iT邦幫忙

鐵人檔案

2023 iThome 鐵人賽
回列表
Security

從 Moblie Development 主題被損友洗腦鬼轉 Security 的我真的可以完賽嗎? 系列

在這次比賽中,我原本打算專注於 Moblie Development 主題,寫 Flutter。然而,開學之後被 NISRA 的幾位朋友(損友)洗腦。因此,在開賽前兩天,我決定鬼轉 Security 主題,30天內我會寫一些沒碰過的 web 相關的資安筆記。

鐵人鍊成 | 共 30 篇文章 | 8 人訂閱 訂閱系列文 RSS系列文 團隊好想放假大學
DAY 11

[Day 11]CSRF(跨站請求偽造)攻擊(上)

CSRF 是什麼? 假設你登入了一個網站(例如你的銀行帳戶)並且保持登入狀態。如果你同時訪問了一個惡意網站,這個網站可以在背景中,偷偷地發送一個請求到你的銀行帳...

2023-09-26 ‧ 由 ali8888 分享
DAY 12

[Day 12]CSRF(跨站請求偽造)攻擊 - SameSite

今天講跨越 SameSite cookie。SameSite 是一種新的 Cookie 屬性,主要用於增強網站的安全性,是為了解決 CSRF 攻擊問題而設計的...

2023-09-27 ‧ 由 ali8888 分享
DAY 13

[Day 13]OS 命令注入攻擊

就是向你的網站注入系統命令,原因通常是不當地處理使用者的輸入,然後在後端不加區分地直接執行它,這種情況下攻擊者可以使用這種漏洞來執行各種操作,例如讀取或修改數據...

2023-09-28 ‧ 由 ali8888 分享
DAY 14

[Day 14]路徑遍歷攻擊

祝大家中秋節愉快!我自己也沒想到我會寫這個 甚麼是路徑遍歷攻擊? 就是允許駭客讀取、運行網站的伺服器上的任意文件。獲取得東西可能有: 網站程式碼和資料 後...

2023-09-29 ‧ 由 ali8888 分享
DAY 15

[Day 15]檔案上傳漏洞

當您的網站允許使用者上傳文件時,如果沒有正確的驗證和控制,就可能導致檔案上傳的漏洞。此類漏洞可以被駭客利用,甚至可以完全控制伺服器。 什麼是檔案上傳漏洞? 當網...

2023-09-30 ‧ 由 ali8888 分享
DAY 16

[Day 16]身份驗證漏洞

身份驗證是一個安全機制,旨在確保只有合法的使用者能夠訪問應用程式的受保護資源。當身份驗證機制實施不當時,它可能會暴露於各種安全風險,從而允許惡意使用者繞過這些機...

2023-10-01 ‧ 由 ali8888 分享
DAY 17

[Day 17]存取控制漏洞

存取控制是一種保護機制,旨在確保只有經過授權的使用者可以存取資源或執行操作。不當的存取控制實施可能導致安全漏洞,允許未經授權的存取或操作。當攻擊者利用這些漏洞提...

2023-10-02 ‧ 由 ali8888 分享
DAY 18

[Day 18]JWT(JSON Web Tokens)漏洞

JWT 是什麼 JWT(JSON Web Token)用於在雙方之間安全地傳遞資料。它可以被用來表示用於身份驗證和資料交換的聲明。由於其緊湊和自包含的特性,特別...

2023-10-03 ‧ 由 ali8888 分享
DAY 19

[Day 19]OAuth 漏洞

什麼是OAuth? OAuth是一個授權框架,讓網站能夠請求對另一個網站使用者的有線訪問。然後使用者無需暴露他們的登入憑據給請求的網站,所以使用者可以自己決定他...

2023-10-04 ‧ 由 ali8888 分享
DAY 20

[Day 20]爭用條件漏洞

爭用條件漏洞(Race conditions) 當網站同時處理請求而沒有足夠的保護措施時,就會發生這種情況。可能導致多個不同的執行緒同時與相同的資料互動,導致網...

2023-10-05 ‧ 由 ali8888 分享