The Will Will Web | Security

The Will Will Web

記載著 Will 在網路世界的學習心得與技術分享

如何設定 SQL Server 2008 接受 SSL 加密連接 (需設定憑證)

最近在研究如何讓 SQL Server 用戶端程式能夠連接到 SQL Server 2008 時能夠採用 SSL 加密連線,卻發現網路上很難找資料,找到的大多是 SQL Server 2000 或 2005 的說明,而 SQL Server 2008 的說明卻經常不夠完整,在 TechNet 網站也非常難找到正式的教學文件告知怎樣設定,研究了兩天後終於研究出正確設定的標準作業流程,真是太開心了!^_^

... 繼續閱讀 ...

個資保護、Google Hacking 與 robots.txt 的關係與設定技巧

我想大部分人都應該知道 robots.txt 檔案的功用 (如果不知道可參考我之前的文章),因為 robots.txt 是給網頁爬蟲機器人 (Web Crawler) 看的,搜尋引擎要來抓網站網頁進行索引前,都會「禮貌性」的先抓取 robots.txt 檔案回去分析,若特定 URL 真的允許抓網頁回去才會繼續下載網頁,不過看這個檔案的 人類就不一定這麼有禮貌,讓駭客知道了你「不想被抓的目錄」後,反而讓駭客產生興趣,進而企圖攻擊這些你不想被知道的網頁路徑,所以選擇不將這些路徑放到 robots.txt 定義檔裡,然而,這觀念是正確的嗎?No!!! 請繼續看下去…

... 繼續閱讀 ...

如何打造符合個資法規的網站系統 — 以 ASP.NET 為例

為因應個資法的來臨,筆者去年曾投稿資安人電子雜誌關於「個人資料保護法」的文章,主要是站在開發人員的角度進行思考如何打造符合個資法規的���站系統,文章中結合了我近幾年對個資法的瞭解與網站實務開發經驗,明確告知開發人員如何做好自己該做的事,千要不要認為個資法只是一個資安政策,而是你我必須認真看待與面對的日常工作。本文已於今年一月刊載於資安人電子雜誌82期,由於資安人電子雜誌是付費版的電子雜誌,礙於許多開發人員所處公司可能沒有訂閱該雜誌,今日得到資安人電子雜誌的同意,允許我將此文全文轉載於我的部落格,分享給開發人員。如讀者對資安相關議題有興趣,建議也可考慮加入資安人電子雜誌的付費會員,即時獲得最新的資安訊息。

... 繼續閱讀 ...

ASP.NET 發現重大資安弱點影響範圍涵蓋 ASP.NET 1.1 ~ 4.0

幾天前從 ScottGu's Blog 得知了一個 ASP.NET 的重大資安弱點,微軟緊急的在最短時間內推出安全性更新,目前已正式發佈至 Windows Update 網站,各位 IT 人員隨時都能透過 Windows Update 套用這次的安全性重大更新,以確保 ASP.NET 網站能夠正常運作。由於這次的安全性更新被歸類為「重大」等級,所以各位還是盡可能早更新早安心,不要等出事了才反應喔!

... 繼續閱讀 ...

Windows 如何設定「特定服務」由「特定使用者」進行管理

我們有個客戶的生產環境的資安要求極其嚴格,我們廠商進去維護都必須申請才能提高權限,否則就要委由系統維護人員進行操作,所以非常不方便。然而他們向我提出了個例外條件,就是他們可以接受特定服務可以由廠商的特定帳號來管理,不過好像 Windows 沒有這種授權方式,請我找看看有沒有這種方法。最後我也研究出設定的方法,還真的 100% 符合客戶的要求,今後我們維護作業就更輕鬆了,以下是設定的方法筆記。

... 繼續閱讀 ...

介紹好用工具:Panda USB Vaccine (為你的 USB 注射疫苗)

今天去參加 TWNIC 舉辦的網路安全教育訓練課程,其課程主題是 惡意程式分析與鑑識(實做) 教育訓練,過程中學到非常多以前從來沒接觸過的資訊,也終於釐清了許多以前覺得無法理解的狀況,我真的覺得有這種課程真的很難得,可以開啟不少視野。課程中介紹了許多工具,其中有個 Panda USB Vaccine 工具蠻適合大眾使用的,透過這個工具可以替你的 USB 隨身碟注射防毒疫苗 (只能防 AUTORUN.INF 病毒)!

... 繼續閱讀 ...

如何在 IIS7 / IIS7.5 安裝 SSL 憑證(含 IIS7 匯入憑證的 Bug)

先前我曾經寫過一篇【購買與安裝 SSL 憑證完全攻略 (以 IIS7 為例) 】文章,文章裡鉅細靡遺的解說如何從購買 SSL 憑證到安裝 SSL 憑證到 IIS 上的過程,而且都有詳細的圖文解說,不過我最近卻發現當透過 IIS7/IIS7.5 管理員匯入 SSL 憑證且將憑證設定為「不允許匯出此憑證」時,就會導致該憑證無法正確繫結到站台的狀況,所以特別撰文提醒各位如何才能夠安全的管理憑證使用,又能正常運作於 IIS7 之中。

... 繼續閱讀 ...

透過 OpenSSH 使用 SFTP 登入時將帳戶設為 chroot 的方法

當使用 WinSCPFileZilla Client 使用 SFTP 協定登入 OpenSSH 伺服器時,在預設的情況下使用者可以自由的在檔案系統間遊走,當我們基於安全的理由希望透過 SFTP 登入伺服器後能透過 chroot() 的方法將使用者 關在(chroot) 特定目錄下,讓他不能跑到其他目錄瀏覽資料,透過一些簡單的設定就能達到,以下就是設定的方式。

... 繼續閱讀 ...

設定具有進階安全性的 Windows 防火牆的步驟、技巧與觀念

Windows 防火牆其實是個非常不錯的玩意,只是一般人比較不清楚要如何游刃有餘的設定他,我這幾年經手過不少 Windows 伺服器,我發現設定錯誤的人其實蠻多的,而更有大部分的伺服器主機根本預設關閉 Windows Firewall 服務,只依賴客戶額外採購的硬體式防火牆來保護主機的網路安全,這篇文章裡我打算分享一些我在設定這些輸入/輸出規則的一些經驗與檢查現有防火牆規則的一些步驟,跟大家一起分享與探討,看是否有更好的方式能將 Windows 防火牆設定的更安全。

... 繼續閱讀 ...

上傳檔案至 IIS 的檔案名稱有三個字元最好禁止使用: % # +

上個月有個客戶提到他們從後台上傳的檔案不知為何在前台就是看不到,我查看了一下發現檔名中有個加號 ( + ),但奇怪的是原本網站明明就是好的。後來我才想起來客戶最近主機升級了,從 Windows Server 2003 升級到 Windows Server 2008 R2,可能是因為這樣才導致這個問題發生,我研究了一會兒終於明白問題發生的原因,並不是 IIS7 有問題,而是變的更安全了,也因為這個問題讓我更加意識到在實做檔案上傳功能時應該注意到的事情!

... 繼續閱讀 ...

使用 IE9 釘選的網站捷徑 (Pinned Site Shortcut) 提升安全性

上週有同事跑來問我說 IE9 是不是有 Bug,他家裡的電腦都沒辦法連接 不安全的 HTTPS 網站,一般來說我們瀏覽到一些使用 自簽憑證 (self signed certificate) 的網站都一定會看到 IE9 提示說「此網站的安全性憑證有問題」,而且通常也都會有「繼續瀏覽此網站 (不建議)」的選項可以用,但是在他家裡的電腦怎麼會沒有這個按鈕可以點選呢?我直覺是認為不可能有此問題,由於當下沒圖沒真像,所以我請他給我他電腦的畫面再進一步判斷,今天他寄給我畫面了,不到 5 秒便真相大白!小朋友,叔叔是有練過的 XD

... 繼續閱讀 ...

如何封鎖 Windows 遠端桌面的檔案傳輸與剪貼簿傳輸能力

去年的時候有一次客戶急忙來電說伺服器中毒了導致網站掛點,請我幫他修復網站,不過這案子已經結案超過三年,結案後他們就自己管理主機,怎麼管到會中毒我不清楚(其實是被值入木馬),當時不疑有他的就透過遠端桌面程式(mstsc)登入他的主機,不過才剛連上沒多久,我的防毒軟體就不斷的發出警示說有檔案被發現病毒應立即處理,一開始還以為防毒軟體秀逗了,但不斷跳出警告後開始覺得不對勁,查了 3 分鐘之後確認是病毒是從遠端桌面的遠端寫入到我的硬碟,過程中我的硬碟已經被值入 70 多支木馬,實在恐怖!

... 繼續閱讀 ...