在這次比賽中,我原本打算專注於 Moblie Development 主題,寫 Flutter。然而,開學之後被 NISRA 的幾位朋友(損友)洗腦。因此,在開賽前兩天,我決定鬼轉 Security 主題,30天內我會寫一些沒碰過的 web 相關的資安筆記。
CSRF 是什麼? 假設你登入了一個網站(例如你的銀行帳戶)並且保持登入狀態。如果你同時訪問了一個惡意網站,這個網站可以在背景中,偷偷地發送一個請求到你的銀行帳...
今天講跨越 SameSite cookie。SameSite 是一種新的 Cookie 屬性,主要用於增強網站的安全性,是為了解決 CSRF 攻擊問題而設計的...
就是向你的網站注入系統命令,原因通常是不當地處理使用者的輸入,然後在後端不加區分地直接執行它,這種情況下攻擊者可以使用這種漏洞來執行各種操作,例如讀取或修改數據...
祝大家中秋節愉快!我自己也沒想到我會寫這個 甚麼是路徑遍歷攻擊? 就是允許駭客讀取、運行網站的伺服器上的任意文件。獲取得東西可能有: 網站程式碼和資料 後...
當您的網站允許使用者上傳文件時,如果沒有正確的驗證和控制,就可能導致檔案上傳的漏洞。此類漏洞可以被駭客利用,甚至可以完全控制伺服器。 什麼是檔案上傳漏洞? 當網...
身份驗證是一個安全機制,旨在確保只有合法的使用者能夠訪問應用程式的受保護資源。當身份驗證機制實施不當時,它可能會暴露於各種安全風險,從而允許惡意使用者繞過這些機...
存取控制是一種保護機制,旨在確保只有經過授權的使用者可以存取資源或執行操作。不當的存取控制實施可能導致安全漏洞,允許未經授權的存取或操作。當攻擊者利用這些漏洞提...
JWT 是什麼 JWT(JSON Web Token)用於在雙方之間安全地傳遞資料。它可以被用來表示用於身份驗證和資料交換的聲明。由於其緊湊和自包含的特性,特別...
什麼是OAuth? OAuth是一個授權框架,讓網站能夠請求對另一個網站使用者的有線訪問。然後使用者無需暴露他們的登入憑據給請求的網站,所以使用者可以自己決定他...
爭用條件漏洞(Race conditions) 當網站同時處理請求而沒有足夠的保護措施時,就會發生這種情況。可能導致多個不同的執行緒同時與相同的資料互動,導致網...