File Upload 的資訊安全風險 許多的網站都會提供檔案上傳的功能, 特別是社交網站,例如照片分享、例如多媒體影片分享等 檔案上傳如果沒有做好相關的檢查,很容易讓駭客做其他程式攻擊的使用 這裡舉幾個例子: Case 1. 惡意程式碼的上傳 駭客透過特別寫好的 Malicious.php,上傳時, 透過修改 HTTP Post 中 MIME的檔案型態, 上傳至網站,該網站的檔案位置為 website…
駭客
SQL Injection – UNION SELECT
SQL Injection – UNION SELECT SQL Injection 利用 SQL Query 的語法輸入,執行非預期的結果, 這個例子,我們主要運用 Union Select 來進階查詢資料庫各種資訊 讓我們舉幾個例子 正常的輸入方式 假設網頁的頁面查詢輸入:部門名稱 因此使用者選項輸入為:工程部 Engineering 因此該…
Cross-Site Scripting (XSS) 介紹與防禦
Cross-Site Scripting (XSS) 介紹與防禦 這篇文章主要說明 XSS的攻擊流程與方法, 舉實例說明駭客可以透過怎樣的輸入方式造成XSS, 最後對於網站安全防護提出建議。 XSS攻擊 JavaScript Injection, XSS等技巧是駭客最常用來攻擊網站的方法之一, 這樣的攻擊方法通有三方單位所組成 1. 受攻擊網站 (受害者) 2. 駭客 3.…