台科賽博流浪貓咪關懷社
Web 101

Owen | 溟

臺科資安社連結大便當

我的連結大便當

$whoami

阿溟 AKA WuSandWitch
寫扣不敢開燈怕吸引 BUG
112特選沒上哈哈...
臺科資安社公關
第八屆台灣好厲駭學員
第一屆 SCAICT 教學組
全國技能競賽
（商務軟體設計 / 行動應用開發）
2022 AIS3 Junior
2023 AIS3
中工110級資訊科學會會長

$whoami

Owen | 溟
沒事不會寫扣但通常有事
寫扣不敢開燈怕吸引 BUG
母胎單身到十九歲
今年二十
貓派/蘋果派/巧克力派/
新貴派/樹莓派

$whoami

阿溟 AKA WuSandWitch
寫扣不敢開燈怕吸引 BUG
112特選沒上哈哈...
臺科資安社公關
第八屆台灣好厲駭學員
第一屆 SCAICT 教學組
全國技能競賽
（商務軟體設計 / 行動應用開發）
2022 AIS3 Junior
2023 AIS3
中工110級資訊科學會會長

Slido

資訊安全 ?

教練我想當駭客
面向分類
學習資訊安全be like:

教練我想當駭客！

分類？

Web

Pwn

Crypto

Misc

Reverse

踩地雷

What is Web

World Wide Web

傳輸網頁的協定

HTTP

伺服器的位址

URL

建構網頁的語言

HTML

How does website work?

傳輸

運行

傳輸程式＆頁面資料

運行程式＆請求資料

傳輸

運行

傳輸程式＆頁面資料

運行瀏覽器
對網站伺服器發出請求

How does website work?

傳輸

運行

傳輸頁面及腳本

運行程式＆請求資料

How does website work?

傳輸

運行

傳輸程式＆頁面資料

運行程式請求資料
e.g.影片、相關影片

How does website work?

傳輸

運行

傳輸程式請求之資料

運行程式＆請求資料

How does website work?

傳輸

運行

傳輸程式＆頁面資料

運行瀏覽器
對網站伺服器發出請求

?

How does website work?

http://

ntust.pro

/ctf

?question=1

協議

位址 / ip

路徑

參數

?question=1

參數

http://

ntust.pro

/ctf

?question=1

協議

位址 / ip

路徑

參數

GET /ctf?question=1 HTTP/2
Host: ntust.pro
User-Agent: Chrome/116.0.5845.141 Safari/537.36
Accept: text/html
Accept-Language: en-US,en;q=0.9

account=wusandwitch
........

GET /ctf?question=1 HTTP/2
Host: ntust.pro
User-Agent: Chrome/116.0.5845.141 Safari/537.36
Accept: text/html
Accept-Language: en-US,en;q=0.9

account=wusandwitch
........

Method 方法

Credit:
Ed Tsai

GET /ctf?question=1 HTTP/2
Host: ntust.pro
User-Agent: Chrome/116.0.5845.141 Safari/537.36
Accept: text/html
Accept-Language: en-US,en;q=0.9

account=wusandwitch
........

Path / Route 路徑

GET /ctf?question=1 HTTP/2
Host: ntust.pro
User-Agent: Chrome/116.0.5845.141 Safari/537.36
Accept: text/html
Accept-Language: en-US,en;q=0.9

account=wusandwitch
........

Protocol Version 協議版本

Hypter
Text
Transfer
Protocol

超文本傳輸協定

GET /ctf?question=1 HTTP/2
Host: ntust.pro
User-Agent: Chrome/116.0.5845.141 Safari/537.36
Accept: text/html
Accept-Language: en-US,en;q=0.9

account=wusandwitch
........

Host 位址

http://

ntust.pro

/ctf

?question=1

協議

位址 / ip

路徑

參數

伺服器位址

GET /ctf?question=1 HTTP/2
Host: ntust.pro
User-Agent: Chrome/116.0.5845.141 Safari/537.36
Accept: text/html
Accept-Language: en-US,en;q=0.9

account=wusandwitch
........

Header 標頭

請求資訊
（類似Metadata）

http📖

GET /ctf?question=1 HTTP/2
Host: ntust.pro
User-Agent: Chrome/116.0.5845.141 Safari/537.36
Accept: text/html
Accept-Language: en-US,en;q=0.9

account=wusandwitch
........

Body 主要資料

夾帶資訊
通常出現在 POST / PATCH / PUT
GET 等 Method 通常不會有

傳輸

運行

傳輸頁面及腳本

運行程式＆請求資料

?

How does website work?

傳輸？

GET /ctf?question=1 HTTP/2 Host: ntust.pro ...

瀏覽器

伺服器

HTTP/2 200 OK
Content-Type: text/html ...

HTTP/2 200 OK
Date: Mon, 25 Sep 2023 09:23:05 GMT
Content-Type: text/html; charset=UTF-8

<html>
<head>...</head>
<body>...</body>
</html>

Status Code 狀態碼

Credit: splitline

http🐱

http📖

HTTP/2 200 OK
Date: Mon, 25 Sep 2023 09:23:05 GMT
Content-Type: text/html; charset=UTF-8

<html>
<head>...</head>
<body>...</body>
</html>

Header 標頭

回應ㄉ附加資訊
（一樣類似 Metadata）

HTTP/2 200 OK
Date: Mon, 25 Sep 2023 09:23:05 GMT
Content-Type: text/html; charset=UTF-8

<html>
<head>...</head>
<body>...</body>
</html>

Body 主要資料

真回應資料
（頁面、程式、資料）

HTML / Js / 貓咪圖片

Burp Suite

BurpSuite

GET blablablab

GET 　バラバラバラ

Lab Time

meow-meow-flag

前端

資料庫

後端

瀏覽器

伺服器

HTML / CSS / JS

SQL / Mongo / ...

PHP / node.js / ...

看得到

看不到

前端

資料庫

後端

渲染？頁面資料？

Credit: splitline

HTML

HTML + CSS

HTML + CSS + JS

學習資源

國外學習資源
國內社群資源
更多...

Hacker101 - 新手導向教學 - https://www.hacker101.com/
picoCTF - 入門導向平台 - https://picoctf.org/

HackTricks - 資源多到一個爆炸、整理很好看的、很有條理的網站 - https://book.hacktricks.xyz/

PWNABLE KR - 打程式pwn有名的平台 - https://pwnable.kr/
PortSwigger - 網路滲透工具商，自己有開課程和LAB，FREE - https://portswigger.net/
TryHackMe - 有付費課程、實作LAB的環境（部分要課金才有）https://tryhackme.com/
HackTheBox - 給你真實靶機打，紅隊滲透者愛好 - https://www.hackthebox.com/
CyberDefenders - 真實攻擊數據(封包、硬碟、記憶體、感染文件) - 藍隊最愛 - https://cyberdefenders.org/
看雪 - 大陸的超大資安論壇，有些很怪的技術，好玩 https://bbs.pediy.com/

學習資源

Credit: Ed Tsai

網頁滲透黑魔法寶典

Web 黑魔法寶典

咒術法典

AIS3
ISIP
DEVCORE Conference
HITCON 台灣駭客年會
TDOHacker
UCCU Hacker
...

社群資源

台科大資安社

成大資安社
中央CTF讀書會 (NCtfU)
中山資安社
交大網路安全策進會
輔大資訊安全研究會 (NISRA)
逢甲黑客社
...

台灣讚讚資安課合輯

大禮包

台灣讚讚資安社團合輯

Credit: 飛飛

台科賽博流浪貓咪關懷社 Web 101

Owen | 溟

內容的桌子

$whoami

淺入淺出資訊安全

What is Web

BurpSuite / Lab

學習資源

$whoami

$whoami

$whoami

Slido

資訊安全 ?

分類？

Web

Pwn

Crypto

Misc

Reverse

What is Web

World Wide Web

HTTP

URL

HTML

How does website work?

How does website work?

How does website work?

How does website work?

How does website work?

How does website work?

How does website work?

傳輸？

渲染？ 頁面資料？

HTML

HTML + CSS

HTML + CSS + JS

學習資源

學習資源

Web 黑魔法寶典

咒術法典

社群資源

大禮包

台科賽博流浪貓咪關懷社
Web 101

渲染？頁面資料？