iT邦幫忙

鐵人檔案

2023 iThome 鐵人賽
回列表
Security

從 Moblie Development 主題被損友洗腦鬼轉 Security 的我真的可以完賽嗎? 系列

在這次比賽中,我原本打算專注於 Moblie Development 主題,寫 Flutter。然而,開學之後被 NISRA 的幾位朋友(損友)洗腦。因此,在開賽前兩天,我決定鬼轉 Security 主題,30天內我會寫一些沒碰過的 web 相關的資安筆記。

鐵人鍊成 | 共 30 篇文章 | 8 人訂閱 訂閱系列文 RSS系列文 團隊好想放假大學
DAY 21

[Day 21]點擊劫持攻擊

點擊劫持攻擊 駭客使用它來欺騙使用者在不知不覺中點擊網頁上的某些東西,而實際上他們可能正在點擊一個隱藏的、完全不同的東西。 駭客通常使用一個透明的iframe覆...

2023-10-06 ‧ 由 ali8888 分享
DAY 22

[Day 22]XXE(XML External Entity) 漏洞

當網站處理包含對外部實體的參考的XML資料時,攻擊者可以利用此漏洞閱讀伺服器上的本地文件、與網站可以訪問的任何後端或外部系統,或執行拒絕服務攻擊。 XML 是什...

2023-10-07 ‧ 由 ali8888 分享
DAY 23

[Day 23]模板注入漏洞(SSTI)

SSTI 就是伺服器端範本注入(Server-Side Template Injection)當用戶輸入在伺服器端模板中不安全地嵌入時就可能產生。攻擊者可以注入...

2023-10-08 ‧ 由 ali8888 分享
DAY 24

[Day 24]HTTP Host header攻擊

HTTP Host header是從HTTP/1.1開始的強制請求頭。它指定了客戶端想要訪問的域名。例如,當使用者訪問某個網站時,其瀏覽器會組成包含Host h...

2023-10-09 ‧ 由 ali8888 分享
DAY 25

[Day 25]WebSocket 相關攻擊

什麼是 WebSocket? 過HTTP啟動,並提供雙向非同步通訊的長期連線。它通常設計於網頁和伺服器之間,但也可以用於任何客戶端和伺服器之間的應用,例如在線遊...

2023-10-10 ‧ 由 ali8888 分享
DAY 26

[Day 26]更多的 CSRF 漏洞

繞過基於Referer的CSRF防禦 基於 Referer Header 的 CSRF(跨站請求偽造)防禦依賴於檢查 HTTP Referer Header 以...

2023-10-11 ‧ 由 ali8888 分享
DAY 27

[Day 27]DOM-based 漏洞

什麼是DOM? 文件物件模型(DOM)是網頁瀏覽器對頁面上元素的分層表示。 網站可以使用JavaScript來操縱DOM的節點與物件以及其屬性。 DOM-bas...

2023-10-12 ‧ 由 ali8888 分享
DAY 28

[Day 28]資訊洩漏

資訊洩漏,也稱為資訊披露,是指網站無意中向使用者洩露敏感資訊。 網站可能會向潛在的攻擊者洩露各種資訊,包括: 有關其他使用者的資料,如使用者名稱或財務資訊 敏...

2023-10-13 ‧ 由 ali8888 分享
DAY 29

[Day 29]SSRF(服務器端請求偽造)攻擊

先來解釋一下,SSRF,又叫做伺服器端請求偽造,大概就是攻擊者利用一些漏洞,讓伺服器去訪問一些不該訪問的地方。有時候,這些地方是公司內部的資源,那樣的話就可能會...

2023-10-14 ‧ 由 ali8888 分享
DAY 30

[Day 30]商業邏輯漏洞

商業邏輯漏洞是什麼? 其實就是在應用程式的設計和實作中出現的小小錯誤,導致有心人士能夠引導程式進行不正常的運作。這通常是因為開發者沒有想到那些特殊的情境,或者是...

2023-10-15 ‧ 由 ali8888 分享