完赛心得 & Web Exploit 通关心得

前面部份题目未解,仍努力中...


这次挑战的初衷是想看看能不能藉由游戏化的方式让资安学习简单一点,老实说...有是有,但仅限於一开始,初期有大量的剧情吸引你继续往後解下去。题目的设计也是有导引和练习,可以帮助新手一步步的由浅入深。
https://ithelp.ithome.com.tw/upload/images/20201014/201036883ftBEXhWFc.png
每一次的剧情除了有对话,还会收录在笔记本!

不过缺点还是很明显的,利如剧情在各个领域篇就急速下降...可以说是几乎没有啦! 解完只剩下空虚的成就感。而其实剧情跟题目相关也不大,所以後期跟其他竸赛差不多,都在纯解题,有的难度跳跃也比较大(更空虚了...),这是比较可惜的。但总的来说还是很棒,已经是找到目前并止,最吸引我这个新手的资安游戏了 :D
https://ithelp.ithome.com.tw/upload/images/20201014/20103688YVVdptngiQ.png
如果没有游戏,就只剩下死板的题目了


由於资讯安全架构在资讯的基础上,如果对电脑、资讯摸不够广,不够久的话,直接切入资安这一块是真的蛮吃力,即使像这样透过游戏化的方式学习,也有可能因为连题目在问什麽都不知道而打退堂鼓。
因此建议对资安有兴趣的新手至少对某一个领域有兴趣且熟悉後再进入,例如这次的网页漏洞篇就很平易近人,可以花较少的时间 google 基本观念,一下子就能投入找漏洞的乐趣中。

对於每一个不同的主题学习来说,认识主题、取得资讯与工具利用是最基本的功课。以下就盘点官网的网页知识篇可学习技能网页篇]:

认识网页

  • 认识网页 HTML 语法及内容结构
  • javascript 的语法,利如简单的比对
  • 特定网页的档案 robots.txt
  • 网页间如何传递资料(GET、POST)
  • 资料如何储存(cookies、JWT)
  • 资料处理在 client 与 server 上的差别
  • 动态网页语法,如 PHP
  • 资料库及其使用的 SQL
  • 其他常使用到的档案,如PNG 图档的特徵结构

工具篇

  • 使用浏览器的开者者工具,查看及修改资料
  • javascript 的混淆器,encode、decode
  • SQL 线上练习器
  • JWT: JSON web token 解析并修改内容
  • John: 密码破解器
  • 各式程序语言。手动自己分析资料

技术篇

  • 使用浏览器的开者者工具
    • 查看网页原始码,引用的 javascript、css 等
    • 修改 cookie User-Agent、 javascript、css、cookies 等
  • SQL injection
    • 基本的注入及如何替换被过滤的字元
    • blind injcetion
    • second injection
  • JWT
    • 修改 payload
    • 配合密码破解器如 John 取得 secret
  • PHP
    • object injectin

<<:  [第28天]30天搞懂Python-阶乘

>>:  Sudoku Solution Validator

Unity自主学习(二十七):物件跳跃

那麽今天来试着弄出用"空白建"控制物件跳跃的脚本内容吧! 那之前因为都是平面移动,所以我是想着改变座...

【Day 05】你逆 - 逆向工程工具介绍

环境 Windows 10 21H1 IDA PRO 7.5 Python 3.9 x64Dbg A...

Day 24 | 使用ManoMotion制作打地鼠游戏Part2 - 游戏管理

在上一篇文章中完成手部侦测及地鼠设定,今天我们要来加上游戏管理。 目录 地鼠时间控制 分数机制 游戏...

[Day 21] 使用 Coroutine SendChannel 处理非同步工作

系统除了即时接受及回应使用者请求,也需要执行各种非同步工作,例如背景排程及寄送讯息通知…等。在实作上...

Day 25 埠映射与记忆体映射

输出与输入设备是在嵌入式系统里面,占有一个很重要的位置,所有的输入输出系统都必须透过设备控制暂存器,...