製作網站難免會做到關於檔案上傳的功能,如果為了安全考量可能會限制其特定副檔名才能上傳,以免使用者上傳了不該上傳的檔案類型(例如 *.exe 執行檔),不過光是檢查檔案結尾的副檔名真的就安全了嗎?那可不一定!如果你現在還在使用 IIS6 的話,那你可能要小心了,因為最近知名3C連鎖賣場燦坤傳出資料外洩的案件就是因為這個弱點所致。
... 繼續閱讀 ...
此文章由 will 發表於 2010/7/1 下午 11:55:43
永久連結 | 評論 (4) | 此文章的RSS |
分類: IIS | PHP | Security
標籤: iis6, asp, fckeditor, semi-colon, security, vulnerability
在多年以前 SSL 第二版 (v2) 就已經被證實有編碼加密方面的瑕疵,因此駭客很輕易的就能對 SSL v2 加密過的封包進行反解,或可能會透過中間人攻擊(Man-in-the-middle attack)手法加害於你的網站用戶,因此大多數的資安掃瞄軟體皆會建議在伺服器上關閉 SSL v2 的協定,以確保用戶端透過 SSL ( HTTPS ) 連上網站伺服器時是安全的連線。
此文章由 will 發表於 2010/3/10 上午 10:56:11
永久連結 | 評論 (0) | 此文章的RSS |
分類: IIS | Security
標籤: iis, ssl, sslv2, sslv3, tls
微軟在 2009/6/22 確認了一個從 17 年前 Windows 作業系統以來直到目前都還存在的一個安全性弱點,他能讓不受信任或無權限的使用者輕易的進入系統核心(system kernel)並取得該系統最大權限,目前尚無任何補丁(Patch)可以修正這個問題,但還是有方法可以強化你系統的安全性。
此文章由 will 發表於 2010/1/21 上午 10:40:46
永久連結 | 評論 (6) | 此文章的RSS |
分類: Security | 系統管理
標籤: vdm, virtual dos machine, windows, msdoc, wowexec, 16-bit, 群組原則, ad
Cookie hijacking 是個很常見的 XSS 攻擊手法,大多是利用網站既有的 XSS 漏洞並透過 JavaScript 取得 documnet.cookie 資料,而 documnet.cookie 就包含所有你在該網頁所有可用的 Cookie 資料,但若你的網站程式在設定 Cookie 的時候有特別加上 HttpOnly 屬性,就可以進一步避免該頁的 Cookie 被 JavaScript 存取,也可保護使用者的 Cookie 不會偷走。
此文章由 will 發表於 2009/11/26 下午 12:13:48
分類: Web | JavaScript | ASP.NET | Security
標籤: cookie, asp.net, javascript, xss
從 ASP.NET MVC 2.0 Preview 2 開始 JsonResult 已經被修改成只能在 HTTP POST 的時候回應,像我們經常使用 jQuery 的 $.getJSON 就不能再用了,我從 ASP.NET MVC 2.0 Preview 2 Release Note 得知 JSON Hijacking 之後就持續追蹤下去,覺得這是個非常值得注意的安全問題。
此文章由 will 發表於 2009/11/13 下午 11:55:00
永久連結 | 評論 (3) | 此文章的RSS |
分類: .Net | ASP.NET MVC | JavaScript | Security | Web
標籤: json, asp.net mvc, json hijacking, javascript hijacking, security, web 2.0
雖然我之前已經寫過一篇【 推薦使用 Microsoft Anti-Cross Site Scripting Library V3.0 】文章,而且這次 Anti-XSS Library v3.1 也只有小幅新增功能,但這次新增的兩個方法(Methods)卻是我盼望許久的功能,終於被我給等到了。我覺得任何開發 ASP.NET Web 應用程式的人都應該注意並使用這一套強大的 Anti-XSS Library,絕對有助於提升你現有 Web 應用程式的安全性。
此文章由 will 發表於 2009/9/26 下午 05:42:04
分類: Security | ASP.NET | .Net | Web | ASP.NET MVC
標籤: anti-xss, xss, cross site scripting
今天才正苦惱不知道要寫什麼文章才好,想不到就有位仁兄寫了篇文章專章批判我的 [機會教育:從中華民國總統府網站被發現 XSS 漏洞講起] 文章寫的不夠專業且混淆視聽。我之前就說了這是場「機會教育」,所以我決定另寫一篇文章專門用來回覆此人的種種觀點以及謬誤之處,歡迎各位批評指教,這是場對專業技術的辯論,不涉及人身攻擊,對於該文章所用的情緒性字眼我將不予理會。
此文章由 will 發表於 2009/9/1 下午 10:49:10
永久連結 | 評論 (26) | 此文章的RSS |
分類: Web | PHP | Security
標籤: 總統府, php, xss, sql injection, 機會教育
昨晚從黑暗執行緒那邊得知中華民國總統府網站已經淪陷了,看到總統府新聞稿一直在跳 Sorry Sorry 舞蹈,雖然只是網友惡搞,但估計這個 Cross-Site Script (XSS) 弱點可能會遭受駭客利用,騙那些好奇的鄉民點選觀看,也許背地裡會潛藏木馬或病毒在其中,各位千萬要小心啊!
此文章由 will 發表於 2009/8/28 上午 09:17:00
永久連結 | 評論 (18) | 此文章的RSS |
標籤: 總統府, php, xss, sql injection
市佔率高達 99% 的 Adobe Flash Player 再次出現「重大」安全弱點,這可不是危言聳聽,國外有人評論這次可能算是 Web 界最大的一次資安漏洞,雖然 Adobe 早在 2009/7/30 釋出更新,但根據資安公司 Trusteer 評估全世界大約還有 80% 的使用者尚未套用此更新,只要你上了惡意網站很可能立即被植入木馬。更危險的是,這個漏洞也是「跨平台」的,包括 Windows, Macintosh, UNIX-like 作業系統全部遭殃!
此文章由 will 發表於 2009/8/17 上午 11:08:32
分類: Web | Security
標籤: adobe, flash player, arcobat, web, security
台灣微軟昨天發佈兩個緊急安全更新補充程式編號 MS09-034 (重大) 與 MS09-035 (中度) 與 安全性摘要報告 973882,並強烈呼籲所有用戶應立即更新電腦,以避免電腦遭受攻擊,各位可以透過 Windows Update 自動更新 或透過以下網址下載安全更新補充程式。
此文章由 will 發表於 2009/7/30 上午 11:57:43
分類: Visual Studio | Security | 系統管理
標籤: windows, activex, microsoft security advisory, security, visual studio 2008, atl, active template library
微軟最近推出了 Microsoft Anti-Cross Site Scripting Library V3.0 正式版(RTM),但在國內似乎沒看到許多人提到這套函示庫,就我來觀察有幾點可能的原因:
此文章由 will 發表於 2009/7/28 下午 09:19:15
永久連結 | 評論 (8) | 此文章的RSS |
分類: Security | .Net | ASP.NET | ASP.NET MVC | Web
微軟在 2009/7/6 公布一個 Microsoft Video ActiveX Control 弱點,目前只要是 Windows XP 與 Windows Server 2003 都在受害範圍內,只要利用支援 ActiveX 的瀏覽器 ( 例如: Internet Explorer ) 連到受駭的網站,就有可能被立即以當下使用者的執行權限執行任意程式,其中包括: 安裝木馬軟體、刪除檔案、建立帳號、變更檔案屬性或權限、…任何你能做的事情,駭客都能做!
此文章由 will 發表於 2009/7/9 上午 10:15:50
永久連結 | 評論 (5) | 此文章的RSS |
分類: 系統管理 | Security
標籤: windows, activex, microsoft security advisory, security, zero day attack, 零時差攻擊, ie, ie7, ie6, ie8
要確認檔案是否被修改 (竄改) 並不是檢查檔案修改時間也不是檢查檔案大小,比較有效的方式是檢查檔案內容,但一一比對檔案內容成本過高,所以一般來說都會用 MD5 演算法將檔案內容計算出一個雜湊值(Hash),在 Linux 下最常見的工具就是 md5sum 工具,今天我就講幾個在 Windows 下的相關工具。
此文章由 will 發表於 2009/7/7 上午 10:08:59
永久連結 | 評論 (2) | 此文章的RSS |
分類: 介紹好用工具 | 系統管理 | Security
標籤: windows, md5, md5sum, md5deep, sha256
市場上已經有許多類似的靜態程式碼分析軟體商業軟體,在這一期的 iThome 雜誌(第 405 期)就有介紹好幾套程式碼安全檢測軟體,像我就親自領教過阿碼科技的 CodeSecure™ 以及 Fortify 的 Source Code Analyzer 的威力,誤判是難免,但專業度倒是沒話說,對軟體品質與安全性絕對可大幅提昇。雖然這類商業軟體都所費不貲,微軟為了拯救龐大的開發人員,也不落人後推出了一套 Microsoft Code Analysis Tool .NET (CAT.NET) 工具。
此文章由 will 發表於 2009/7/2 下午 04:46:01
分類: .Net | 介紹好用工具 | Security
標籤: .net, cat.net
剛剛在實驗透過 Outlook 2007 發送含「自然人憑證」簽章的郵件,結果卻發現郵件怎樣都寄不出去,我透過我自己寫的【如何安裝設定「自然人憑證」所需的基礎執行環境】進行環境設定,也將憑證都匯入到電腦中,而且也可以用自己的自然人憑證存取政府服務。除此之外,我也有透過自然人憑證用戶端系統環境檢測工具檢測我電腦,結果也十分正常。再者,也檢查了系統中的 Smart Card 服務,也有正常啟動運作中。照理說 Outlook 沒什麼理由不能發簽章信吧!
此文章由 will 發表於 2009/6/7 上午 12:16:29
分類: 系統管理 | Security | Office
標籤: 憑證, security, office, outlook, outlook 2007, 自然人憑證, s/mime, email
加入憑證簽章的郵件必須使用 S/MIME 標準,之前為了讓系統發出的郵件可以加入憑證簽章費了好一番功夫,有鑑於此需求非常罕見,在國內我是沒找到任何相關資料,即便在國外的網站相關資訊也很少,所以特此紀錄一下當時研究的過程。
此文章由 will 發表於 2009/6/6 下午 09:20:14
永久連結 | 評論 (9) | 此文章的RSS |
分類: .Net | ASP.NET | C# | Security
標籤: 憑證, s/mime, mail, c#, system.security
最近我發現在 IIS 6.0 上安裝 PHP5 有一些安全性的議題與一些安裝技巧,而這些問題都是一般管理人員不容易發現的部分,所以若有人希望 PHP 5 在 IIS 上面執行時,可以參考一下這篇文章。
此文章由 will 發表於 2009/3/14 下午 07:54:00
分類: IIS | PHP | Security | 系統管理
標籤: iis, php, php5, iis 6.0
最近發現一個 NPASCAN 惡意程式偵察工具,可以幫你找出電腦中有哪些惡意程式(病毒、木馬程式、鍵盤記憶程式等)。這是一套由內政部警政署自行研發而成的工具,採用行為比對方式進行惡意程式掃瞄,所以無須更新病毒特徵碼之類的動作,優點是掃瞄速度快,並且可忠實找出具有「行為可疑」的程式;但缺點是有可能會誤判一些正常的程式,但大部分來說找到的都是惡意程式居多。
此文章由 will 發表於 2009/2/10 下午 12:35:19
分類: Security | 介紹好用工具
標籤: npascan, 惡意程式