File Upload 的資訊安全風險 許多的網站都會提供檔案上傳的功能, 特別是社交網站,例如照片分享、例如多媒體影片分享等 檔案上傳如果沒有做好相關的檢查,很容易讓駭客做其他程式攻擊的使用 這裡舉幾個例子: Case 1. 惡意程式碼的上傳 駭客透過特別寫好的 Malicious.php,上傳時, 透過修改 HTTP Post 中 MIME的檔案型態, 上傳至網站,該網站的檔案位置為 website…
Web Security
Time Based Blind SQL Injection 淺談
Time Based Blind SQL Injection 這個方法指的是當 Web Server 沒有傳回任何錯誤或是 SQL 執行成功與否的訊息時, 透過 “Blind”的方式來猜測,透過 Yes or No 的邏輯關係,來得知資料庫背後的資訊。 因此,有心人士可以透過 blind…
網站資訊安全測試基本工具 HackerFox
網站資訊安全測試基本工具 HackerFox 對於網站的資訊安全測試可以有哪些基本工具做測試呢? 其實一般的 Browser 就可以透過安裝 addon 的方式,將 Brwoser 變成資訊安全測試工具 只要基本的觀念弄熟了,接著就是工具好用不好用 特別是資訊安全領域,基本觀念很重要, 才不會受制於工具,有特定工具才會測試,工具一更新改版就不會測試 Web Hacker’s Favorites [HackerFox] 這邊介紹的是 FireFox Addon…