駭客會透過哪些方式獲取 Web所用的技術呢? 由於駭客可以利用已知的風險漏洞進行攻擊, 因此知道Web所使用的技術與版本資訊對駭客來說十分重要。 那麼駭客可以透過哪些方式得知這樣的資訊呢? 這些議題就是這篇文章會討論的範圍。 Http Request 從基本的 Http Request 中就可以看出許多 Web所使用的技術。 瀏覽器按下 F12,Developer Tools 我們可以觀察到每一個發送的 Http Request 舉個例子來說,下列的…
雲端資訊安全
駭客為什麼對於Web背後使用的技術如獲至寶?
駭客為什麼對於Web背後使用的技術如獲至寶? 這篇文章主要說明為什麼駭客會花很多時間了解We背後使用的技術。 讓駭客知道使用 IIS 7.0 或是 Apache 2.1 有什麼關係? 這樣就會產生重大風險? 這就是駭客與我們想的不一樣! 駭客可以從哪些線索知道網站被後使用的技術? 知道之後駭客如何利用這些資訊攻擊? 這些就是本文要探討的議題。 為什麼駭客要知道 Web 技術? 因為如果相關使用的技術或是元件沒有保持最新,自然會有許多已知的安全漏洞。 這些安全漏洞就是駭客入侵系統的最佳管道。 關於安全漏洞與攻擊的手法,筆者介紹幾個公開攻擊模式的資訊。…
XSS攻擊的深入探討與防護之道
XSS攻擊的深入探討與防護之道 XSS是網站攻擊排行榜第一名。主要原因不是因為大家不知道或是故意遺漏這樣的防護, 而是因為有太多種可能性可以執行 JavaScript,導致只要有一點機會,就讓駭客有機可趁。 這篇文章主要說明XSS(Cross-site scripting或是稱為JavaScript Injection)攻擊的種類、範例。 並且介紹幾種防護的方法與可以運用Open Source 的程式庫。 XSS學名 俗稱的JavaScript Injection 簡稱又稱為 XSS 學名又稱為 Cross-site Script Attack 中文聽說翻譯成 (跨站攻擊…