駭客

如何準備一個資訊安全測試環境

如何準備一個資訊安全測試環境 我們知道沒有經過允許的資訊安全測試行為就會變成駭客攻擊行為 那麼如果要練習網站資訊安全測試有哪些網站可以練習呢? 這邊舉幾個”線上”供練習的網站,與一個可以讓你在本機虛擬環境中建立的網站 這些網站都刻意設計成弱點很多的網站,讓您可以比較容易瞭解網站弱點與測試的過程   OWASP Broken Web Application  http://sourceforge.net/projects/owaspbwa/files/ 首先要介紹的是 OWASP 的 Broken Web 這是一個 Virtual Machine 的環境,下載啟動之後內建超過…

Read More

網站安全測試的測試個案資料庫 – FuzzDB

資訊安全測試的測試個案資料庫 – FuzzDB 這篇文章主要介紹 FuzzDB,FuzzDB主要提供網站資訊安全測試時, 或是自動化安全測試工具所需要的測試個案資料,舉例來說, Injection的攻擊, 但是實際測試的時候,到底要輸入什麼值來當作是 Injection Attack 的測試資料呢? FuzzDB 提供各種攻擊行為會用到的測試個案資料 https://code.google.com/p/fuzzdb/source/browse/#svn%2Ftrunk   舉例來說 “All-attacks-win.txt” 這個檔案提供許多安全測試個案所需的資料 https://code.google.com/p/fuzzdb/source/browse/trunk/attack-payloads/all-attacks/all-attacks-win.txt Command…

Read More

如何從Web Logs 看出網站被駭的蛛絲馬跡?

如何從Web Logs 看出網站被駭的蛛絲馬跡? 這篇文章主要探討的是如何從 Web IIS Logs 中看出網站被害的蛛絲馬跡. 從 Log 中了解相關攻擊的來源,網站那些出現弱點, 進而提供網站防護上的參考以及相關防火牆設定的補強     當收集到一推的 Logs 之後,要從許多的 Log 中找出線索確實不容易,要如何開始分析呢?  …

Read More