XSS攻擊的深入探討與防護之道 XSS是網站攻擊排行榜第一名。主要原因不是因為大家不知道或是故意遺漏這樣的防護, 而是因為有太多種可能性可以執行 JavaScript,導致只要有一點機會,就讓駭客有機可趁。 這篇文章主要說明XSS(Cross-site scripting或是稱為JavaScript Injection)攻擊的種類、範例。 並且介紹幾種防護的方法與可以運用Open Source 的程式庫。 XSS學名 俗稱的JavaScript Injection 簡稱又稱為 XSS 學名又稱為 Cross-site Script Attack 中文聽說翻譯成 (跨站攻擊…
3個免費的 Web資訊安全自動化測試工具
3個免費的 Web資訊安全自動化測試工具 這篇文章主要介紹三個 Web資訊安全測試工具。這三個工具各有特色,共通點都是免費。 “免費”的同時可以執行的安全測試範圍與種類足夠實務上使用。 這些工具也內建許多測試資料用來測試 XSS, SQL injection, Directory Traversal等。 Web資訊安全測試由於是一個動態的測試過程, 筆者建議用兩種以上的工具交互測試,發現必且交叉驗證潛在的問題。 使用工具外,更重要的是背後每一種攻擊運作的原理與防護之道。 才不落於受制於工具的操作。 Web 資訊安全測試是動態測試的過程 資訊安全測試比起自動化測試或是其他測試工具來說,資訊安全測試更著重於”動態”的過程而非結果。 動態的過程主要是瀏覽器或是…