SQL Injection — Boolean Exploitation Technique 我們知道大部分的網站存取資料都是透過資料庫, 不外乎使用 MySQL 因為為 opensource,或是 SQL Server 微軟 IIS 等的 solution 因此,駭客利用輸入的弱點,輸入特定指令讓該 SQL query…
Web Security
Session Management
Session Management 由於網站型態的複雜,目前的網站都需要 Session 的機制來儲存使用者的一些連線資訊, 根據你上次連結或是閱讀網頁的偏好,給你適當的資訊內容 或是在你登入之後,保持登入的狀態一陣子,除非直到登出為止 如果沒有 session 的機制,則每次使用者都必須要重新輸入使用者登入資訊。 另外,像是購物網站,在使用者登入之前,使用者可以先瀏覽許多商品,並且放入購物車 等到確定要結帳時,再要求使用者登入的動作 因此,在使用者登入之前,網站要如何辨別並且保持該連線的相關資訊呢? 這些就是 Session Management 的範疇 Session Management 機制…
SQL Injection 的測試與防範
SQL Injection 的測試與防範 網站後端的資料通常會存放在資料庫中,(MySQL or MS SQL Server) 網站的程式資料查詢或是更新,將對後端資料庫進行SQL 語法的執行 因此,只要巧妙的設計輸入值,就會造成該 SQL 語法執行其他非預期的結果 舉例來說,這個 SQL 語法 Select Name from Users…