Web Security

Reverse Engineering Basics By IDA

Reverse Engineering Basics By IDA 這篇文章主要說明如何針對 EXE or DDL 做程式邏輯運作上的分析, 如何可以在不瞭解組合語言、沒有原始程式碼的情況下還可以對程式邏輯做出初步的分析? 有哪些免費的工具可以運用分析,如何分析? 我們將以”小算盤”為例子來進行分析與討論。 什麼是 Reverse Engineering? 應用程式的誕生過程,不外乎是 程式碼 (C, Java…

Read More

免費網站資訊安全自動化測試工具 — Vega

免費網站資訊安全自動化測試工具 — Vega 這篇文章主要介紹一個網站資訊安全自動化測試工具  “Vega” 這是一套 open source,免費而且功能強大、UI 介面容易了解且上手的一套網站資訊安全測試工具。   全自動測試 這樣的自動化測試工具是否就會完全取代人工測試? 其實不然,主要原因是這樣的自動化測試還需要許多人為導引的介入才能夠讓測試結果與測試過程更加深入。 舉例來說,有些頁面需要登入之後才能夠進一步存取或是輸入資料。如果單純靠自動化測試工具,很有可能有些頁面永遠都測不到。 或是有些商業邏輯的前後關係,還需要人為的進一步確認,才能夠讓該測試結果更為有意義。   Proxy mode 網站資訊安全測試工具通常會有兩種模式, 1.…

Read More

HTTP splitting攻擊原理說明

HTTP splitting攻擊原理與情境 這篇文章主要介紹一種很罕見的攻擊 “HTTP Splitting” 為什麼很罕見呢? 因為這種攻擊方法需要一些條件的配合, 而且攻擊成功之後所帶來的影響有限,所以這類的攻擊慢慢沒有出現   什麼是 HTTP Splitting Splitting 白話文為切割的意義 也就是將 HTTP request 做適當的切割, 讓 Browser…

Read More