筆者任職於 Yahoo ，線上課程：《經典駭客攻擊教程：給每個人的網站安全入門》｜粉絲團：《程式猿吃香蕉🍌》

鴻門宴的故事相信很多人都聽過，其中「項莊舞劍，意在沛公」更是一段著名的橋段，由於「伺服器端請求偽造」的攻擊概念較為複雜，我們將用這個概念來講解「伺服器請求偽造」的攻擊原理，除了幫助大家更易於理解之外，也能增添一些趣味性。

「伺服器端請求偽造」英文全名為 Server Side Request Forgery ，簡稱 SSRF ，是較為複雜一些的網站攻擊手段，駭客必須先收集部分的資訊 (例如：內部使用的 API ) 才能達成攻擊。但這並不表示這類的攻擊不容易發生，反而隨著許多第三方 Open API 的流行與廣泛於企業內使用 (例如：Google API、Facebook API、AWS …

筆者任職於 Yahoo ，線上課程：《經典駭客攻擊教程：給每個人的網站安全入門》｜粉絲團：《程式猿吃香蕉🍌》

目錄遍歷 (Path Traversal) 是一種經典的網站攻擊手法，概念很簡單，卻也最容易被大家忽略，即使是有多年開發經驗的工程師，也有可能一不小心而犯錯。

許多人對於目錄遍歷的誤解之處在於：以為駭客只會在前端網頁的網址做目錄遍歷，或是以為前端頁面框架的路由(Router) 功能可以保護你，但其實駭客會在你意想不到的地方進行目錄遍歷，例如：API 路由等等。

本篇文章將會介紹目錄遍歷的攻擊原理、提供實際攻擊範例以及說明該防禦的注意事項。

本篇內容：
✔ 目錄遍歷的攻擊原理
✔ 實際攻擊範例: 前端網址遍歷 & API 路由遍歷
✔ 防禦的注意事項

▍目錄遍歷的攻擊原理

目錄遍歷 (Path traver …

筆者任職於 Yahoo ，粉絲團：《程式猿吃香蕉🍌》

首先感謝主辦單位提供了這麼棒的活動，一連兩天的社群技術議程讓我收穫滿滿，在社群日所分享的主題並不限於 .Net 的技術，對於第一次與會的我感到十分新鮮，在此也要肯定微軟在台灣對技術社群的耕耘。

附帶一提，我目前所在的工作專案上並未使用到 .Net 的技術，會參加此活動實在是因為議程主題太吸引我，尤其是 91 App 主講的幾個主題。在實際參與後，也完全沒讓我失望，不僅滿滿的乾貨，也很啟迪人心。

此外，兩天活動中精心安排的「捕捉大神」活動設計也十分有趣，以集點的概念用 Line Bot 掃描在講者身上的 QR Code (如下圖所示)，算是給了許多生性害羞的工程師一個由頭，可以多與講者交流，我自己也借此機會與講者小聊了一下。

筆者任職於 Yahoo ，線上課程：《經典駭客攻擊教程：給每個人的網站安全入門》｜粉絲團：《程式猿吃香蕉🍌》

兩年前，我有分享過一篇 Same Origin Policy 同源政策 的文章，討論兩種 Same Origin Policy 對於網站安全的影響，今年以來，由於 SameSite 設定的推出，對於 Cookie 是否會送出的「預設條件」出現變化，對於許多網頁應用程式造成影響，也對網路廣告產業造成衝擊，

本篇文章將會先以同源政策說明 Cookie 的送出條件，再分享 SameSite 的設定，也會介紹幾種情境：iframe 與 form 的使用下，SameSite 設定對 Cookie 的影響。許多人常忽略其實 SameSite 設定不只對 Cookie 送出有影響，對其寫入也會有影響 …

筆者任職於 Yahoo ，粉絲團：《程式猿吃香蕉🍌》

這幾天讀到 Ron Jeffries 再次談到 Working Software 的概念，回想起自己在2015 年為前公司導入 Scrum 的時候，所遇到的種種困難。當時還發了一篇筆記，記錄 Sprint 一再失敗的原因。

事隔多年之後，多了許多歷練，後來對於當年的問題有了較好的解法，因此決定之後另外發系列文，紀錄2020年的想法轉變。本篇是2015年原文復刻，當時文筆較為粗糙也比較犀利，大家可以參考看看是不是目前自己的 Scrum 流程也相同的問題，以下為 2015 原文：

- 2015 原文開始：

因應業務端急遽成長的需求，打算以 Timeboxing 來劃分每個階段的release。因此在公司內導入Scrum開發流程。在Sprint執行的過程中經歷各種酸 …

筆者任職於 Yahoo ，粉絲團：《程式猿吃香蕉🍌》

這幾天軟體開發圈有個話題很熱：《 Deploy on Fridays 》，到底週五要不要部署呢？ 正方的論述，提到了 Allen Holub 的觀點：(參考來源)

‟Friday-deployment prohibitions tell me your quality control is so poor, your testing is so spotty, your process is so out of control, & your code is such a mess, that you see risk. It’s a huge red flag. Friday should be a day like any other.‟

『週五禁止部署的規定告訴我，你的品質控管太差了，你的測試參差不齊，你的流程非常失控，你的程式碼一團亂，因此你認為週五部署有風險，這是一個巨大的危險訊號，週五跟其他天應該是一樣的日子 …

筆者任職於 Yahoo ，粉絲團：《程式猿吃香蕉🍌》

最近在學習《計算機程序的構造和解釋》（Structure and Interpretation of Computer Programs, SICP），是一本關於計算機程序設計的總體性觀念的基礎教科書。這本書寫於1980年代，名氣至今歷久不衰，算是在計算機科學領域被捧上天的神書。

筆者任職於 Yahoo ，粉絲團：《程式猿吃香蕉🍌》 | 線上課程：《經典駭客攻擊教程：給每個人的網站安全入門》

最近看到一篇有趣的文章: The inception bar: a new phishing method ，面對釣魚網站，難道現在連網址列的內容也不可信了嗎？

本篇文章將會說明這種新的攻擊手法，並且一併介紹相關網站安全的知識 Picture-in-picture attacks 以及 The Line of Death，最後提出自己的一些想法做為總結。

網址列被偽裝？怎麼回事？

簡單來說，原文作者利用 Chrome 瀏覽器在手機顯示網頁時，自動隱藏網址列的特性，做了一個假的網址列來欺騙網站使用者，讓使用者以為自己正在瀏覽 hsbc.com底下的網頁 ，但其實使用者是在一個釣魚網站jameshfiser.c …