引言 CSRF 的全名是 Cross-Site Request Forgery,中文翻譯為「跨網站請求偽造」。顧名思義,這種攻擊會「偽造」使用者對網站發出的請求,而且是從其他網站跨域發動的。簡單來說,攻擊者會誘使使用者的瀏覽器在不知情的情況下,替使用者向另一個已登入的網站發出惡意請求。 舉個例子:小明是一名網路銀行用戶。某天,他先登入了網路銀行查詢餘額,接著又打開另一個網站閱讀新聞。然而,他不知道這個新聞網站中藏有攻擊者植入的惡意程式碼。該程式碼趁小明尚未登出銀行網站之際,利用他的登入狀態,偷偷向銀行發出一個轉帳請求。由於請求附帶著小明的登入憑證(例如 Cookie),銀行誤以為這是小明本人在
閱讀更多分類: 資訊安全
XSS(跨網站指令碼攻擊)是什麼?
XSS 是什麼?簡單易懂的解釋 XSS 攻擊(Cross-Site Scripting,XSS attack)是一種常見的網站安全漏洞,通常指的是駭客透過 HTML 注入 在網頁中插入惡意的腳本(script)程式碼,讓使用者在瀏覽該網頁時,攻擊者的指令碼就在使用者的瀏覽器中執行。由於這類攻擊會跨越不同網站的信任邊界進行指令碼(script)注入,因此稱為跨網站指令碼攻擊。值得注意的是,英文稱呼中的「Cross-Site Scripting」)縮寫為 XSS(使用 X 而非 C,是為了避免與樣式表 CSS 混淆。XSS 攻擊在網路世界中非常普遍,長期以來被列為 OWASP 前十大網站安全風
閱讀更多SQL Injection(SQL 資料隱碼注入)
SQL Injection 是什麼? SQL Injection(SQL 隱碼注入,亦稱 SQL 注入攻擊)是一種常見的網路安全漏洞,攻擊者透過在應用程式的輸入欄位中插入惡意的 SQL 資料查詢語句,誘使後端資料庫執行未經授權的指令。簡而言之,原本應該當作純文字輸入的內容被當成了資料庫指令來執行,導致攻擊者可以繞過應用程式的正常邏輯,對資料庫進行未預期的操作,例如竊取、竄改甚至刪除資料。這種攻擊手法最早在 1990 年代末期就已被提出並討論:據報導,關於 SQL Injection 的首次公開討論可追溯至 1998 年 Phrack 駭客雜誌上的一篇文章。由於 SQL Injection
閱讀更多DDoS(分散式阻斷服務)攻擊完整指南:原理、類型、防禦與案例
DDoS(Distributed Denial of Service)攻擊,中文意思是「分散式阻斷服務攻擊」,是一種常見的網路攻擊手法,能夠在短時間內癱瘓網站或網路服務。近年來不論是 IT 專業人員 還是 一般大眾 都開始關注 DDoS 攻擊的威脅,因為此類攻擊的規模與頻率不斷攀升。本文將以專業且易懂的方式介紹 DDoS 攻擊是什麼(包含 DoS 與 DDoS 的差異)、其運作原理與常見類型、歷史上的重大 DDoS攻擊案例、對企業與網站的影響,以及如何進行 DDoS防禦 與可使用的工具。希望透過本篇約 3000 字的指南,讓讀者全面瞭解 DDoS 攻擊並掌握最新的資安趨勢與防護技巧。 簡介:D
閱讀更多如何解決 Apache 上網站弱點掃描的 Weak SSL Cipher 問題?
介紹 傳輸層安全性協定 (TLS) 和安全通訊端層 (SSL) 協議提供了一種機制來幫助保護客戶端和 Web 服務器之間傳輸的數據的真實性、機密性和完整性。這種保護機制的強度由身份驗證、加密和雜湊演算法決定。這些統稱為密碼套件 – 選擇用於通過 TLS/SSL 通道傳輸敏感信息。大多數網絡服務器都支持一系列不同強度的密碼套件(Cipher Suite)。例如,使用弱密碼或長度不足的加密密鑰可以使攻擊者破壞保護機制並竊取或修改敏感信息。 解決方法 可參考 Apache 官方文章:https://httpd.apache.org/docs/trunk/ssl/ssl_howto.htm
閱讀更多如何解決 Apache 上網站弱點掃描的 Weak SSL Protocol 問題?
介紹 Weak SSL Protocol 通常意味著你的 Apache 支持過時的協議,這些協議不能提供足夠的安全性。 TLS 1.0/1.1 Protocol 和 SSL 2.0/3.0 Protocol 已經過時,TLS 1.0 容易受到某些攻擊。這些都不應該被支持。 解決方法 可參考 Apache 官方文章:https://httpd.apache.org/docs/trunk/ssl/ssl_howto.html Apache 的伺服器架設可以根據此篇文章 以下解決方法可能會根據架設環境的不同,有不同的修改方式,但是步驟上基本上是一樣。 1. 修改 default-ssl.conf d
閱讀更多如何解決網站弱點掃描的 Cross-Site Scripting 問題?(PHP)
介紹 跨網站指令碼(英語:Cross-site scripting,通常簡稱為:XSS)是一種網站應用程式的安全漏洞攻擊,是代碼注入的一種。它允許惡意使用者將程式碼注入到網頁上,其他使用者在觀看網頁時就會受到影響。這類攻擊通常包含了 HTML 以及使用者端手稿語言。 XSS 攻擊通常指的是通過利用網頁開發時留下的漏洞,通過巧妙的方法注入惡意指令代碼到網頁,使使用者載入並執行攻擊者惡意製造的網頁程式。這些惡意網頁程式通常是 JavaScript,但實際上也可以包括 Java,VBScript,ActiveX,Flash 或者甚至是普通的 HTML。攻擊成功後,攻擊者可能得到更高的權限(如執行一些
閱讀更多如何解決 Apache 上網站弱點掃描的 Cross-Frame Scripting 問題?
介紹 網站弱點掃描如果有列到 Cross-Frame Scripting 這一項弱點,上網查詢後是這原因「此 URL 可被嵌入在測試 網頁的框架中,惡意攻擊者可於框架外建立釣魚頁面,進而騙取使用者做出意想之外的行為」。 解決方法 依照伺服器類型會有不同的解法,可參考以下文章 https://developer.mozilla.org/zh-TW/docs/Web/HTTP/Headers/X-Frame-Options 在 Ubuntu 的 Apache 伺服器解決方法 Apache 的伺服器架設可以根據此篇文章 以下解決方法可能會根據架設環境的不同,有不同的修改方式,但是步驟上基本上是一樣。
閱讀更多