zxgangandy Blog

關於 email security 的大小事 — 原理篇

大家可能常常在新聞上看到某某公司遭到釣魚信件攻擊,駭客『偽冒公司員工寄信』造成受害者上當的故事。不管是交出內部服務的帳號密碼,還是下載惡意軟體中毒,都是很嚴重的後果,讓我們來看看 email security 是什麼,又有哪些攻防機制吧!

駭客起手式 : Shodan & Fofa

淺談 XSS 攻擊與防禦的各個環節

談到 XSS(Cross-site scripting),許多人可能都只想到「就是網站上被攻擊者植入程式碼」,但若是仔細去想的話,會發現這之中其實還有很多環節都可以再深入探討。

Reverse Engineering 101 — Part 1

很多人對逆向工程躍躍欲試卻不知道從何開始,又該具備哪些知識?這一篇文章會從逆向一個小程式,帶你建立基礎知識與想法!

零基礎資安系列(五)-路徑遍歷(Path Traversal)

# 前言路徑遍歷(Path Traversal)就像想像網站是一個博物館,裡面有許多房間,其中有些房間是 Staff Only 而且門上了鎖不讓訪客進入,但有趣的是博物館裡的每一個房間都有通風口,只要知道房間位置,就可以透過其他房間的通風口前往 Staff Only 的房間獲得所有你想要的資料。

零基礎資安系列(四)-認識注入攻擊( Injection Attack)

# 前言想像今天有個路人突然出現在你面前,拿著一管針筒不由分說的就要往你身上戳,相信正常人的第一反應要嘛拔腿就跑要嘛阻止他,但如果今天你沒想到會有這種狀況,不小心讓他注入成功會發生甚麼事?雖然有很多種可能,但相信我,那一定不會是甚麼好事。今天想和大家聊聊常出現在網頁安全風險榜單上的常客,注入攻擊( Injection Attack),聊聊這種風險到底是如何的危險,居然可以長年高居風險榜單的前三甲,如果我們的網站真的不幸被注入成功了,會導致甚麼樣的後果?如果真的這麼可怕的話,我們有沒有甚麼辦法可以阻止這種攻擊呢?在看完今天的文章之後,其實你會發現,原來這些攻擊離我們這麼近。

隱藏在 React 下的機制: Fiber

在尚未使用 Fiber 前,由於畫面更新前須由 reconciler ( React ) 調度完後才會送到 renderer,且當畫面複雜時,更動一個 state 狀態時也需要將底下的所有子元件重新 render 出一份 virtual dom,而在過去這個部分全部只由一個主線程去做同步式渲染,因此當有一個 Component 需要費時較多時間時,將會把主線程 block,當時間一長,就有可能導致來不及更新至指定時間範圍內,造成無法順利渲染,會有不順暢的情況發生。

零基礎資安系列(三)-網站安全三本柱(Secure & SameSite & HttpOnly)

# 前言保護 Cookie守衛網站安全的三本柱有不同的職責和能力Secure 表示:我不會讓 Cookie去任何危險的地方!HttpOnly 表示:只要有我在的地方 別想找到 Cookie!SameSite 表示:所有和 Cookie 來源不同的請求都別想成功!