認識網路釣魚之惡意 Payload、誤導以及障礙
當我們針對目標的前置研究全部都完成之後,我們就可以專注在要構成何種 Payload 來進行攻擊了,惡意組織跟攻擊者會使用不同的方法來傳送釣魚 payloads
基礎網路釣魚攻擊
我們時常聽到的網路釣魚 (Phishing) 除了有著技術性細節,同時也有社會操控的因素包含在內,專業的組織會將其考慮為一項策略,並且精確的針對目標進行網路犯罪攻擊,通常我們會將網路釣魚攻擊分成兩類:普遍性網路釣魚 (大規模的攻擊)以及魚叉式網路釣魚 (目標導向的攻擊)
自動化 SQL Injection 漏洞執行
取決於作業系統、服務的權限以及檔案系統的存取範圍,SQL Injection 漏洞可以被用來讀寫目標作業系統下的檔案,當我們做出一份包含 PHP 程式碼的檔案,並且放進網頁伺服器裡的 root 路徑時,我們可以利用該檔案來獲得完整的隨意程式執行
手動 SQL Injection 漏洞利用
在背景介紹中我們介紹了 SQL 基本指令以及兩個主要的關聯式資料庫,接著我們可以來看如何識別 SQL 注入漏洞後並進行利用,SQL Injection vulnerability 經常被 sqlmap 這個自動化工具發現,或者在操作時誤用觸發到
MITRE ATT&CK 框架
MITRE 於 2013 年啟動 ATT&CK 架構,旨在建立全球可結構化查詢的網路攻擊戰術和技術知識庫,反應出駭客發起攻擊生命週期的各個階段以及已知的目標平台,該架構重點關注外部惡意者如何入侵與操作電腦資訊,其知識庫被用作民營部門、政府部門、企業和個人開發特定威脅模型和方法的基礎
SQL注入漏洞之背景介紹
SQL注入(SQL Injection, SQLi)攻擊在網頁應用服務當中是很主要的漏洞之一,普遍到被OWASP這個組織蒐錄在OWASP Top 10應用服務安全清單裡,其中在2025年版本清單中名列第五
指令注入漏洞
說到指令,讀者會想像到何種情境呢?
通常我們在Windows上可以用命令提示字元,而在Mac跟Linux上有內建的終端機可以讓我們輸入指令,而這些功能都植基在系統上,所以指令注入最基本就是針對系統提供的指令進行操作
常見網頁應用服務攻擊之檔案上傳漏洞
通常只要網頁需要跟使用者進行互動,都會提供檔案上傳的功能,但這也會出現問題,我們可以利用檔案上傳漏洞(File Upload Vulnerability)來存取伺服器系統或者執行惡意code,通常檔案上傳漏洞可以被分成三個種類
常見網頁應用服務攻擊之檔案引用漏洞 LFI&RFI
常見的網頁應用服務漏洞攻擊系列除了我們提到目錄遍歷漏洞攻擊之外,再來談檔案引用漏洞,我們會分析這個漏洞跟目錄遍歷之間的差異,並且向各位介紹本地檔案引用(Local File Inclusion, LFI)以及遠端檔案引用(Remote, File Inclusion, RFI)
常見網頁應用服務攻擊之目錄遍歷漏洞 Directory Traversal
網頁開發在LLM盛行之前的需求非常廣泛,到了諸多MCP可以使用的時代之後,我覺得深刻了解網頁應用服務開發的需求又更加重要了,雖然小型的專案各位可以透過各大線上LLM服務產出內容,但如果缺乏網頁開發者的背景知識、專案的時間壓力以及日新月異的框架新技術變更