Introduction
嗯,對,你沒看錯,這是一篇 2024 寫的 2023 面試分享文,本來因為懶加上看到其他人分享的文都好強,所以沒打算寫,但去年有一部份 Email 不見了,為了以後還能回顧,還是趁自己還記得一些片段的時候趕快寫下來。總之以下是這篇包含的公司,基本上是目前還記得的(應該…沒有漏掉吧),可以挑有興趣的看:
AIS3 EOF Final 2024 遊記+心得
AIS3 2022 — CDN 技術所帶來的攻擊面向(下)
Note: 這篇是下篇,還沒看過上篇的可以先看一下再回來這篇!
1. How to Attack & Defend
1.1. Post Exploitation - CF-Connecting-IP
還有另一種常見的問題,就是取得 IP 的實作方式所產生的漏洞。由於你的網站都是 CDN 的 Server 代替使用者送出請求,那你要怎麼取得使用者真實 IP 呢?這時 CDN 通常就會在 Request Header 中塞入一個自定義的 Header 來傳遞,原理與 Proxy 的 X-Forwarded-For Header 差不多(有興趣的話,推薦延伸閱讀:如何正確的取得使用者 IP),例如 CF 就會使用 CF-Connecting-IP 這個 Header 來傳遞使用者 IP,我們就可以從這個 Header 中取得使用者的 IP。
AIS3 2022 — CDN 技術所帶來的攻擊面向(上)
1. Introduction
距離今年 AIS3 已經結束一個月了,還都收到了第二張結業證書,一定是提醒我該開始來補坑(๑•ั็ω•็ั๑) 今年是第一次參加 AIS3,參加的感想用一句話來說的話,就是「這真的是免費可以參加的嗎」(X),講師都是各路業界大神,真的是一個非常棒的經驗,也很感謝所有籌辦的教授、工作人員等,他們多年來的努力耕耘,讓台灣的資安界能越來越好 (´▽`)
這系列文章預計會分享一些網頁安全或是我比較感興趣的課程,不僅希望可以幫助一些也有興趣的同好,也希望透過筆記讓自己能夠溫故知新(趁自己還沒忘記之前)。
第一篇讓我直接跳到第二天的上午課程,是由 Mico 帶來的「CDN 技術所帶來的攻擊面向」,這篇會介紹 CDN 以及相關的攻擊議題,由於這堂課內容太豐富了,所以會分成兩篇。另外,這是我第一次聽 Mico 講課,不得不稱讚一下口條蠻好的,而且內容也十分淺顯易懂,人還很有趣,大推👍
完稿後補充:結果中間太忙,打完上跟下兩篇已經是課程結束後兩個月了XDD,不過這篇太長了,多花點時間也應該是可以接受的(吧?