發現新版本

網站好像有新內容,是否更新?

hexo教學

hexo教學

3 篇文章

2024 AIS3 junior

2024 AIS3 junior

2 篇文章

路徑穿越漏洞:讀取你不該讀取的檔案
2024-08-04 1.1k 字 3 分鐘

路徑穿越漏洞:讀取你不該讀取的檔案

路徑穿越 (Path Traversal),也稱為目錄穿越 (Directory Traversal) 或「點-點-斜線 (dot-dot-slash)」攻擊,是一種允許攻擊者存取網站伺服器上任意檔案的漏洞。透過操縱檔案路徑,攻擊者可以讀取到網站根目錄之外的敏感檔案,例如設定檔、原始碼,甚至是系統層級的密碼檔案。
帳戶接管風險:不安全的密碼變更功能
2024-08-04 757 字 2 分鐘

帳戶接管風險:不安全的密碼變更功能

密碼變更功能是任何使用者系統的核心部分,但如果設計不當,它可能成為攻擊者接管帳戶的直接途徑。一個不安全的密碼變更功能,會讓攻擊者在未經適當授權的情況下,擅自修改受害者的密碼。
不當的身份驗證:當信任可以被偽造
2024-08-04 937 字 3 分鐘

不當的身份驗證:當信任可以被偽造

身份驗證 (Authentication) 是確認「你是誰」的過程,是所有權限控管的基礎。若應用程式未能正確地、嚴謹地驗證使用者身份,就可能讓攻擊者輕易地冒充他人,甚至提升權限,存取受保護的資源。
明文儲存的災難:為何必須加密敏感資料
2024-08-04 1.2k 字 4 分鐘

明文儲存的災難:為何必須加密敏感資料

將使用者的個人資料、密碼、信用卡號等敏感資訊,以未經加密的明文形式直接儲存在資料庫、檔案或日誌中,是最嚴重且最不可原諒的安全疏失之一。一旦資料庫或伺服器被入侵,所有使用者的敏感資料將瞬間暴露在陽光下,造成毀滅性的後果。
憑證保護不足:當加密形同虛設
2024-08-04 821 字 2 分鐘

憑證保護不足:當加密形同虛設

即使開發者對密碼或金鑰進行了加密,但如果儲存這些憑證的檔案或系統本身存在漏洞,導致攻擊者可以輕易存取,那麼再強的加密也形同虛設。這就是「憑證保護不足」漏洞。