現在越來越多客戶會要求要上線的網站必須提供安全性掃瞄報告,之前我曾經介紹過一套 RatProxy 工具,感覺是不錯,掃瞄的結果也十分的詳細(..繁瑣..),也因為缺乏 UI 其實使用上蠻不方便的。正好我們最近一個上線的網站又被要求做安全性檢測,而這次是由客戶主動要求要用 Paros 掃瞄工具進行檢測。
... 繼續閱讀 ...
昨天到客戶那邊開會,他們說最近都有人寄送惡意郵件到他們公司大部分人的信箱,只要郵件中的連結點下去電腦就會被值入木馬,而且他們所有 Windows Update 都做了,我才覺得可能 IE7 有零時差攻擊(Zero day attack)。
... 繼續閱讀 ...
我之前參加微軟 MSDN 研討會時曾經拿到一本微軟贈送的書籍,書名叫做 "The Security Development Lifecycle" (ISBN: 9780735622142),拿回來看過之後,雖然覺得真的要在公司內導入 SDL 的確不太容易,但是書中所介紹的一些安全觀念、流程、工具都蠻不錯的,我覺得每一位開發人員都應該嘗試著瞭解一下 SDL 這個東西,畢竟建立基本觀念有益無害,況且真的是好東西。
... 繼續閱讀 ...
我個人有習慣收集一些網路上別人整理的速查表,因為程式開發的細節真的太多了,要能全部背起來不太可能,也沒什麼意義,甚至於有人說程式設計就是一件查詢、複製、貼上的工作而已。對我來說,寫程式首重觀念與經驗,有了完整而正確的觀念,就算記不得要怎麼寫,查詢一下就馬上能寫了;而有了經驗,對於一些難解的 Bug 自然能夠迅速解開。
... 繼續閱讀 ...
我兩個星期前跑去參加 2008 OWASP 亞洲年會 有學到一些關於資安的新知與新型的攻擊手法,而幾天前主辦單位已經開放部分簡報檔下載了,建議有興趣的人可以下載回來看看。
... 繼續閱讀 ...
DNS (Domain Name System) 是一個年代久遠且相當重要的網路服務之一,詳細的運作行細節我不談,請自行到 域名服務器(Wikipedia) 學習相關知識。簡單的說,DNS 通常都會實做快取(Cache)功能,若 DNS 收到來自惡意假造的 DNS 封包,導致將錯誤的 Domain Name v.s. IP 對應資料快取在 DNS Server 中,就會讓使用這台 DNS Server 的使用者連結到錯誤的 IP,這將會是個十分嚴重的安全性漏洞!而這樣的安全性漏洞就稱之為 DNS cache poisoning。
... 繼續閱讀 ...
由於這次我報名參加 2008 OWASP 亞洲年會時,在議程中看到一個新的攻擊手法(或漏洞)稱做 Clickjacking,而 Clickjacking 這名詞有多新呢?連 Wikipedia 上面的的 Clickjacking 資料都是 10/9 才剛新增上去的,我進而研究了一下這個攻擊手法的細節,這才意識到這個漏洞的嚴重性,各位千萬不可等閒視之。
... 繼續閱讀 ...
這幾天為了替客戶安裝一個 VeriSign 憑證到 Windows 平台的 Apache 2.2 上面傷透腦筋,問了好多朋友都沒有人有這樣的經驗,網路上是有一大堆文章,不過所有的文章都是講如何「自己簽發 SSL 憑證」,但我得到的任務卻是要把一個已經申請下來且已經安裝至 IIS 的憑證安裝到 Apache 2.2 for Win32 中,而我手邊得到的資訊十分有限,只有拿到一個 CA.cer 檔,還有一個已經安裝在 IIS 中且可匯出的 VeriSign 憑證。
... 繼續閱讀 ...
程式碼存取安全性(CAS, Code Access Security)是 .NET Framework 中非常重要的一部份,不過我發現大部分的 ASP.NET 開發人員並不清楚 CAS 是什麼,因為在開發 ASP.NET 的時候很少有機會去碰觸到這一塊,最近我們工程師在用 .NET 寫一個 COM 元件時就發生了 CAS 的權限問題,導致程式無法正常執行的情況。
... 繼續閱讀 ...