Free Web Security Testing ToolSet 網站資訊安全測試工具集 這篇文章主要介紹一個工具集的VM,這個工具級主要提供 “所有” Web Security 所需要用到的工具。 這個VM已經預先安裝好100多個網站安全測試工具(免費),只要啟動該VM即可使用。 資訊安全測試工具主要分為兩大類: 網站測試工具。這類的測試工具可以測試 CSRF, XSS, SQL injection, Cookie Session…
網站安全
HTTP Cookie 屬性的資訊安全檢查
HTTP Cookie 屬性的資訊安全檢查 由於 HTTP 是 stateless 的 protocol,因此 Web Server 要保持現有使用者連線的相關資訊時,很多情況下會使用 Cookie,而購物網站的 cookie 可能包含的資訊內容,例如:價格、數量、個人資訊、使用者 ID等。這篇文章主要說明 Cookie 的資訊安全風險、網站防護需要注意的地方、以及如何測試 Cookie 的弱點。 首先,先針對…
HTTP splitting攻擊原理說明
HTTP splitting攻擊原理與情境 這篇文章主要介紹一種很罕見的攻擊 “HTTP Splitting” 為什麼很罕見呢? 因為這種攻擊方法需要一些條件的配合, 而且攻擊成功之後所帶來的影響有限,所以這類的攻擊慢慢沒有出現 什麼是 HTTP Splitting Splitting 白話文為切割的意義 也就是將 HTTP request 做適當的切割, 讓 Browser…