SQL Injection 的測試與防範 網站後端的資料通常會存放在資料庫中,(MySQL or MS SQL Server) 網站的程式資料查詢或是更新,將對後端資料庫進行SQL 語法的執行 因此,只要巧妙的設計輸入值,就會造成該 SQL 語法執行其他非預期的結果 舉例來說,這個 SQL 語法 Select Name from Users…
Hacking
HTTP 請求方法 (HTTP Request Method)
駭客眼中的 HTTP Verb Tampering 這篇文章主要說明 http request 發送的攻擊常見有哪些? 一個網站會支援基本的 http request 基本的指令,常見的有 HTTP GET , HTTP Post 駭客利用這些基本的指令就可以進行攻擊。這篇文章透過幾個簡單的例子說明。 HTTP…
Web Server fingerprinting 辨識網站的使用技術
Web Server fingerprinting 辨識網站的使用技術 這篇文章主要介紹如何辨識一個網站的使用技術, 例如:Apache or IIS , .NET or Java, …. 什麼情況需要辨識網站使用技術呢? 對於開發團隊或是網站維護團隊,可以很快利用這樣的方法知道目前上線網站的環境, 進一步對於該環境進行漏洞修補、patch/service udpate 等 另一方面,對於駭客來說,這樣的資訊內容,反而讓駭客有機會知道網站的弱點, 針對該網站使用的技術,利用已知的弱點攻擊…