 負責自己房間的門鎖、東西怎...
心得 一個月的時間,說長不長,說短不短 還記得當初在選擇組別的時候,心裡其實非常緊張 畢竟資安聽起來就是一個很專業、很複雜的領域 我真的很擔心自己會不會能力不夠...
