ClickJacking(掛羊頭賣狗肉)的駭客攻擊方法 這篇文章主要說明一種特別的攻擊方式ClickJacking, 駭客透過一個假的網頁誘導使用者輸入帳號密碼,但是實際上背後是銀行網站。 讓使用者在不知不決的狀況下就登入銀行網站。這樣的攻擊方式就稱為 ClickJacking。 但是如何測試或是知道網站是否會被受到這樣的攻擊呢? 如何防護? 這篇文章將說明這些議題。 ClickJacking攻擊原理 駭客通常利用網頁的 iFrame 將假造的網頁與正常的網頁載入,在透過 iframe visibility 的屬性設定, 將正常網站的網頁(如:銀行網頁)隱藏,讓使用者看到是一個假造的網頁(如:中獎通知) 當使用者輸入帳號密碼時,其實背後是登入實際的網站。駭客因此藉接獲取該銀行的帳號密碼與存取權限。 因此,要知道網站是否會收到這樣的攻擊,就必須測試網站是否可以在任意的 HTML iframe 被載入。…
雲端資訊安全
3個如何入門資訊安全測試的建議
3個如何入門資訊安全測試的建議 這篇文章主要說明資訊安全測試的建議學習步驟, 這三個步驟不完全要有先後順序關係,可以不斷的交叉反覆思考與練習。 如果要入門資訊安全測試要怎樣開始呢? 駭客的思維與我們不同 舉個例子,看到下列網站我們一般會進行的測試可能是: 錯誤帳號密碼測試 從”網頁”輸入非法字元 看看密碼會不會明文傳送 …. 接著讓我們看看駭客的思維。 換句話說,這個網頁只是駭客用來 “參考” 該網站提供的功能與商業邏輯。並不是駭客用來照著資料輸入! 駭客的思維是跳躍式。對於背後看不到的資訊更是寶藏。 有些駭客可能只會一種攻擊 Known Vulneraiblity,因此針對全世界只要有幾個網站有這樣的弱點他就有機可趁。…
10+ Addon將FireFox 變成資訊安全測試(駭客攻擊)工具
10+ Addon將FireFox 變成資訊安全測試(駭客攻擊)工具 這篇文章主要說明如何將FireFox變成資訊安全測試工具, FireFox因為是免費 Open Source 因此相關的免費 Addon 也比較豐富, 在不花大錢的情況下,如何可以將瀏覽器 FireFox快速的變成網站安全測試工具呢? 筆者介紹幾個 FireFox Addon常用的安全測試工具。 提醒:未經允許任意攻擊系統是違法的行為。 建議可以參考這篇建立一個測試環境。如何準備一個資訊安全測試環境 All in One…