:::success **B3專題討論 8/16** >[name=沒人啊] >[name=哈哈哈] ::: # 專題討論RRRRRRRRR ###### tags: `資安` :::warning **Rules：有什麼想法都直接給我丟上來** ::: ## 8/15 Day1 ### 關於選題 - XSS(跨網站腳本攻擊) ： - 缺點：可能會太簡單 or 撞題 - 優點：應該是可以做出來的東西 - 介紹：[Day3] - XSS(Cross site scripting) 介紹 https://ithelp.ithome.com.tw/articles/10237126 - CSRF(跨網站請求偽造攻擊) ： - 缺點：不確定做不做得出來 - 優點：好像難度適中(?)或偏簡單 - 介紹：[Day25]- 新手的Web系列CSRF https://ithelp.ithome.com.tw/articles/10251769 ### 關於報告方式 - 報告介紹攻擊手法+demo復現 - 缺點： 1. 想出來的東西可能比較單一 2. 能介紹的東西比較少 - 優點：比較做得出來 - 用漏洞介紹攻擊手法+demo復現 - 缺點：復現可能會遇到一堆困難 - 優點： 1. 可以從一個漏洞介紹多個攻擊手法 2. 可以放跟這個漏洞相關的OWASP TOP10跟CVE ## 8/16 Day2 ### 關於選題 ~~上面都太爛了~~ 所以決定重想 - 找舊版本的軟體漏洞 [Apache 的 CVE 總表](https://www.cvedetails.com/vulnerability-list/vendor_id-45/Apache.html) [這個](https://teamt5.org/tw/posts/apache-http-server-vulnerabilty-on-windows-2021/)感覺講得很詳細 分析漏洞成因、攻擊方法、如何修補 分析:看code(C code) 問題成因 備案:架靶機 https://www.secrss.com/articles/34890 ## 8/17 Day3 ### 相關資料區 - [PayloadsAllTheThings](https://swisskyrepo.github.io/PayloadsAllTheThings/)：裡面蠻多攻擊手法ㄉ https://github.com/swisskyrepo/PayloadsAllTheThings [Apache Source Code(2.4.49、2.4.50)](https://drive.google.com/drive/folders/1D5uWjImcjO7fuZxiUmQm6DEiGtBz737s?usp=sharing) 來源是[這裡](http://archive.apache.org/dist/httpd/)，上面是放雲端方便下載（？ [一些些筆記](https://hackmd.io/@eeeeee/SJavlbc2n) 沃！上面這個很讚 ## 情報區 :::danger # **！！！~~B1 好像要做SSTI~~！** # **！！~~B1 好像要做SSTI~~！！** # **！~~B1 好像要做SSTI~~！！！** :::