Ethernaut – 智能合約資訊安全練習平台
區塊鏈 (Blockchain) 受到人們的吹捧,在眾多的應用情境中,除了加密貨幣 (Crypto Currency) 之外,最受矚目的就是智慧合約 (Smart Contracts),目前主流的智慧合約使用 Solidity 撰寫,其中有許多資安議題值得我們學習與探討,Ethernaut 是一個由 zeppelin 維護的智慧合約資安練習平台,目前已有 19 個練習項目,都是智慧合約資安議題中的經典,值得大家前往挑戰。
分類:Lab
Hackme CTF by Inndy
技術越練越熟練,但是現在的 CTF 難度越來越高,對新手越來越不友善,那新手還可以去哪裡練功呢? 台灣就有一位熱心的白帽駭客 Inndy 特別將他在各種課程與競賽出的題目整理成一個 CTF 供大家練習,題目有簡單有困難,不僅新手適合,進階的人也可以在這個網站獲得充分的練習
漏洞靶場 Cyber Range
vulhub 與 VulApp 提供了各種漏洞的靶場(CyberRange),並且把漏洞環境以docker做封裝,因此在建置環境與測試漏洞非常方便
不過VulApp比較久沒更新了,一些較新的漏洞可能會沒有,但是VulApp還是有一些vulhub沒有的靶場
從 web-for-pentest 看 PHP 原始碼審計
這篇文章使用 PentesterLab 靶機的 XSS 題組作為範例,一步一步的介紹作者在代碼審計過程中的思路,從題目限制分析、需要具備哪些基本知識,一路到 Payload 構成,值得新手閱讀。
代碼審計的基本思想從資料流下手,什麼樣的資料流進,經過哪些函數,從什麼地方流出,過程中有沒有經過危險函數。輸入的過程是否有進行過濾,過濾是否確實。有沒有訪問其他系統或者協定的機會,跨越系統容易出現疏忽,其中 SSRF 就是一個很好的例子。