避免密碼字典攻擊的 Account lockout 利用上百萬組密碼的組合,來 Try 帳號密碼是常見的一種字典攻擊法 駭客準備常見的密碼組合,透過工具傳送 http request 看看 Web server http response的反應 通常要猜出帳號密碼只是時間的問題, 因此大多數的網站都會設計, 該帳號如果短時間打錯三次就會鎖住,或是必須重新申請 這樣的安全防護機制就稱為 Account lockout…
SQL Injection – UNION SELECT
SQL Injection – UNION SELECT SQL Injection 利用 SQL Query 的語法輸入,執行非預期的結果, 這個例子,我們主要運用 Union Select 來進階查詢資料庫各種資訊 讓我們舉幾個例子 正常的輸入方式 假設網頁的頁面查詢輸入:部門名稱 因此使用者選項輸入為:工程部 Engineering 因此該…