我們與 OSCP 的距離
八月的某一個凌晨,終於完成報告然後跟考官道別結束考試,半年的奮戰也告一段落。期待已久的 OSCP 到手啦!半年前 OSCP 對我而言也是 castle in the cloud,今天來分享這張證照是什麼,以及我自己的準備過程與心得。
秒懂 SQL Injection
SQL Injection 的原理很簡單,利用網頁程式設計者忽略檢查使用者輸入內容造成攻擊,但只從一句話很難看出到底發生了什麼,下面用生活化的例子,帶大家快速了解整個流程。
並行程式典範 (Paradigms): Golang V.S. Java
當我回頭看剛開始學 Golang 的程式時,我發現我只是用 Golang 語法寫 Java 程式。尤其在並行程式的設計思路上 Golang 和 Java 完全不同:Java 習慣上會用 thread-safe 的概念設計並行,而 Golang 的設計上鼓勵開發者使用 channel 處理並行問題。
不識廬山真面目:Clickjacking 點擊劫持攻擊
在針對前端的各種攻擊手法之中,我覺得 clickjacking 是相當有趣的一個。它的中文翻譯通常翻成「點擊劫持」,實際上的意思是你以為點了 A 網頁的東西,其實卻是點到了 B 網頁,惡意網頁劫持了使用者的點擊,讓使用者點到意料之外的地方。
資安規範實戰篇 : OWASP + CWE
沒有人希望自己的網站被攻擊,但工程師想做好資安防護就像廚師想燒出一桌好菜,剛開始想參考食譜來做菜,發現食譜種類好多,同一道菜有好各式各樣的做法,到底該怎麼選怎麼做才對 ?選擇太多會讓開發人員一陣混亂,本文的目標就是整理 2 個由名國際組織整理出來對資安漏洞的排名與分類,然後藉由靶站來示範如何利用這些資料,快速的找網站可能的漏洞與修補建議。
零基礎資安系列(六)- 電影中酷駭客做的事?關於 APT(Advanced Persistent Threat)
# 前言電影中的駭客只是敲敲打打幾分鐘就可以竊取商業機密?!答案是但也不是,為什麼會這麼說呢?成功的攻擊結果也許只需要短短的幾分鐘就能將商業機密帶走,但在駭客敲鍵盤的那幾分鐘之前,其實就已經花了好幾個月甚至以年記的時間來佈局這幾分鐘的攻擊,那駭客的佈局到底是在佈局什麼呢,這就是今天想和大家分享的,電影中那些酷駭客在完成攻擊前所做的事。
從 cdnjs 的漏洞來看前端的供應鏈攻擊與防禦
以前端為例,你使用的 npm 套件或是程式碼中引入的第三方 script,這些就叫做「上游」,在使用這些第三方資源的同時,你有意識到這也伴隨了一定的風險嗎?這篇文章會以 cdnjs 為例,帶大家看看前端的供應鏈攻擊與防禦。