資訊安全測試的測試個案資料庫 – FuzzDB 這篇文章主要介紹 FuzzDB,FuzzDB主要提供網站資訊安全測試時, 或是自動化安全測試工具所需要的測試個案資料,舉例來說, Injection的攻擊, 但是實際測試的時候,到底要輸入什麼值來當作是 Injection Attack 的測試資料呢? FuzzDB 提供各種攻擊行為會用到的測試個案資料 https://code.google.com/p/fuzzdb/source/browse/#svn%2Ftrunk 舉例來說 “All-attacks-win.txt” 這個檔案提供許多安全測試個案所需的資料 https://code.google.com/p/fuzzdb/source/browse/trunk/attack-payloads/all-attacks/all-attacks-win.txt Command…
OWASP
HTTP Request/Response駭客跟我們想的不一樣
HTTP Request/Response駭客跟我們想的不一樣 這篇文章主要針對 HTTP 基本的 Request/Response 介紹, 以及駭客會如何利用這些資訊還有基本的測試工具 Browser Developer Tools (F12) 可以利用瀏覽器的 F12 功能,舉 Chrome 為例 F12 >…
有 Https 就安全了嗎?
有 Https 就安全了嗎? 由於2014年許多 SSL 的漏洞被發現,SSL被廣泛的應用在 HTTPS 的網路資料傳輸。這篇文章主要說明網站在佈署HTTPS可能會遇到的潛在風險,注意事項、如何線上自我檢測的簡單方法與佈署上建議參考。 HTTPS (SSL/TLS)注意事項 因此,對於網站使用SSL提供 HTTPS來說,有沒有什麼要檢查的列表呢? 加密的金鑰至少要128bits 長 SSL V2 因為已知的風險較多,必須要設定為取消。建議使用TLS 1.2 X.509 certificates金鑰長度至少要…