Security | The Will Will Web

The Will Will Web

記載著 Will 在網路世界的學習心得與技術分享

從戰國策資訊外洩事件說明 robots.txt 定義檔與資安常識

今天從資安人雜誌的電子報中發現一則駭人聽聞的熱門新聞:『戰國策4,270筆資料外洩 Google全都露』。我上網研究了一下,果然還有許多非 Google 的搜尋引擎還殘留著快取住(Cached)完整的客戶資料與鉅細靡遺的訂單資訊,包括公司資訊、連絡人、電話、地址、身份證字號、購買了什麼服務、何時到期、折扣、帳號、密碼、.... 簡直什麼死人骨頭都在上面,這實在是太恐怖了,真無法想像這些資料落入詐騙集團手中後,這些客戶是何下場。

... 繼續閱讀 ...

介紹好用工具:Paros ( 網站安全性掃瞄工具 )

現在越來越多客戶會要求要上線的網站必須提供安全性掃瞄報告,之前我曾經介紹過一套 RatProxy 工具,感覺是不錯,掃瞄的結果也十分的詳細(..繁瑣..),也因為缺乏 UI 其實使用上蠻不方便的。正好我們最近一個上線的網站又被要求做安全性檢測,而這次是由客戶主動要求要用 Paros 掃瞄工具進行檢測。

... 繼續閱讀 ...

介紹微軟 Security Development Lifecycle (SDL) 推廣活動

我之前參加微軟 MSDN 研討會時曾經拿到一本微軟贈送的書籍,書名叫做 "The Security Development Lifecycle" (ISBN: 9780735622142),拿回來看過之後,雖然覺得真的要在公司內導入 SDL 的確不太容易,但是書中所介紹的一些安全觀念、流程、工具都蠻不錯的,我覺得每一位開發人員都應該嘗試著瞭解一下 SDL 這個東西,畢竟建立基本觀念有益無害,況且真的是好東西。

... 繼續閱讀 ...

手邊有一張速查表(Cheat Sheets)是件很方便的事

我個人有習慣收集一些網路上別人整理的速查表,因為程式開發的細節真的太多了,要能全部背起來不太可能,也沒什麼意義,甚至於有人說程式設計就是一件查詢、複製、貼上的工作而已。對我來說,寫程式首重觀念與經驗,有了完整而正確的觀念,就算記不得要怎麼寫,查詢一下就馬上能寫了;而有了經驗,對於一些難解的 Bug 自然能夠迅速解開。

... 繼續閱讀 ...

小心網域名稱伺服器快取毒害(DNS cache poisoning)攻擊

DNS (Domain Name System) 是一個年代久遠且相當重要的網路服務之一,詳細的運作行細節我不談,請自行到 域名服務器(Wikipedia) 學習相關知識。簡單的說,DNS 通常都會實做快取(Cache)功能,若 DNS 收到來自惡意假造的 DNS 封包,導致將錯誤的 Domain Name v.s. IP 對應資料快取在 DNS Server 中,就會讓使用這台 DNS Server 的使用者連結到錯誤的 IP,這將會是個十分嚴重的安全性漏洞!而這樣的安全性漏洞就稱之為 DNS cache poisoning

... 繼續閱讀 ...

最新的跨瀏覽器攻擊手法:Clickjacking

由於這次我報名參加 2008 OWASP 亞洲年會時,在議程中看到一個新的攻擊手法(或漏洞)稱做 Clickjacking,而 Clickjacking 這名詞有多新呢?連 Wikipedia 上面的的 Clickjacking 資料都是 10/9 才剛新增上去的,我進而研究了一下這個攻擊手法的細節,這才意識到這個漏洞的嚴重性,各位千萬不可等閒視之。

... 繼續閱讀 ...

將 IIS 中已安裝的 SSL 憑證移至 Apache 2.2 for Win32 安裝

這幾天為了替客戶安裝一個 VeriSign 憑證到 Windows 平台的 Apache 2.2 上面傷透腦筋,問了好多朋友都沒有人有這樣的經驗,網路上是有一大堆文章,不過所有的文章都是講如何「自己簽發 SSL 憑證」,但我得到的任務卻是要把一個已經申請下來已經安裝至 IIS 的憑證安裝到 Apache 2.2 for Win32 中,而我手邊得到的資訊十分有限,只有拿到一個 CA.cer 檔,還有一個已經安裝在 IIS 中且可匯出的 VeriSign 憑證。

... 繼續閱讀 ...

CasPol.exe 程式碼存取安全性原則工具幾個常用的指令

程式碼存取安全性(CAS, Code Access Security)是 .NET Framework 中非常重要的一部份,不過我發現大部分的 ASP.NET 開發人員並不清楚 CAS 是什麼,因為在開發 ASP.NET 的時候很少有機會去碰觸到這一塊,最近我們工程師在用 .NET 寫一個 COM 元件時就發生了 CAS 的權限問題,導致程式無法正常執行的情況。

... 繼續閱讀 ...

介紹好用工具:KeePass Password Safe

我個人擁有好多好多組的帳號、密碼,個人用的、工作用的、幫別人記的、...真的很多(超過100組),雖然瀏覽器(Browser)可以幫你記憶許多組密碼,不過還是有許多密碼是跟瀏覽器無關的,例如:Windows 登入密碼、WiFi 登入密碼、銀行 ATM 密碼、...。面對這麼多的密碼,說實在的要全部記得還真不太容易呢!我想一般人的作法是將這些帳號、密碼紀錄在電腦裡,例如:Excel。但這其實資安的風險很大,若檔案不小心被有心人士或駭客取得,沒死也會重傷。

... 繼續閱讀 ...