Web Security

Cross-Site Scripting (XSS) 介紹與防禦

Cross-Site Scripting (XSS) 介紹與防禦 這篇文章主要說明 XSS的攻擊流程與方法, 舉實例說明駭客可以透過怎樣的輸入方式造成XSS, 最後對於網站安全防護提出建議。   XSS攻擊 JavaScript Injection, XSS等技巧是駭客最常用來攻擊網站的方法之一, 這樣的攻擊方法通有三方單位所組成 1. 受攻擊網站 (受害者) 2. 駭客 3.…

Read More

Web Server fingerprinting 辨識網站的使用技術

Web Server fingerprinting 辨識網站的使用技術 這篇文章主要介紹如何辨識一個網站的使用技術, 例如:Apache or IIS ,  .NET or Java, …. 什麼情況需要辨識網站使用技術呢? 對於開發團隊或是網站維護團隊,可以很快利用這樣的方法知道目前上線網站的環境, 進一步對於該環境進行漏洞修補、patch/service udpate 等 另一方面,對於駭客來說,這樣的資訊內容,反而讓駭客有機會知道網站的弱點, 針對該網站使用的技術,利用已知的弱點攻擊…

Read More

駭客眼中的Google Hacking

駭客眼中的Google 對於大多數上網的人來說,Google 提供搜尋方便大家找到自己想要的資訊 由於Google 精準的搜尋,與計算過的結果呈現, 幫助我們在網際網路上,針對特定資訊,進行分析與查詢 另一方面,這樣的搜尋也會被有心人士或是駭客利用 因此有所謂的 “Google Hacking Database”的產生   Google Hacking database https://www.exploit-db.com/google-hacking-database/ 可以參考這個網站。上面列有各式各樣如何運用 Google搜尋來找漏洞的方式。 可以透過Google尋找那些漏洞呢? 其實很廣泛,如下圖所示:…

Read More