實務常見網站弱點CVE與測試攻擊範例 這篇文章主要介紹幾個實際網站弱點的個案與範例程式。 這些範例測試程式都是實際產品所發生的弱點。 筆者用這些例子說明在安全測試中, 如何運用這些測試技巧加入這些測試個案,防止產品有這樣的弱點。 常見的網站CVE File path traversal CVE-2013-2678 Cross-site scripting (reflected) CVE-2013-2679 Cleartext submission of password CVE-2013-2680 Password…
您的網域是否有透漏訊息給駭客?-DNS的偵查
您的網域是否有透漏訊息給駭客?-DNS的偵查 DNS的查詢服務可以讓我們直接或是間接知道網路主機的資訊, 例如組織、IP位址、伺服器名稱、伺服器類型、位置等。 這些資訊當然也會間接被駭客使用。 這篇文章就是討論DNS會間接告訴駭客哪些資訊與相關的查詢工具。 DNS查詢 NsLookUp 可以用簡單的指令 NSlookUP查詢該DNS 的位址資訊 root@a:~# nslookup > www.google.com MX Queries 如何得知該伺服器是用來當Mail Server呢? 可以將伺服器查詢類型指定為 MX,就可以知道該伺服器是否為郵件伺服器…