ClickJacking 攻擊手法範例程式與防護 這篇文章主要說明一種網站駭客的另外一種手法 ClickJacking。 就像這張圖的例子,讓使用者以為是可以領取 Free iPAD,實際上點擊的是 “Like” 透過兩層網頁的重疊關係,並且讓FaceBook Like底層的網頁顏色透明化, 使用者只看到最上一層 “Claim your Free iPAD”的網頁。像這樣的攻擊手法就稱為 “ClickJacking” Chrome 程式範例 程式測試說明: 1.…
雲端資訊安全
實務常見網站弱點CVE與測試攻擊範例
實務常見網站弱點CVE與測試攻擊範例 這篇文章主要介紹幾個實際網站弱點的個案與範例程式。 這些範例測試程式都是實際產品所發生的弱點。 筆者用這些例子說明在安全測試中, 如何運用這些測試技巧加入這些測試個案,防止產品有這樣的弱點。 常見的網站CVE File path traversal CVE-2013-2678 Cross-site scripting (reflected) CVE-2013-2679 Cleartext submission of password CVE-2013-2680 Password…
您的網域是否有透漏訊息給駭客?-DNS的偵查
您的網域是否有透漏訊息給駭客?-DNS的偵查 DNS的查詢服務可以讓我們直接或是間接知道網路主機的資訊, 例如組織、IP位址、伺服器名稱、伺服器類型、位置等。 這些資訊當然也會間接被駭客使用。 這篇文章就是討論DNS會間接告訴駭客哪些資訊與相關的查詢工具。 DNS查詢 NsLookUp 可以用簡單的指令 NSlookUP查詢該DNS 的位址資訊 root@a:~# nslookup > www.google.com MX Queries 如何得知該伺服器是用來當Mail Server呢? 可以將伺服器查詢類型指定為 MX,就可以知道該伺服器是否為郵件伺服器…