分類 資訊安全

CSRF(Cross-site request forgery) CSRF 主要的攻擊行為就是利用當使用者合法取得網站使用認證後，透過某些方式偽造網站合法使用者的身份進行非法的存取動作，合法使用者即可能在不自覺的情況下被引導到駭客的攻擊網頁。 簡單來說就是在使用者已登入的情況下，接收到攻擊者的惡意連結並且在使用者不知情的情況下來達成修改密碼，修改商品價格，轉帳等功能 防禦機制 Level Low $pass_new  = $_GET[ 'password_new' ]; $pass_conf = $_GET[ 'password_conf' ]; 這邊的驗證機制非常簡單，只會判斷你的新密碼和確 […]

命令注入(Command Injection)是通過在應用中執行宿主作業系統的命令，來達到破壞目的的一種攻擊方式。如果我們的應用程式將不安全的用戶輸入傳遞給了系統命令解析器（shell），那麼命令攻擊就有可能發生。 通常來說，由應用程式傳遞作業系統命令會賦有和應用一樣的權限，所以如果沒有合理防禦機制會給系統帶來很大危害。命令注入攻擊漏洞是PHP應用程式中常見的漏洞之一。 命令注入和代碼注入不同，代碼注入的目的在於將外部代碼注入應用程式本身，並隨程序執行；命令攻擊的對象是伺服器的宿主機。DVWA的相應模塊中，有如下功能：應用提供了一個用來ping對象主機的功能。正常情況下，輸入IP位址，返回命令 […]

        錯誤訊息: 「Cannot start service :driver failed programming external connectivity on endpoint xxx, Bind for 0.0.0.0:80 failed: port is already allocated 」 ERROR: for dvwa_web_1  Cannot start service web: driver failed programming external connectivity on endpoint dvwa_web_1 (f […]

Root-Me官方網站：https://www.root-me.org 這題可以從題目直接判斷出此題為xss儲存型漏洞 頁面為一個留言板的配置