跨站請求偽造 (CSRF)
Published: Sat Feb 01 2025
一種利用已登入用戶的瀏覽器,在用戶不知情的情況下向受信任應用程式發送非預期請求的攻擊方式。
常見網際網路安全
關於常見 Web 與網路攻擊的實戰系列,深入解析其運作原理及防禦手段。
每一章節均包含深入的技術解析、Mermaid 攻擊流程圖以及詳細的程式碼級防禦指南。
跨站腳本攻擊 (XSS)
Published: Sat Feb 01 2025
一種程式碼注入攻擊,惡意腳本在受害者的瀏覽器上下文中被執行。
SQL 注入 (SQLi)
Published: Sat Feb 01 2025
一種注入攻擊,允許攻擊者干擾應用程式對其資料庫進行的查詢。
NoSQL 注入
Published: Sat Feb 01 2025
一種針對 NoSQL 資料庫的注入漏洞,通過惡意對象操縱查詢結構或邏輯。
OS 命令注入
Published: Sat Feb 01 2025
一種關鍵漏洞,攻擊者通過存在缺陷的應用程式程式碼在伺服器上執行任意作業系統 (OS) 命令。
分散式阻斷服務攻擊 (DDoS)
Published: Sat Feb 01 2025
一種惡意的企圖,通過海量的網際網路流量淹沒目標伺服器或其周邊基礎設施,從而破壞目標伺服器的正常流量。
暴力破解攻擊
Published: Sat Feb 01 2025
一種通過嘗試所有可能的組合來猜測登入憑據或加密金鑰的試錯法。
憑據填充攻擊 (撞庫)
Published: Sat Feb 01 2025
一種自動化攻擊,將從某一網站洩漏的用戶名/密碼對,在其他網站上進行大規模嘗試。
會話劫持 (Session Hijacking)
Published: Sat Feb 01 2025
通過竊取或預測有效的會話控制機制(通常是 Cookie),從而獲得對用戶帳號的未授權訪問。
不安全的直接對象引用 (IDOR)
Published: Sat Feb 01 2025
應用程式在未驗證授權的情況下,直接向用戶暴露了內部對象(如資料庫 ID 或檔案)的引用。
權限存取控制缺失 (Broken Access Control)
Published: Sat Feb 01 2025
應用程式未能正確強制執行權限策略,導致用戶能夠執行其權限範圍之外的操作。
檔案上傳漏洞
Published: Sat Feb 01 2025
通過上傳惡意檔案來執行程式碼 (Web Shell) 或繞過安全控制的攻擊行為。
目錄遍歷 (Directory Traversal)
Published: Sat Feb 01 2025
一種 HTTP 攻擊,允許攻擊者訪問受限目錄,並讀取(有時甚至是寫入) Web 伺服器根目錄之外的檔案。