鐵人檔案
這一次的Web security的主題,嚴格上來說其實只能算是學習筆記,不過我還是希望將我近期學習到的東西整理成一個心得,希望對於初入Web的同學有所幫助
今天我們就接著聊聊同源政策 什麼是同源政策 (Same-Origin Policy)?同源政策是瀏覽器內建的一個核心安全機制。它的核心原則是:一個來源 (Ori...
今天我們要來聊聊這兩位老大哥 Apache 與 Nginx Apache 和 Nginx 是當今世界上最主流的兩款開源網站伺服器 (Web Server),我們...
今天我們來探套一下PHP、Java 和 Python 這三種非常主流的後端語言,但它們的設計哲學、生態系和最佳應用場景有很大的不同。從網站設計的角度來看,沒有「...
差點忘記發文,嚇死我了今天我們要來談的是弱掃、滲透測試、紅隊演練之間的差異 我們從核心定義開始比較它們的差異。 一、 各自的詳細說明1. 弱點掃描 (Vulne...
今天我已經懶得想標題了,我們就直接來看這個是甚麼東西吧 Cyber Kill Chain (網路攻擊殺傷鏈) 是在我們資安中一個非常經典且重要的框架,由美國國防...
如果說 Cyber Kill Chain 描繪了攻擊的「流程骨架」,那麼 MITRE ATT&CK 就是一本詳細拆解了敵人所有「技能」的百科全書。它是一...
我們今天來談一下web滲透測試策略 一個專業的 Web 滲透測試策略,通常會遵循業界公認的標準與方法論,其中最核心的就是 OWASP (Open Web App...
今天深入:網站的「最高權限」與最致命的漏洞 — RCE 今天我們來深入探討一下網站的最高權限,以及達成這個目標的最致命漏洞——RCE。 網站的「最高權限」是什...
今天我們來深入探討 Web 安全中一個極為普遍且影響深遠的漏洞——XSS (Cross-Site Scripting),跨站腳本攻擊。 首先要澄清一個常見的誤解...
好的,這個標題「借刀殺人」下得非常好,它精準地抓住了 CSRF 與 SSRF 這兩種攻擊的精髓。它們雖然名稱相似,常被混淆,但攻擊的對象、利用的「刀」、以及造成...
