筆者任職於 Yahoo ,線上課程:《經典駭客攻擊教程:給每個人的網站安全入門》粉絲團:《程式猿吃香蕉🍌

大家旅行的時候喜歡跟團還是自由行呢?或是否有被導遊放生變成自由行的體驗?本篇文章將使用「旅遊」的概念來說明「開放式重定向 Open Redirect 」攻擊手法,便於大家了解這項攻擊手法的嚴重性

這類攻擊最常發生在網站登入流程,因為網站登入後的跳轉如果沒有指定白名單或做驗證,很容易被駭客利用來做「釣魚攻擊」,那麼防禦的重點就在於怎麼正確的「驗證」跳轉的網址了

本篇文章將先說明「開放式重定向 Open Redirect 」的攻擊原理與損害,並先說明「錯誤」的防禦方式,供大家自己的防禦方式是否正確,最後再分享正確的防禦重點事項

本篇內容:
✔ 開放式重定向 Open Redirec …

筆者任職於 Yahoo ,線上課程:《經典駭客攻擊教程:給每個人的網站安全入門》粉絲團:《程式猿吃香蕉🍌

鴻門宴的故事相信很多人都聽過,其中「項莊舞劍,意在沛公」更是一段著名的橋段,由於「伺服器端請求偽造」的攻擊概念較為複雜,我們將用這個概念來講解「伺服器請求偽造」的攻擊原理,除了幫助大家更易於理解之外,也能增添一些趣味性

「伺服器端請求偽造」英文全名為 Server Side Request Forgery ,簡稱 SSRF ,是較為複雜一些的網站攻擊手段,駭客必須先收集部分的資訊 (例如:內部使用的 API ) 才能達成攻擊但這並不表示這類的攻擊不容易發生,反而隨著許多第三方 Open API 的流行與廣泛於企業內使用 (例如:Google API、Facebook API、AWS …


筆者任職於 Yahoo ,線上課程:《經典駭客攻擊教程:給每個人的網站安全入門》粉絲團:《程式猿吃香蕉🍌

目錄遍歷 (Path Traversal) 是一種經典的網站攻擊手法,概念很簡單,卻也最容易被大家忽略,即使是有多年開發經驗的工程師,也有可能一不小心而犯錯

許多人對於目錄遍歷的誤解之處在於:以為駭客只會在前端網頁的網址做目錄遍歷,或是以為前端頁面框架的路由(Router) 功能可以保護你,但其實駭客會在你意想不到的地方進行目錄遍歷,例如:API 路由等等。

本篇文章將會介紹目錄遍歷的攻擊原理、提供實際攻擊範例以及說明該防禦的注意事項

本篇內容:
✔ 目錄遍歷的攻擊原理
✔ 實際攻擊範例: 前端網址遍歷 & API 路由遍歷
✔ 防禦的注意事項

▍目錄遍歷的攻擊原理

目錄遍歷 (Path traver …


筆者任職於 Yahoo ,粉絲團:《程式猿吃香蕉🍌

首先感謝主辦單位提供了這麼棒的活動,一連兩天的社群技術議程讓我收穫滿滿,在社群日所分享的主題並不限於 .Net 的技術,對於第一次與會的我感到十分新鮮,在此也要肯定微軟在台灣對技術社群的耕耘。

附帶一提,我目前所在的工作專案上並未使用到 .Net 的技術,會參加此活動實在是因為議程主題太吸引我,尤其是 91 App 主講的幾個主題。在實際參與後,也完全沒讓我失望,不僅滿滿的乾貨,也很啟迪人心。

此外,兩天活動中精心安排的「捕捉大神」活動設計也十分有趣,以集點的概念用 Line Bot 掃描在講者身上的 QR Code (如下圖所示),算是給了許多生性害羞的工程師一個由頭,可以多與講者交流,我自己也借此機會與講者小聊了一下。


筆者任職於 Yahoo ,線上課程:《經典駭客攻擊教程:給每個人的網站安全入門》粉絲團:《程式猿吃香蕉🍌

(圖片來源:https://blog.heroku.com/chrome-changes-samesite-cookie)

兩年前,我有分享過一篇 Same Origin Policy 同源政策 的文章,討論兩種 Same Origin Policy 對於網站安全的影響,今年以來,由於 SameSite 設定的推出,對於 Cookie 是否會送出的「預設條件」出現變化,對於許多網頁應用程式造成影響,也對網路廣告產業造成衝擊,

本篇文章將會先以同源政策說明 Cookie 的送出條件,再分享 SameSite 的設定,也會介紹幾種情境:iframe 與 form 的使用下,SameSite 設定對 Cookie 的影響許多人常忽略其實 SameSite 設定不只對 Cookie 送出有影響,對其寫入也會有影響 …


筆者任職於 Yahoo ,粉絲團:《程式猿吃香蕉🍌

(圖片來源:https://www.thnk.org/insights/growing-from-failure/)

這幾天讀到 Ron Jeffries 再次談到 Working Software 的概念,回想起自己在2015 年為前公司導入 Scrum 的時候,所遇到的種種困難。當時還發了一篇筆記,記錄 Sprint 一再失敗的原因。

事隔多年之後,多了許多歷練,後來對於當年的問題有了較好的解法,因此決定之後另外發系列文,紀錄2020年的想法轉變。本篇是2015年原文復刻,當時文筆較為粗糙也比較犀利,大家可以參考看看是不是目前自己的 Scrum 流程也相同的問題,以下為 2015 原文:

- 2015 原文開始:

因應業務端急遽成長的需求,打算以 Timeboxing 來劃分每個階段的release。因此在公司內導入Scrum開發流程。在Sprint執行的過程中經歷各種酸 …


筆者任職於 Yahoo ,粉絲團:《程式猿吃香蕉🍌

(圖片來源:https://devrant.com/rants/295709/do-not-deploy-on-friday-ever-period)

這幾天軟體開發圈有個話題很熱:《 Deploy on Fridays 》,到底週五要不要部署呢? 正方的論述,提到了 Allen Holub 的觀點:(參考來源)

‟Friday-deployment prohibitions tell me your quality control is so poor, your testing is so spotty, your process is so out of control, & your code is such a mess, that you see risk. It’s a huge red flag. Friday should be a day like any other.‟

『週五禁止部署的規定告訴我,你的品質控管太差了,你的測試參差不齊,你的流程非常失控,你的程式碼一團亂,因此你認為週五部署有風險,這是一個巨大的危險訊號,週五跟其他天應該是一樣的日子 …


筆者任職於 Yahoo ,粉絲團:《程式猿吃香蕉🍌

最近在學習《計算機程序的構造和解釋》(Structure and Interpretation of Computer Programs, SICP),是一本關於計算機程序設計的總體性觀念的基礎教科書。這本書寫於1980年代,名氣至今歷久不衰,算是在計算機科學領域被捧上天的神書。


筆者任職於 Yahoo ,粉絲團:《程式猿吃香蕉🍌 | 線上課程:《經典駭客攻擊教程:給每個人的網站安全入門》

最近看到一篇有趣的文章: The inception bar: a new phishing method ,面對釣魚網站,難道現在連網址列的內容也不可信了嗎?

本篇文章將會說明這種新的攻擊手法,並且一併介紹相關網站安全的知識 Picture-in-picture attacks 以及 The Line of Death,最後提出自己的一些想法做為總結。

網址列被偽裝?怎麼回事?

簡單來說,原文作者利用 Chrome 瀏覽器在手機顯示網頁時,自動隱藏網址列的特性,做了一個假的網址列來欺騙網站使用者,讓使用者以為自己正在瀏覽 hsbc.com底下的網頁 ,但其實使用者是在一個釣魚網站jameshfiser.c …


筆者任職於 Yahoo ,粉絲團:《程式猿吃香蕉🍌 | 線上課程:《經典駭客攻擊教程:給每個人的網站安全入門》

子目錄與子網域的選擇?

對於網站設計時,子目錄 (sub directory) 與子網域 (subdomain)的選擇,大多著重在 SEO 以及系統架構的角度,某位學員在我的課程中問到如果以網站安全的角度,來看這兩者的不同,會是什麼樣呢?

我覺得十分有趣,因此將此篇內容彙整出來與大家分享。

別人是怎麼做的?

在進行分析之前,我們先看其他知名的網站是怎麼做的,我們可以看到 Uniqlo 的網站,它在切分不同國家別的時候,是採用切分子目錄 (sub directory)的方式來製作 (如下網站所示),我們以下統稱這種方式為「多子目錄」的實作方式:

* 台灣版的網站

http://www.uniqlo.com/tw/

* 日本版的網站

http://www.uniqlo …

Jayden Lin

Yahoo 擔任 Lead Engineer,負責搜尋廣告系統開發。曾擔任樂天市場前端開發組經理,從零建立樂天台灣前端開發團隊。也是《程式猿吃香蕉》團隊創辦人,致力提供優質的、入門的、科普性質的軟體知識給大家。

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store