Ethernaut – 智能合約資訊安全練習平台
區塊鏈 (Blockchain) 受到人們的吹捧,在眾多的應用情境中,除了加密貨幣 (Crypto Currency) 之外,最受矚目的就是智慧合約 (Smart Contracts),目前主流的智慧合約使用 Solidity 撰寫,其中有許多資安議題值得我們學習與探討,Ethernaut 是一個由 zeppelin 維護的智慧合約資安練習平台,目前已有 19 個練習項目,都是智慧合約資安議題中的經典,值得大家前往挑戰。
區塊鏈 (Blockchain) 受到人們的吹捧,在眾多的應用情境中,除了加密貨幣 (Crypto Currency) 之外,最受矚目的就是智慧合約 (Smart Contracts),目前主流的智慧合約使用 Solidity 撰寫,其中有許多資安議題值得我們學習與探討,Ethernaut 是一個由 zeppelin 維護的智慧合約資安練習平台,目前已有 19 個練習項目,都是智慧合約資安議題中的經典,值得大家前往挑戰。
網站的新標準 WebAssembly 逐漸成熟,惡意程式當然也跟上了這個潮流,許多網站挖礦程式均使用 WebAssembly 編寫,因此 FireEye 開發了 idawasm 套件,讓我們能夠在逆向神器 IDA Pro 中愉快的對 WebAssembly 進行逆向分析。
不論是在開發網站,做滲透測試,還是逆向分析,我們都需要對服務產生的流量進行觀察,因此網路上誕生了許多工具,讓你把流量往他身上打,但這樣的服務總是伴隨著許多限制,若我們正在執行的是高機密的測試任務,這些公開服務都變得無法使用,因此 TCPBin 就此誕生。
技術越練越熟練,但是現在的 CTF 難度越來越高,對新手越來越不友善,那新手還可以去哪裡練功呢? 台灣就有一位熱心的白帽駭客 Inndy 特別將他在各種課程與競賽出的題目整理成一個 CTF 供大家練習,題目有簡單有困難,不僅新手適合,進階的人也可以在這個網站獲得充分的練習
今天來說說 Nodejs 的服務偵測與弱點利用工具 NodeXP, NodeXP 是一個 Python 2.7 所撰寫的 Nodejs 弱點偵測與利用工具,他會自動探測標的是否存在弱點並進行利用,主要攻擊方式為 Server Side Javascript Injection (SSJI)
企業單位通過 Red Team 演練找出公司資訊安全上的弱點,同時間也可以訓練 Blue Team 的偵測與回應能力,RedELK 是一個完整且容易部屬的系統,讓紅隊能夠追蹤藍隊的行為以及發出相關警告,提升紅隊的攻擊成功率與隱匿度,同時間演練的最高層監督者更能了解紅隊與藍隊之間的互動情形。
TLS保護著我們上網的隱私與安全,但作為一個資安研究人員不能只知其然而不知其所以然,讓我們一起深入了解 TLS 的各種階段封包是長甚麼樣子的吧! 這個網站與Wireshark不同的地方在於,他是用互動的方式讓你了解,並且針對每一段資料都有詳盡的解釋,甚至也給出了 openssl 指令讓你在實際環境進行分析。
身為一個網站工程師,總是需要關心一下自己開發的網站是否安全,但要檢查的東西太多了,有沒有什麼清單可以讓我們快速清查呢?有的, 這裡有一份很純的 PHP Security Checklist,還不快來參考看看吧。
登不進自己家的 Router? 還是忘記別人家的 Router 帳密? RouterPasswords可能幫的上你的忙,RouterPasswords 搜集了全球知名的 Router 廠牌與其預設使用者帳密,如此一來就不用怕忘記預設帳密了呢!
Amazon Web Service(AWS) 是目前最有名的 Cloud 供應商之一,功能十分多樣,滑鼠點一點功能就通通跑出來了,使用起來非常方便,但方便的背後伴隨著混亂,CloudMapper 便是一個將當前 AWS 環境圖形化的好工具,通過 AWS API 畫出各項服務彼此之間的連線圖,方便我們驗證網路架構是否如預期,有無設定上的疏失,是梳理網路架構的好幫手。