鐵人檔案
這一次的Web security的主題,嚴格上來說其實只能算是學習筆記,不過我還是希望將我近期學習到的東西整理成一個心得,希望對於初入Web的同學有所幫助
今天我們來聊聊 Web 滲透測試領域中,如同瑞士刀一般不可或缺的神兵利器——Burp Suite。 對於任何從事 Web 安全相關工作的人員來說,無論是滲透測試...
今天我們來談談網路安全與系統管理領域中,如同偵察兵一般不可或缺的傳奇工具——Nmap。 如果你把網路滲透測試比作一場軍事行動,那麼 Nmap 就是你派出的第一位...
今天我們來談談滲透測試中的「正規軍」和「軍火庫」—— Metasploit Framework。 如果說 Nmap 負責繪製地圖,Burp Suite 負責精密...
SSRF 的全名是 Server-Side Request Forgery。這是一種極度危險的 Web 安全漏洞,它的核心概念是攻擊者濫用伺服器上的某個功能,誘...
今天我們來介紹滲透測試中專門用於「定點爆破」、對資料庫進行深度打擊的自動化神器——sqlmap。 如果說 Nmap 是偵察兵,Metasploit 是軍火庫,那...
Gobuster,這是在滲透測試和 Web 安全偵察階段一款極其常用且高效的工具。如果說 Nmap 負責探測「門窗」(通訊埠),那麼 Gobuster 就負責找...
今天我們來深入探討一個在處理 XML 資料時極為致命的漏洞——XXE Injection。 XXE 的全名是 XML External Entity Injec...
今天我們來談談一個在 OWASP Top 10 中常年佔據高位、極其隱蔽且破壞力巨大的漏洞——不安全的反序列化 (Insecure Deserializatio...
這個月我們已經聊了這麼多關於 Web 應用程式的具體漏洞和測試工具,我想延伸一個在當今架構下變得越來越核心,卻也常常被誤解的安全議題——API 安全 (API...
我們這一個月的主題,可以說是以建構一個「從零到有的網站開發與安全攻防知識體系」為主軸,循序漸進地涵蓋了從最基礎的網路概念到進階的駭客攻擊手法與工具。 以下是我們...
