Security | The Will Will Web

The Will Will Web

記載著 Will 在網路世界的學習心得與技術分享

機會教育:從中華民國總統府網站被發現 XSS 漏洞講起

昨晚從黑暗執行緒那邊得知中華民國總統府網站已經淪陷了,看到總統府新聞稿一直在跳 Sorry Sorry 舞蹈,雖然只是網友惡搞,但估計這個 Cross-Site Script (XSS) 弱點可能會遭受駭客利用,騙那些好奇的鄉民點選觀看,也許背地裡會潛藏木馬或病毒在其中,各位千萬要小心啊!

... 繼續閱讀 ...

快更新:Adobe Flash Player 再次出現「重大」安全弱點

市佔率高達 99% 的 Adobe Flash Player 再次出現「重大」安全弱點,這可不是危言聳聽,國外有人評論這次可能算是 Web 界最大的一次資安漏洞,雖然 Adobe 早在 2009/7/30 釋出更新,但根據資安公司 Trusteer 評估全世界大約還有 80% 的使用者尚未套用此更新,只要你上了惡意網站很可能立即被植入木馬。更危險的是,這個漏洞也是「跨平台」的,包括 Windows, Macintosh, UNIX-like 作業系統全部遭殃!

... 繼續閱讀 ...

新片:Microsoft Video ActiveX Control 零時差攻擊上映中…

微軟在 2009/7/6 公布一個 Microsoft Video ActiveX Control 弱點,目前只要是 Windows XP 與 Windows Server 2003 都在受害範圍內,只要利用支援 ActiveX 的瀏覽器 ( 例如: Internet Explorer ) 連到受駭的網站,就有可能被立即以當下使用者的執行權限執行任意程式,其中包括: 安裝木馬軟體、刪除檔案、建立帳號、變更檔案屬性或權限、…任何你能做的事情,駭客都能做!

... 繼續閱讀 ...

如何利用 md5sum 稽核重要檔案與驗證檔案完整性

要確認檔案是否被修改 (竄改) 並不是檢查檔案修改時間也不是檢查檔案大小,比較有效的方式是檢查檔案內容,但一一比對檔案內容成本過高,所以一般來說都會用 MD5 演算法將檔案內容計算出一個雜湊值(Hash),在 Linux 下最常見的工具就是 md5sum 工具,今天我就講幾個在 Windows 下的相關工具。

... 繼續閱讀 ...

介紹好用工具:CAT.NET (靜態程式碼安全檢測工具)

市場上已經有許多類似的靜態程式碼分析軟體商業軟體,在這一期的 iThome 雜誌(第 405 期)就有介紹好幾套程式碼安全檢測軟體,像我就親自領教過阿碼科技CodeSecure™ 以及 FortifySource Code Analyzer 的威力,誤判是難免,但專業度倒是沒話說,對軟體品質與安全性絕對可大幅提昇。雖然這類商業軟體都所費不貲,微軟為了拯救龐大的開發人員,也不落人後推出了一套 Microsoft Code Analysis Tool .NET (CAT.NET) 工具。

... 繼續閱讀 ...

Outlook 2007: 基礎的安全性系統發生錯誤。未定義機碼組。

剛剛在實驗透過 Outlook 2007 發送含「自然人憑證」簽章的郵件,結果卻發現郵件怎樣都寄不出去,我透過我自己寫的【如何安裝設定「自然人憑證」所需的基礎執行環境】進行環境設定,也將憑證都匯入到電腦中,而且也可以用自己的自然人憑證存取政府服務。除此之外,我也有透過自然人憑證用戶端系統環境檢測工具檢測我電腦,結果也十分正常。再者,也檢查了系統中的 Smart Card 服務,也有正常啟動運作中。照理說 Outlook 沒什麼理由不能發簽章信吧!

... 繼續閱讀 ...

介紹好用工具:警政署推出 NPASCAN 惡意程式偵測工具

最近發現一個 NPASCAN 惡意程式偵察工具,可以幫你找出電腦中有哪些惡意程式(病毒、木馬程式、鍵盤記憶程式等)。這是一套由內政部警政署自行研發而成的工具,採用行為比對方式進行惡意程式掃瞄,所以無須更新病毒特徵碼之類的動作,優點是掃瞄速度快,並且可忠實找出具有「行為可疑」的程式;但缺點是有可能會誤判一些正常的程式,但大部分來說找到的都是惡意程式居多。

... 繼續閱讀 ...

如何查出目錄中有哪些「詭異」的檔案 ( 系統、隱藏、唯讀 )

當一台伺服器被植入木馬過後,不只系統管理者會開始緊張,對於主機的一些奇奇怪怪的檔案也會開始特別敏感。木馬程式經常會對程式檔案加上一些特殊的屬性,例如:系統檔案屬性(System file attribute)隱藏檔案屬性(Hidden file attribute)唯讀檔案屬性(Read-only file attribute)等。

... 繼續閱讀 ...

介紹好用工具:UrlScan Security Tool ( 入門級的 WAF 工具 )

WAF ( Web Application Firewall, Web 應用程式防火牆 ) 這個名詞越來越夯了,因為 Web 應用程式越來越普及,相對的 Web 安全性的議題也越來越受重視,在市面上已經有不少 WAF 相關防護工具,免費的、付費的、Linux 平台的、Windows 平台的都有,今天我就來介紹一套由微軟提供的入門級 WAF 工具:UrlScan Security Tool ( 這連結是介紹 UrlScan 2.5 的功能,但目前最新版是 UrlScan 3.1 版)。

... 繼續閱讀 ...