在使用最近熱門的寬宏售票網站時,我們發現網頁原始碼存在一些疑似密碼的資訊。從這件事情出發,我們分別延伸探討了兩個工程師應該注意的議題:分別是金流串接常見的弱點以及駭客的心理。
有了 WAF 設備就是萬靈丹了嗎?若沒有資安人員妥善的針對需求設定、調整架構,很可能反而因為資安設備而帶來風險。本文將以 WAF 為例,探討不良設定的設備帶來的危害。
很多網站都有取得使用者 IP 的功能,但是到底有多少網站寫的是對的?網路上又有多少錯誤的教學?本文將介紹利用 HTTP Header 偽造 IP 的方式,以及如何安全、正確取得 IP 的教學。
HttpOnly 主要目的是禁止 JavaScript 直接存取 cookie,以避免他人盜用使用者的帳號。本文將介紹 HttpOnly 的使用方式、實際使用案例。
Content-Security-Policy 主要目的是用來防止 Cross-Site Scripting (XSS) 跟網頁樣式置換,本文將介紹 Content-Security-Policy 的使用方式、實際使用案例、常見誤用案例。
企業主與開發人員越來越重視資安卻常不知該如何著手,戴夫寇爾將於本文多項資安相關的 HTTP headers,以低成本方式強化網站安全性。