Cymetrics Tech Blog

被盜帳號是誰的錯?聊聊 Authentication

『身份驗證機制遭破解』聽起來很技術,但『盜帳號』大家應該就都很有感了。沒錯,盜帳號不只是朋友之間惡搞的玩笑,而是真實世界駭客入侵手法最大宗沒有之一。那麼,被盜帳號是誰的錯呢?

資安弱點會造成多大損失 ?

嚴重性是在發現問題時決定要不要處理的關鍵,這通常由發生機率與影響程度來決定,本文要帶大家試著從另外一個角度來看,從過去資安事件造成的損失來評估問題的嚴重性。

在做跳轉功能時應該注意的問題:Open Redirect

在許多網站中都有個很常見的功能,就是重新導向。舉例來說,如果要觀看的頁面需要權限但是使用者還沒登入,就會先把使用者導去登入頁面,登入完之後再導回原本要去的頁面。

我們與 OSCP 的距離

八月的某一個凌晨,終於完成報告然後跟考官道別結束考試,半年的奮戰也告一段落。期待已久的 OSCP 到手啦!半年前 OSCP 對我而言也是 castle in the cloud,今天來分享這張證照是什麼,以及我自己的準備過程與心得。

秒懂 SQL Injection

SQL Injection 的原理很簡單,利用網頁程式設計者忽略檢查使用者輸入內容造成攻擊,但只從一句話很難看出到底發生了什麼,下面用生活化的例子,帶大家快速了解整個流程。

並行程式典範 (Paradigms): Golang V.S. Java

當我回頭看剛開始學 Golang 的程式時,我發現我只是用 Golang 語法寫 Java 程式。尤其在並行程式的設計思路上 Golang 和 Java 完全不同:Java 習慣上會用 thread-safe 的概念設計並行,而 Golang 的設計上鼓勵開發者使用 channel 處理並行問題。

Concurrency Paradigms: Golang V.S. Java

I find that I was just using Golang's syntax to write Java after I reviewed the Golang code I wrote years ago, I was a newbie in Golang then. Especially in writing concurrency programs, the design ideas are totally different between Golang and Java: we are used to designing concurrency with the idea "thread-safe" in Java, but we would use the idea "channel" more in Golang.

不識廬山真面目:Clickjacking 點擊劫持攻擊

在針對前端的各種攻擊手法之中,我覺得 clickjacking 是相當有趣的一個。它的中文翻譯通常翻成「點擊劫持」,實際上的意思是你以為點了 A 網頁的東西,其實卻是點到了 B 網頁,惡意網頁劫持了使用者的點擊,讓使用者點到意料之外的地方。