Mastodawn

🌘 Caido網站安全審計工具
➤ Caido: 結合經典與尖端，讓網站安全更輕鬆
✤ https://caido.io/
Caido是一款輕量級的網站安全審計工具，旨在協助安全專業人士和愛好者高效、輕鬆地審計網站應用程式。它結合了經典工具與尖端技術，讓安全任務更為簡單、提高工作效率。引入HTTPQL功能，幫助用戶快速過濾大量HTTP請求。Caido支援客戶端/伺服器架構，可在任何設備或VPS上運行，並提供方便的專案管理功能。
+ 使用Caido能讓審計網站應用程式的工作更為高效，值得一試。
+ 新功能HTTPQL對於處理大量HTTP請求將會是一個很有用的工具，期待進一步的應用和發展。
#網站安全 #審計工具

Caido

Caido aims to help security professionals and enthusiasts audit web applications with efficiency and ease.

Caido

GripNews Mar 23

🌗 Next.js 與受損的中介軟體：授權工件 - zhero_web_security
➤ 被授權的古代寶物:尋找通往系統漏洞的線索
✤ https://zhero-web-sec.github.io/research-and-things/nextjs-and-the-corrupt-middleware
最近，為了進行研究，Yasser Allam（化名為inzo_）和Rachid Av.決定聯手。他們專注於Next.js框架，發現一個中介軟體漏洞，影響所有版本。該漏洞允許繞過授權系統，進行攻擊。
+ 研究團隊透過專業的分析揭露了Next.js框架中的安全漏洞，提醒大眾注意網站安全的重要性。
+ 漏洞的發現讓人深感震驚，顯示了網站開發中常被忽略的安全隱患，需要更嚴謹的審查和檢測。
#網站安全

Next.js and the corrupt middleware: the authorizing artifact

CVE-2025-29927

zhero_web_security

GripNews Jan 24

🌘 網站OSINT研究中圖示的重要性
➤ 為何圖示在網路調查中至關重要
✤ https://www.osintme.com/index.php/2025/01/20/the-importance-of-favicons-in-website-osint-research/
網站圖示即為顯示在瀏覽器標籤中的小圖標，它們對於網站的可辨識性及研究具有重要意義。透過查看網頁原始碼，可以獲取目標網站的圖示信息，並利用各種工具來分析網頁的釣魚行為，協助找出假冒網站。
+ 這篇文章對於網路安全工作者來說非常實用，尤其是利用圖示來辨別欺詐網站的技巧。
+ 我從未想過圖示可以如此重要，這些工具的介紹讓我獲益良多，期待能在實際操作中使用。
#OSINT #網站安全 #網路釣魚

The importance of favicons in website OSINT research – osintme.com

GripNews Jan 19

🌘 雷德網 Bot 管理員 Captcha
➤ 保護網站安全的重要步驟
✤ https://iopscience.iop.org/article/10.3847/2041-8213/ad823b
為確保網站安全，請勾選方框以確認您是人類。如無法完成，請透過以下連結聯絡我們並提供您的操作畫面截圖。
+ 簡單而有效的網站安全機制，讓人更放心使用。
+ 網站保護措施應該持續更新，以確保使用者信息安全。
#網站安全

Radware Bot Manager Captcha

GripNews Jan 15

🌘 Radware Bot Manager Captcha
➤ 保護網站免受機器人侵害
✤ https://iopscience.iop.org/article/10.1088/1361-6382/ad98df#cqgad98dff1
請確認您是一名人類，以保護網站安全。若無法完成此請求，請透過以下連結聯絡我們，提供您的經驗截圖。
+ 我們常常需要花費一些時間來證明我們不是機器人，但這是為了網站的安全性。
+ 這樣的人機驗證方式成為了現代網站趨勢，保護個人資料安全。
#網站安全

Radware Bot Manager Captcha

GripNews Aug 15, 2024

🌘 GitHub - dshieble/playwright_xss_scanner
➤ 單文件Python程式可以有效地尋找目標URL中存在的基本跨站腳本（XSS）漏洞。
✤ https://github.com/dshieble/playwright_xss_scanner
這是一個簡單的單文件Python程序，可在目標URL中查找基本的跨站腳本（XSS）漏洞。大多數XSS發現工具使用負載反射策略，在其中負載被注入到URL參數中，並檢查GET響應以找出負載內容反映的位置。這個程序採用了不同的方法，而是直接在瀏覽器上打開目標URL，在瀏覽器上下文中直接測試警報(...)負荷，並聽取觸發警報。這意味著此程序發現的任何XSS幾乎不太可能是假陽性。
+ 很有用的工具！
+ 這個項目看起來很有前景！
#網站安全 #編程工具

GitHub - dshieble/playwright_xss_scanner

Contribute to dshieble/playwright_xss_scanner development by creating an account on GitHub.

GitHub

GripNews Jul 30, 2024

🌘 數位證書撤銷事件
➤ DigiCert CNAME驗證缺失底線字符
✤ https://www.digicert.com/support/certificate-revocation-incident
DigiCert 最近發現部分使用CNAME方式進行的網域驗證，未將隨機值的前綴底線字符加入，根據嚴格的CABF規定，這些證書必須在24小時內撤銷。受影響的客戶需立即登入DigiCert帳戶查看並重新發行或更新證書。
+ "這種細微的技術疏失對於網站運營來說真是一大挑戰。希望DigiCert能快速且有效地解決這個問題。"
+ "這種撤銷措施可能會給企業帶來一些不便，但保證數位安全是至關重要的。"
#數位證書管理 #數位信任 #網站安全

Certificate Revocation Incident | DigiCert

GripNews May 24, 2024

🌘 答覆過濾式拒絕服務攻擊（RFDoS）：透過觸發WAF規則關閉網站
➤ 避免資料外洩與攻擊的挑戰及解決方案
✤ https://blog.sicuranext.com/response-filter-denial-of-service-a-new-way-to-shutdown-a-website/
RFDoS基本上是透過在評論、商品評論、註冊表單、電子商務訂單等中發送特定字串，如ORA-1234、OracleDrive或ASL-CONFIG-FILE，觸發WAF規則，以最小努力達到拒絕服務的效果。文章討論如何避免資料外洩與盲點所帶來的安全問題，以及現代WAF所遇到的挑戰。
+ 這篇文章深入探討了WAF的重要性及其可能遭遇的攻擊手法，對於網站安全有很好的啟發作用。
+ 看完這篇文章後，對於WAF的運作原理和遇到的挑戰有更清晰的瞭解，很值得一讀。
#網站安全

Response Filter Denial of Service (RFDoS): shut down a website by triggering WAF rule

TL;DR: Basically, if a target website is protected by a WAF using the OWASP Core Rule Set or Comodo Rule Set or Atomicorp Rule Set, you can send the string ORA-1234 or OracleDrive or ASL-CONFIG-FILE in a comment, product review, registration form, e-commerce order details, etc... to prevent the

Sicuranext Blog

GripNews Apr 8, 2024

🌖 協助我們取締寄生網站
➤ 請協助舉報寄生網站，守護網路安全
✤ https://notepad-plus-plus.org/news/help-to-take-down-parasite-site/
收到許多關於一個對社區構成嚴重威脅的網站的投訴，該網站在搜尋“下載 Notepad++”時會優先出現，混淆使用者並存在安全風險。該網站打著“非官方粉絲網站僅供一般資訊/教育用途”旗號，實則充斥著惡意廣告，企圖誘騙使用者以牟取利潤。呼籲馬上舉報此寄生網站，共同為線上社羣安全努力。
+ 重要的呼籲，大家共同為網路安全盡一份心力。
+ 應該加強對於此類惡意網站的監控與打擊，維護網路環境的健康。
#網站安全

Help us to take down the parasite website | Notepad++

GripNews Mar 19, 2024

🌖 Let’s Encrypt 發布新的中間證書
➤ Let’s Encrypt已發布新的中間證書，提供更快速、更安全、更有效的線上體驗。
✤ https://letsencrypt.org/2024/03/19/new-intermediate-certificates.html
Let’s Encrypt 在 2024 年 3 月 13 日發布了 10 個新的中間 CA 密鑰對，並發出了包含新公鑰的 15 張新中間 CA 證書，提供較小且更有效率的證書鏈結，提升線上速度、安全性和可訪問性。
+ 這個縮寫得很到位，清楚描述了 Let’s Encrypt 的行動和目的。
+ 這樣的摘要簡短明瞭，讓人容易瞭解 Let’s Encrypt 的最新動向。
#網站安全

New Intermediate Certificates - Let's Encrypt

On Wednesday, March 13, 2024, Let’s Encrypt generated 10 new Intermediate CA Key Pairs, and issued 15 new Intermediate CA Certificates containing the new public keys. These new intermediate certificates provide smaller and more efficient certificate chains to Let’s Encrypt Subscribers, enhancing the overall online experience in terms of speed, security, and accessibility. First, a bit of history. In September, 2020, Let’s Encrypt issued a new root and collection of intermediate certificates.