Session Management 由於網站型態的複雜,目前的網站都需要 Session 的機制來儲存使用者的一些連線資訊, 根據你上次連結或是閱讀網頁的偏好,給你適當的資訊內容 或是在你登入之後,保持登入的狀態一陣子,除非直到登出為止 如果沒有 session 的機制,則每次使用者都必須要重新輸入使用者登入資訊。 另外,像是購物網站,在使用者登入之前,使用者可以先瀏覽許多商品,並且放入購物車 等到確定要結帳時,再要求使用者登入的動作 因此,在使用者登入之前,網站要如何辨別並且保持該連線的相關資訊呢? 這些就是 Session Management 的範疇 Session Management 機制…
Web Security
SQL Injection 的測試與防範
SQL Injection 的測試與防範 網站後端的資料通常會存放在資料庫中,(MySQL or MS SQL Server) 網站的程式資料查詢或是更新,將對後端資料庫進行SQL 語法的執行 因此,只要巧妙的設計輸入值,就會造成該 SQL 語法執行其他非預期的結果 舉例來說,這個 SQL 語法 Select Name from Users…
HTTP 請求方法 (HTTP Request Method)
駭客眼中的 HTTP Verb Tampering 這篇文章主要說明 http request 發送的攻擊常見有哪些? 一個網站會支援基本的 http request 基本的指令,常見的有 HTTP GET , HTTP Post 駭客利用這些基本的指令就可以進行攻擊。這篇文章透過幾個簡單的例子說明。 HTTP…