Cookie hijacking 是個很常見的 XSS 攻擊手法,大多是利用網站既有的 XSS 漏洞並透過 JavaScript 取得 documnet.cookie 資料,而 documnet.cookie 就包含所有你在該網頁所有可用的 Cookie 資料,但若你的網站程式在設定 Cookie 的時候有特別加上 HttpOnly 屬性,就可以進一步避免該頁的 Cookie 被 JavaScript 存取,也可保護使用者的 Cookie 不會偷走。
... 繼續閱讀 ...
雖然我之前已經寫過一篇【 推薦使用 Microsoft Anti-Cross Site Scripting Library V3.0 】文章,而且這次 Anti-XSS Library v3.1 也只有小幅新增功能,但這次新增的兩個方法(Methods)卻是我盼望許久的功能,終於被我給等到了。我覺得任何開發 ASP.NET Web 應用程式的人都應該注意並使用這一套強大的 Anti-XSS Library,絕對有助於提升你現有 Web 應用程式的安全性。
... 繼續閱讀 ...
今天才正苦惱不知道要寫什麼文章才好,想不到就有位仁兄寫了篇文章專章批判我的 [機會教育:從中華民國總統府網站被發現 XSS 漏洞講起] 文章寫的不夠專業且混淆視聽。我之前就說了這是場「機會教育」,所以我決定另寫一篇文章專門用來回覆此人的種種觀點以及謬誤之處,歡迎各位批評指教,這是場對專業技術的辯論,不涉及人身攻擊,對於該文章所用的情緒性字眼我將不予理會。
... 繼續閱讀 ...
昨晚從黑暗執行緒那邊得知中華民國總統府網站已經淪陷了,看到總統府新聞稿一直在跳 Sorry Sorry 舞蹈,雖然只是網友惡搞,但估計這個 Cross-Site Script (XSS) 弱點可能會遭受駭客利用,騙那些好奇的鄉民點選觀看,也許背地裡會潛藏木馬或病毒在其中,各位千萬要小心啊!
... 繼續閱讀 ...
市佔率高達 99% 的 Adobe Flash Player 再次出現「重大」安全弱點,這可不是危言聳聽,國外有人評論這次可能算是 Web 界最大的一次資安漏洞,雖然 Adobe 早在 2009/7/30 釋出更新,但根據資安公司 Trusteer 評估全世界大約還有 80% 的使用者尚未套用此更新,只要你上了惡意網站很可能立即被植入木馬。更危險的是,這個漏洞也是「跨平台」的,包括 Windows, Macintosh, UNIX-like 作業系統全部遭殃!
... 繼續閱讀 ...
台灣微軟昨天發佈兩個緊急安全更新補充程式編號 MS09-034 (重大) 與 MS09-035 (中度) 與 安全性摘要報告 973882,並強烈呼籲所有用戶應立即更新電腦,以避免電腦遭受攻擊,各位可以透過 Windows Update 自動更新 或透過以下網址下載安全更新補充程式。
... 繼續閱讀 ...
微軟最近推出了 Microsoft Anti-Cross Site Scripting Library V3.0 正式版(RTM),但在國內似乎沒看到許多人提到這套函示庫,就我來觀察有幾點可能的原因:
... 繼續閱讀 ...
微軟在 2009/7/6 公布一個 Microsoft Video ActiveX Control 弱點,目前只要是 Windows XP 與 Windows Server 2003 都在受害範圍內,只要利用支援 ActiveX 的瀏覽器 ( 例如: Internet Explorer ) 連到受駭的網站,就有可能被立即以當下使用者的執行權限執行任意程式,其中包括: 安裝木馬軟體、刪除檔案、建立帳號、變更檔案屬性或權限、…任何你能做的事情,駭客都能做!
... 繼續閱讀 ...