製作網站難免會做到關於檔案上傳的功能,如果為了安全考量可能會限制其特定副檔名才能上傳,以免使用者上傳了不該上傳的檔案類型(例如 *.exe 執行檔),不過光是檢查檔案結尾的副檔名真的就安全了嗎?那可不一定!如果你現在還在使用 IIS6 的話,那你可能要小心了,因為最近知名3C連鎖賣場燦坤傳出資料外洩的案件就是因為這個弱點所致。
... 繼續閱讀 ...
此文章由 will 發表於 2010/7/1 下午 11:55:43
永久連結 | 評論 (4) | 此文章的RSS |
分類: IIS | PHP | Security
標籤: iis6, asp, fckeditor, semi-colon, security, vulnerability
從 ASP.NET MVC 2.0 Preview 2 開始 JsonResult 已經被修改成只能在 HTTP POST 的時候回應,像我們經常使用 jQuery 的 $.getJSON 就不能再用了,我從 ASP.NET MVC 2.0 Preview 2 Release Note 得知 JSON Hijacking 之後就持續追蹤下去,覺得這是個非常值得注意的安全問題。
此文章由 will 發表於 2009/11/13 下午 11:55:00
永久連結 | 評論 (3) | 此文章的RSS |
分類: .Net | ASP.NET MVC | JavaScript | Security | Web
標籤: json, asp.net mvc, json hijacking, javascript hijacking, security, web 2.0
市佔率高達 99% 的 Adobe Flash Player 再次出現「重大」安全弱點,這可不是危言聳聽,國外有人評論這次可能算是 Web 界最大的一次資安漏洞,雖然 Adobe 早在 2009/7/30 釋出更新,但根據資安公司 Trusteer 評估全世界大約還有 80% 的使用者尚未套用此更新,只要你上了惡意網站很可能立即被植入木馬。更危險的是,這個漏洞也是「跨平台」的,包括 Windows, Macintosh, UNIX-like 作業系統全部遭殃!
此文章由 will 發表於 2009/8/17 上午 11:08:32
永久連結 | 評論 (0) | 此文章的RSS |
分類: Web | Security
標籤: adobe, flash player, arcobat, web, security
台灣微軟昨天發佈兩個緊急安全更新補充程式編號 MS09-034 (重大) 與 MS09-035 (中度) 與 安全性摘要報告 973882,並強烈呼籲所有用戶應立即更新電腦,以避免電腦遭受攻擊,各位可以透過 Windows Update 自動更新 或透過以下網址下載安全更新補充程式。
此文章由 will 發表於 2009/7/30 上午 11:57:43
分類: Visual Studio | Security | 系統管理
標籤: windows, activex, microsoft security advisory, security, visual studio 2008, atl, active template library
微軟在 2009/7/6 公布一個 Microsoft Video ActiveX Control 弱點,目前只要是 Windows XP 與 Windows Server 2003 都在受害範圍內,只要利用支援 ActiveX 的瀏覽器 ( 例如: Internet Explorer ) 連到受駭的網站,就有可能被立即以當下使用者的執行權限執行任意程式,其中包括: 安裝木馬軟體、刪除檔案、建立帳號、變更檔案屬性或權限、…任何你能做的事情,駭客都能做!
此文章由 will 發表於 2009/7/9 上午 10:15:50
永久連結 | 評論 (5) | 此文章的RSS |
分類: 系統管理 | Security
標籤: windows, activex, microsoft security advisory, security, zero day attack, 零時差攻擊, ie, ie7, ie6, ie8
剛剛在實驗透過 Outlook 2007 發送含「自然人憑證」簽章的郵件,結果卻發現郵件怎樣都寄不出去,我透過我自己寫的【如何安裝設定「自然人憑證」所需的基礎執行環境】進行環境設定,也將憑證都匯入到電腦中,而且也可以用自己的自然人憑證存取政府服務。除此之外,我也有透過自然人憑證用戶端系統環境檢測工具檢測我電腦,結果也十分正常。再者,也檢查了系統中的 Smart Card 服務,也有正常啟動運作中。照理說 Outlook 沒什麼理由不能發簽章信吧!
此文章由 will 發表於 2009/6/7 上午 12:16:29
分類: 系統管理 | Security | Office
標籤: 憑證, security, office, outlook, outlook 2007, 自然人憑證, s/mime, email
今天從資安人雜誌的電子報中發現一則駭人聽聞的熱門新聞:『戰國策4,270筆資料外洩 Google全都露』。我上網研究了一下,果然還有許多非 Google 的搜尋引擎還殘留著快取住(Cached)完整的客戶資料與鉅細靡遺的訂單資訊,包括公司資訊、連絡人、電話、地址、身份證字號、購買了什麼服務、何時到期、折扣、帳號、密碼、.... 簡直什麼死人骨頭都在上面,這實在是太恐怖了,真無法想像這些資料落入詐騙集團手中後,這些客戶是何下場。
此文章由 will 發表於 2009/1/12 下午 09:34:18
永久連結 | 評論 (11) | 此文章的RSS |
分類: ASP.NET | Security | Web
標籤: robots.txt, security, web, crawler, spider
現在越來越多客戶會要求要上線的網站必須提供安全性掃瞄報告,之前我曾經介紹過一套 RatProxy 工具,感覺是不錯,掃瞄的結果也十分的詳細(..繁瑣..),也因為缺乏 UI 其實使用上蠻不方便的。正好我們最近一個上線的網站又被要求做安全性檢測,而這次是由客戶主動要求要用 Paros 掃瞄工具進行檢測。
此文章由 will 發表於 2008/12/15 下午 11:35:57
分類: Security | 介紹好用工具
標籤: paros, security, ratproxy
昨天到客戶那邊開會,他們說最近都有人寄送惡意郵件到他們公司大部分人的信箱,只要郵件中的連結點下去電腦就會被值入木馬,而且他們所有 Windows Update 都做了,我才覺得可能 IE7 有零時差攻擊(Zero day attack)。
此文章由 will 發表於 2008/12/11 上午 10:25:02
分類: Security
標籤: ie7, security, zero day attack, 零時差攻擊
我個人有習慣收集一些網路上別人整理的速查表,因為程式開發的細節真的太多了,要能全部背起來不太可能,也沒什麼意義,甚至於有人說程式設計就是一件查詢、複製、貼上的工作而已。對我來說,寫程式首重觀念與經驗,有了完整而正確的觀念,就算記不得要怎麼寫,查詢一下就馬上能寫了;而有了經驗,對於一些難解的 Bug 自然能夠迅速解開。
此文章由 will 發表於 2008/11/27 下午 03:23:08
分類: .Net | ASP.NET | C# | CSS | JavaScript | LINQ | PHP | Security | SQL Server | Subversion | VBA | Visual Basic | Visual Studio | Web
標籤: .net, cheat sheets, asp, asp.net, javascript, visual studio, c#, linq, sql server, css, html, xml, rgb, php, security, reqular expression
最近 Google 推出一套免費的 Web 安全評估工具,叫做 ratproxy,這套工具可以檢測、分析您的網站是否有安全性漏洞或網頁是否有被入侵,目前可支援 Linux, FreeBSD, MacOS X, 與 Windows (Cygwin) 等執行環境(反正就是 Unix-like 的環境啦)。
此文章由 will 發表於 2008/7/5 上午 12:08:00
分類: Linux | Web | Security
標籤: google, linux, ratproxy, security
微軟最近推出了兩套 SQL Injection 偵測與防禦工具,分別是 Microsoft Source Code Analyzer for SQL Injection (MSCASI) 與 URLScan 3.0。
此文章由 will 發表於 2008/6/26 下午 07:02:00
分類: 介紹好用工具 | Security
標籤: sql, sql injection, scrawlr, urlscan, security
Google 從 2006 年開始在 Google Search 的結果中標示出有安全疑慮的網站,而且最近我也得知 Google 有提供一個「安全瀏覽」的查詢服務,只要透過 Google Safe Browsing API 提供網址就可以讓使用者查詢該網站被 Google 檢測過的結果與相關摘要,目前這個機制也有被整合進 Firefox 與 Google Desktop Search 當中。
此文章由 will 發表於 2008/5/31 下午 04:39:00
標籤: google, google safe browsing, security