PHP preg_match() 繞過
本篇提到了正規表達式的兩種引擎 DFA(Deterministic Finite Automatons) 和 NFA (Nondeterministic Finite Automatons)
在 PHP 的 preg_match() 是採用NFA且在匹配的過程中是有回朔次數限制的
Ethernaut – 智能合約資訊安全練習平台
區塊鏈 (Blockchain) 受到人們的吹捧,在眾多的應用情境中,除了加密貨幣 (Crypto Currency) 之外,最受矚目的就是智慧合約 (Smart Contracts),目前主流的智慧合約使用 Solidity 撰寫,其中有許多資安議題值得我們學習與探討,Ethernaut 是一個由 zeppelin 維護的智慧合約資安練習平台,目前已有 19 個練習項目,都是智慧合約資安議題中的經典,值得大家前往挑戰。
idawasm – IDA Pro WebAssembly 逆向模組
網站的新標準 WebAssembly 逐漸成熟,惡意程式當然也跟上了這個潮流,許多網站挖礦程式均使用 WebAssembly 編寫,因此 FireEye 開發了 idawasm 套件,讓我們能夠在逆向神器 IDA Pro 中愉快的對 WebAssembly 進行逆向分析。
TCPBin – 常用 TCP 資訊收集器
不論是在開發網站,做滲透測試,還是逆向分析,我們都需要對服務產生的流量進行觀察,因此網路上誕生了許多工具,讓你把流量往他身上打,但這樣的服務總是伴隨著許多限制,若我們正在執行的是高機密的測試任務,這些公開服務都變得無法使用,因此 TCPBin 就此誕生。
Hackme CTF by Inndy
技術越練越熟練,但是現在的 CTF 難度越來越高,對新手越來越不友善,那新手還可以去哪裡練功呢? 台灣就有一位熱心的白帽駭客 Inndy 特別將他在各種課程與競賽出的題目整理成一個 CTF 供大家練習,題目有簡單有困難,不僅新手適合,進階的人也可以在這個網站獲得充分的練習
NodeXP – Node.js 服務偵測與弱點利用工具
今天來說說 Nodejs 的服務偵測與弱點利用工具 NodeXP, NodeXP 是一個 Python 2.7 所撰寫的 Nodejs 弱點偵測與利用工具,他會自動探測標的是否存在弱點並進行利用,主要攻擊方式為 Server Side Javascript Injection (SSJI)
RedELK – 紅隊的安全性與資訊事件管理系統 (SIEM)
企業單位通過 Red Team 演練找出公司資訊安全上的弱點,同時間也可以訓練 Blue Team 的偵測與回應能力,RedELK 是一個完整且容易部屬的系統,讓紅隊能夠追蹤藍隊的行為以及發出相關警告,提升紅隊的攻擊成功率與隱匿度,同時間演練的最高層監督者更能了解紅隊與藍隊之間的互動情形。
2017年 Top10 Web Hacking
PortSwigger 也就是Burp Suite 的開方商,列出了2017年中許多新的 Web 攻擊技術,並開放讓大家投票選出2017年前十大Web 攻擊
如果對於2017中有哪些新的技術還不熟悉,可以趁這個整理過的清單來複習一下
圖解 TLS 連線
TLS保護著我們上網的隱私與安全,但作為一個資安研究人員不能只知其然而不知其所以然,讓我們一起深入了解 TLS 的各種階段封包是長甚麼樣子的吧! 這個網站與Wireshark不同的地方在於,他是用互動的方式讓你了解,並且針對每一段資料都有詳盡的解釋,甚至也給出了 openssl 指令讓你在實際環境進行分析。
PHP 安全性檢查表
身為一個網站工程師,總是需要關心一下自己開發的網站是否安全,但要檢查的東西太多了,有沒有什麼清單可以讓我們快速清查呢?有的, 這裡有一份很純的 PHP Security Checklist,還不快來參考看看吧。