跨站請求偽造 (CSRF)
一種利用已登入用戶的瀏覽器,在用戶不知情的情況下向受信任應用程式發送非預期請求的攻擊方式。
常見網際網路安全
關於常見 Web 與網路攻擊的實戰系列,深入解析其運作原理及防禦手段。
每一章節均包含深入的技術解析、Mermaid 攻擊流程圖以及詳細的程式碼級防禦指南。
跨站腳本攻擊 (XSS)
一種程式碼注入攻擊,惡意腳本在受害者的瀏覽器上下文中被執行。
SQL 注入 (SQLi)
一種注入攻擊,允許攻擊者干擾應用程式對其資料庫進行的查詢。
NoSQL 注入
一種針對 NoSQL 資料庫的注入漏洞,通過惡意對象操縱查詢結構或邏輯。
OS 命令注入
一種關鍵漏洞,攻擊者通過存在缺陷的應用程式程式碼在伺服器上執行任意作業系統 (OS) 命令。
分散式阻斷服務攻擊 (DDoS)
一種惡意的企圖,通過海量的網際網路流量淹沒目標伺服器或其周邊基礎設施,從而破壞目標伺服器的正常流量。
暴力破解攻擊
一種通過嘗試所有可能的組合來猜測登入憑據或加密金鑰的試錯法。
憑據填充攻擊 (撞庫)
一種自動化攻擊,將從某一網站洩漏的用戶名/密碼對,在其他網站上進行大規模嘗試。
會話劫持 (Session Hijacking)
通過竊取或預測有效的會話控制機制(通常是 Cookie),從而獲得對用戶帳號的未授權訪問。
不安全的直接對象引用 (IDOR)
應用程式在未驗證授權的情況下,直接向用戶暴露了內部對象(如資料庫 ID 或檔案)的引用。
權限存取控制缺失 (Broken Access Control)
應用程式未能正確強制執行權限策略,導致用戶能夠執行其權限範圍之外的操作。
檔案上傳漏洞
通過上傳惡意檔案來執行程式碼 (Web Shell) 或繞過安全控制的攻擊行為。
目錄遍歷 (Directory Traversal)
一種 HTTP 攻擊,允許攻擊者訪問受限目錄,並讀取(有時甚至是寫入) Web 伺服器根目錄之外的檔案。
伺服器端請求偽造 (SSRF)
一種攻擊者利用伺服器功能向非預期位置發起請求的攻擊,通常針對內部服務。
點擊劫持 (UI 覆蓋攻擊)
一種視覺欺騙攻擊,透過在看似合法的內容上覆蓋透明 iframe,誘騙用戶點擊隱藏元素。
釣魚攻擊
利用欺騙性通訊手段誘騙受害者洩露敏感資訊或安裝惡意軟體的社會工程攻擊。
中間人攻擊 (MITM)
攻擊者秘密攔截並可能竄改兩個認為自己在直接通訊的雙方之間的通訊內容。
開放重新導向漏洞
當 Web 應用程式接受用戶控制的輸入並將用戶重新導向到外部 URL 時發生的漏洞,可被用於釣魚和信任濫用。
XML 外部實體 (XXE) 注入
一種利用 XML 解析器處理外部實體參照的攻擊,可導致檔案洩露、SSRF 或阻斷服務。
不安全的反序列化
當應用程式在反序列化過程中使用不受信任的資料時產生的漏洞,通常導致遠端程式碼執行。
JWT (JSON Web Token) 攻擊
針對 JWT 實作中漏洞的攻擊,包括演算法混淆、弱密鑰和不當驗證。
子網域接管
攻擊者透過聲明 DNS 仍指向的已廢棄雲端資源來取得子網域控制權的攻擊。