最近遇到最棘手的事情,算是要提昇web app的防駭等級,網路上可找到的攻擊資料比較多,Input Validation Modules這個網站還提供視訊的攻防教學,XSS (Cross Site Scripting) Cheat Sheet列出了很多XSS的攻擊檢測方法。
但想要為自己的web app作防駭的時候,卻一直找不到適當的XSS與SQL injection的Regular Expression,用來放在filter上過濾所有user的request parameters,.NET很貼心地提供了 validateRequest設定選項來幫助programmer杜絕駭客,而Java Solution在哪裡,我還找不到......
http://blogged-on.de/xss提供了一個XSS攻擊的遊戲,讓你試著找到XSS攻擊的輸入資料方式,據說有六關,目前我只過到第三關....通往第二關的密碼是:stage2,通往第三關的密碼是:closing_brackets
沒有留言:
張貼留言