[Day30] 让Web开发者森77之後 / 总结

正文

今天最後一天了，当初因为没存稿的关系，加上很多主题想写，但又没把握能写好，所以不知道能不能顺利完赛XD。

Web应用程序的攻击其实还有很多，像是SSRF、XXE、Command Injection、Deserialization、SQL Injection、XSS等等都没有写到，主要原因是这些很多都有人写了，像是Orange大大的SSRF，不管是概念还是实际利用，都已经称得上完美。所以这次主要想挑战尽量写一些比较少人提到的攻击，像是ORM Injection，不过这种漏洞也因为资料相对於SQL Injection这些，资料和文献较少很多，所以也有点碰壁，就算已经知道概念，但要好好写成一篇文章对我来说还是有点挑战XD。加上我自己重新review过後，也发现很多可以修正或多讲的地方，也会在接下来的时间自己梳理一下。

这些攻击也都还有很多可以延伸的地方，唯一可以预见的是，不管是Web攻击或是Privilege Escalation甚至是其他的攻击手法，只可能更多。包含像是各种side channel attack等等，这30天的内容实际上完全称得上只是基础，也让我在研究找资料的过程中学到不少，另外也希望透过这30天勉励自己持续学习XD。

如果你想要进入资讯安全领域，资讯安全领域也不会有学完的一天(当然很多领域也适用)，而你的基本功、知识储备、逻辑、条理、思维与毅力，决定了你在这个领域所能达到的高度。也希望这30天的内容，能够让更多人了解Web Application的攻击技巧，感谢大家，有问题欢迎讨论。