Cymetrics Tech Blog

# 前言電影中的駭客只是敲敲打打幾分鐘就可以竊取商業機密？！答案是但也不是，為什麼會這麼說呢？成功的攻擊結果也許只需要短短的幾分鐘就能將商業機密帶走，但在駭客敲鍵盤的那幾分鐘之前，其實就已經花了好幾個月甚至以年記的時間來佈局這幾分鐘的攻擊，那駭客的佈局到底是在佈局什麼呢，這就是今天想和大家分享的，電影中那些酷駭客在完成攻擊前所做的事。

以前端為例，你使用的 npm 套件或是程式碼中引入的第三方 script，這些就叫做「上游」，在使用這些第三方資源的同時，你有意識到這也伴隨了一定的風險嗎？這篇文章會以 cdnjs 為例，帶大家看看前端的供應鏈攻擊與防禦。

從一題 XSS 的題目中突破層層關卡，學習各種前端相關知識

逆向小白帶著滿箱的知識，準備正式開始拆解小程式啦！

剛出生的嬰兒最好欺負，網站也是一樣，網站初建時不管是為了方便測試或維護，都會對外開放較多的服務，駭客也容易在此時趁虛而入。本文將介紹從這些剛上線的網站中整理出的 5 種最常見卻有弱點的服務。

隨著前幾篇 email security 的介紹，我陸陸續續收到了一些問題，在交流的過程中覺得有一些很重要或是很有趣的討論可以更延伸探討。以下採取 Q&A 的格式，記錄一些討論與延伸知識。

# 前言繼上一篇的資安科普番外篇（一）-大意了啊沒有閃！常見網站曝險你中了幾項？！)之後，接著我們要來談談關於網站風險的修復，這部分我想大家的直覺應該都是無條件高風險先修，但當以這個思維執行時，把時間以及金錢成本加入權衡之後，又總是很難給出一個符合老闆期待的高 CP 值作法，而這其實就是我們今天所要討論的主題，如何有效率的選擇風險進行修復以及風險在法規技術面上的影響。

有鑒於大家了解了 SPF、DKIM、DMARC 設置上的原理與地雷後，對於如何設置可能還是霧颯颯，因此決定再推出範例篇讓大家看一些實際的紀錄以及設置方式。希望可以讓大家輕鬆做好 email security！