1
OWASP Top 10:最新的 Web 安全風險與防範措施(2021 版)
隨著 Web 應用程式的發展,網路安全威脅也日益增加。 為了幫助開發者與安全專業人員識別和防範最常見的安全風險,開放式 Web 應用程式安全計畫(OWASP) 定期發布 OWASP Top 10,列出當前最關鍵的 Web 安全漏洞。 這些風險可能導致敏感資料洩露、伺服器遭駭、用戶帳戶盜用等嚴重問題,...
2025年1月31日
架構
從常見攻擊手法到瀏覽器安全機制,帶你認識 XSS、CSRF、SQL Injection、CORS 等核心觀念,建立網頁資安基礎。
共 11 篇文章
隨著 Web 應用程式的發展,網路安全威脅也日益增加。 為了幫助開發者與安全專業人員識別和防範最常見的安全風險,開放式 Web 應用程式安全計畫(OWASP) 定期發布 OWASP Top 10,列出當前最關鍵的 Web 安全漏洞。 這些風險可能導致敏感資料洩露、伺服器遭駭、用戶帳戶盜用等嚴重問題,...
MD5(Message Digest Algorithm 5) 是一種雜湊演算法(Hash Algorithm),主要用來對資料進行不可逆的單向加密,常見於密碼儲存、數據完整性驗證等用途。 MD5 會將任意長度的輸入轉換為固定長度的 128 位元(16 字節) 的雜湊值(Hash Value)。
SHA-1(Secure Hash Algorithm 1)是一種雜湊演算法,由 美國國家安全局(NSA) 設計,並於 1995 年由 美國國家標準與技術研究院(NIST) 發布。 SHA-1 的作用是將任意長度的輸入數據轉換為 固定 160 位元(20 字節) 的雜湊值(Hash Value),通...
Session Fixation(會話固定攻擊)是一種駭客透過設定或操控受害者的會話 ID(Session ID)來劫持帳戶的攻擊方式。 一般來說,當使用者登入網站時,伺服器會產生一個「Session ID」來識別該用戶的登入狀態。 如果網站的會話管理不夠安全,攻擊者就能預先設定或強迫受害者使用特定...
當你在瀏覽網頁時,是否注意過網址開頭有時是「http://」,有時是「https://」? 雖然這兩者看起來只差了一個「s」,但它們的安全性、使用方式及應用場景卻大不相同。 這篇文章將帶你深入了解 HTTP 和 HTTPS 的區別,並幫助你理解為何大多數網站都逐漸轉向 HTTPS。
你有沒有想過,為什麼登入網站後不用一直重新輸入帳號密碼? 這背後的功臣就是 Cookie。 但 Cookie 這個方便的機制,也可能被駭客利用來「冒充你」發送請求。 這篇文章會用一個「游泳」的比喻開始,帶你理解 Cookie 的運作原理,再一步步拆解駭客如何發動 CSRF 攻擊,以及我們該如何防禦。
想像一下:你點開一個看似正常的網頁連結,下一秒卻發現自己的社群帳號被盜、銀行頁面被篡改,甚至電腦成了駭客的挖礦工具——這就是 跨站指令碼攻擊(XSS) 的恐怖之處。 作為最常見的網站安全漏洞之一,XSS 在 OWASP 十大資安風險中常年上榜。 無論你是網站開發者、初學工程師,還是單純想保護自己的網...
當你在網站登入框輸入帳號密碼時,有沒有想過駭客可能用「’ OR 1=1 –」這種神秘代碼直接突破防線? 這就是臭名昭著的 SQL 注入攻擊,至今仍位居 OWASP Top 10 網路安全威脅榜首。 本文將以新手角度,帶你親歷駭客攻擊思維,並掌握關鍵防禦技術,從此寫出「防彈級」...
在現代網頁開發中,安全性是不可忽視的重要議題。 惡意攻擊(如 XSS(跨站腳本攻擊))經常利用網頁漏洞來執行未經授權的腳本,從而竊取用戶資料或控制網站行為。 為了防止這類攻擊,瀏覽器提供了一種強大的安全機制——Content-Security-Policy (CSP)。 Content-Securi...
當你在瀏覽器中登入銀行網站時,有沒有想過「為什麼其他網頁無法偷看我的帳戶資料?」 這背後關鍵就是 Same-Origin Policy(同源政策)。 作為現代網路安全的基石,這項機制默默守護著每個使用者的隱私。 本文將以新手視角,帶您理解這個政策的設計原理、運作方式與歷史演進。
在現代的網頁開發中,跨網站數據請求是一個非常普遍的需求。 例如,我們可能需要從其他網站獲取數據,或者將數據發送給第三方 API。 而這種跨域請求會受到一個重要的安全機制限制——CORS,即「跨來源資源共享」(Cross-Origin Resource Sharing)。 對於新手來說,理解 CORS...