網站資訊安全測試 — Logout 許多網站都繪有登入與登出的設計,登入因為需要帳號密碼,身分的驗證,所以相關的檢查相對會比較嚴謹 相對來說登出 logout 所需注意的資訊安全常被忽略 那麼 logout 會有哪些潛在的資訊安全風險與需要注意的地方呢? 一個安全的 logout設計應該要包含下列項目: UI 的設計讓使用者可以自己 logout,這當然是基本的需求, Logout的選項應該要在登入之後,出現在每一個頁面,通常是在畫面的最上方。 當一段時間之後,自動 logout。例如,很多銀行網站在五分鐘內如果沒有動作,就會強迫logout Session 在l…
資訊安全
Clickjacking Attack 偽裝的網頁
Clickjacking Attack 偽裝的網頁 這篇文章主要介紹一種特別的攻擊手法 clickJacking 什麼是 ClickJacking? 攻擊的技術手法 網站防護的建議 什麼是 ClickJacking ClickJacking 的主要目的是要達到讓受害者執行 Authenticated actions BUT unintentional actions 這是什麼狀況呢? 舉例來說,有兩張複寫紙,…
避免密碼字典攻擊的 Account lockout
避免密碼字典攻擊的 Account lockout 利用上百萬組密碼的組合,來 Try 帳號密碼是常見的一種字典攻擊法 駭客準備常見的密碼組合,透過工具傳送 http request 看看 Web server http response的反應 通常要猜出帳號密碼只是時間的問題, 因此大多數的網站都會設計, 該帳號如果短時間打錯三次就會鎖住,或是必須重新申請 這樣的安全防護機制就稱為 Account lockout…