Browse by Tags

當心營運資訊裸奔-網站偵錯 Log 檔常犯的資安錯誤
「寫 Log」是很有效的線上系統偵錯手段,就像飛機黑盒子或行車記錄器,能在事故發生後提供寶貴資訊,釐清肇事原因,還能用於責任歸屬舉證。例如: 系統不定期爆炸,由 Log 歸納每次發生在某使用者進行某項操作之後 客戶否認下單,調閱 Log 舉證登入時間,來源 IP 以及操作順序,萬一客訴鬧上法院還可當作呈堂證供 資料庫發生 Deadlock,由 Log 找出事件當下兩名使用者執行的作業及輸入參數,鎖定可疑 SQL 語法進行調查 簡單來說,愈重要的網站系統愈需要 Log 機制協助維運,而 Log 該保存什麼內容...
Posted 04 October 2017 11:25 AMJeffrey | 1 comment(s) 8,705
Filed under:
花 8.29 英鎊拯救世界,WannaCrypt 勒索病毒中場休息
好戲劇化的發展,震驚全球的 WannaCrypt 勒索病毒(嚴格來說是蠕蟲),在一位英國資安研究員註冊某個網域名稱後,中止了第一波攻擊。(讓我想起電影世界大戰裡莫名烙賽停擺的外星人) 照片來源: http://thestagblog.com/tuesdayapocalypse-waroftheworlds/ 相信大家應該都從各大媒體看到報導了,WannaCrypt 勒索病毒參考先前美國國安局流出的攻擊程式,利用 Windows 的一個資安漏洞(微軟於今年 3 月已釋出安全更新),能主動攻擊感染同一區域網路...
Posted 14 May 2017 11:28 AMJeffrey | 4 comment(s) 185,501
Filed under:
Windows 停用 TLS 1.0 之配套作業整理
開始之前,說說 TLS。 大家朗朗上口的 SSL(Security Socket Layer),最早源於 1995 年發表的 SSL 2.0(1.0 很雷,所以從沒公開過),隨後在 1996 推出 3.0 版,IETF 於 1999 年將 SSL 標準化,因版權考量改稱為 TLS(Transport Layer Security)。就技術而言, TLS 1.0 與 SSL 3.0 很相近,而 TLS 1.0 也支援降級改用 SSL 3.0。之後 IETF 分別在 2006、2008 年再推出安全強度更高的...
Posted 12 March 2017 11:28 AMJeffrey | 2 comment(s) 14,912
Filed under:
漫談 JSONP 的 XSS 攻擊風險
JSONP 是解決跨網域 JavaScript 呼叫的古老方法,簡單有效又不挑瀏覽器,至今仍是我常用的兵器之一。最近在想一個問題,JSONP 呼叫時由客戶端指定 Callback 函式名稱,是一個可以注入惡意程式碼的管道,有否存在 XSS 攻擊的風險?需不需要積極防護? 經過嘗試,發現要透過 JSONP 發動攻擊是可能的,但前題是開發者犯了某些低級錯誤。 使用以下網頁示範: <%@ Page Language="C#" %> < script runat ="server"...
Posted 24 November 2016 07:43 PMJeffrey | with no comments 6,535
Filed under: ,
發現 Chrome 外掛偷藏惡意程式
從 Chrome 網路監控發現異常活動,檢視本機網站卻跑出一段程式從某台 AWS 主機為網頁注入 /forton/inject_jq.js: inject_jq.js 載入同一主機下的 /forton/cbp/cmps/60_4c15b.js: 60_4c15b.js 再載入更多 JS: 粗略看過載入的程式片段,似乎是要在網頁插入廣告(adnow、extsgo.com、st.adxxx.com)。經比對測試,無痕模式下不會載入可疑程式,懷疑是外掛造成。鎖定外掛展開調查,很快找到兇手為 Inject...
Posted 10 November 2016 11:26 PMJeffrey | 4 comment(s) 60,056
Filed under:
網路文章騙讚手法剖析
之前領教過內容農場 利用 Clickjacking (點擊刧持) 騙 讚的手法 ,包含藏在影片播放鈕上方,一播影片就按讚,甚至讓隱形按讚鈕追著滑鼠游標跑,在網頁點任何地方就強迫中獎。 最近常發現自已莫名訂閱了某些 FB 粉絲團,懷疑是某個讀文章會彈出「歡迎光臨」對話框的網站,今天再度遇到,決定一探究竟。(關於 Clickjacking 細節請參考前文: 看影片偷按讚-Clickjacking活用入門 ,此處不多贅述) 該網路文章如下圖,開啟幾秒後彈出「Hi~~歡迎光臨」對話框並遮蔽網頁,點右上角的...
Posted 29 October 2016 09:24 AMJeffrey | with no comments 13,808
Filed under:
你的密碼被偷了嗎?
兩天前收到Dropbox的通知信,說我從2012年起就沒有變更過密碼,為了安全起見,下次登入時系統會提示進行更新。 信件與 網頁 強調這單純是預防性措施,帳戶並沒有被不當存取的跡象(實際登入Dropbox網站檢視存取記錄,的確也都正常),原因是Dropbox發現有一組舊的使用者登入資料 (電子郵件地址加上加密及雜湊的密碼)在2012年被 偷走 ,Dropbox經由監測與分析相信未有帳戶遭到不當存取。不過為了安全起見還是要求所有 2012 年中之後就未曾更新的使用者,在下次登入時重設密碼。 今天看到Troy...
Posted 31 August 2016 11:07 PMJeffrey | with no comments 70,056
Filed under:
ASP.NET MVC整合RichText編輯器範例與注意事項
最近的ASP.NET MVC專案用到了RichText編輯器,允許使用者編輯包含不同字型、大小、粗細、顏色的格式化文字,其中有些需注意細節,整理筆記備忘。 網頁版RichText編譯器的選擇 不少 ,本文以 KendoEditor 為例,結果則以PostBack方式回傳。即使換用其他編輯器或改以AJAX回傳,ASP.NET MVC整合重點大同小異。 範例的MVC網站共有Index及Result兩個View,Index為編輯器頁面,Result則用來顯示結果。Controller除了Index及Result兩個Action...
垃圾郵件出新招?由Apple官方親自寄送的垃圾信
Gmail信箱收到一封怪信,內容如下: 信件來自id.apple.com,第一行明顯是垃圾郵件廣告或是釣魚詐騙,但後方緊接著標準Apple ID救援帳號驗證碼通知,其中Apple ID帳號頁面URL也是連到真的Apple ID網站無誤。經驗裡,Gmail的垃圾信檢核能力強大,鮮少有人破關,若這封信發信來源是偽造的卻闖關成功,其中使用技巧令人好奇。 檢查信件的SMTP Header,在其中看到Received: from nwk-txn-msbadger0702.apple.com (nwk-txn...
Posted 08 July 2016 06:45 PMJeffrey | 3 comment(s) 49,027
Filed under:
沒下載東西只是看網頁也會中毒?快檢查Flash Player版本
Flash漏洞儼然己成為病毒、木馬入侵的一條捷徑,前陣子鬧得沸沸揚揚的 勒索病毒大爆發 ,經 調查 就是經由雅虎網頁廣告傳播,透過Flash漏洞感染,再加上使用者未開啟UAC,只是瀏覽網頁就中毒。 因為Flash沒更新,不過上網看個網頁就中獎,怎麼想都覺得可怕。更何況不是去什麼見不得人的網站充實D槽,也沒有胡亂下載安裝軟體,只不過看了每天都可能光臨的入口網站就中鏢,像是走在路上無端被招牌砸頭,無比冤枉。因此,得保持Flash即時更新到最新版,才能讓自己消災解厄! 研究之後,我找到一個檢查Flash版本的好方法...
Posted 19 June 2016 11:43 AMJeffrey | 2 comment(s) 13,287
Filed under:
淺談IFrame式Clickjacking攻擊與防護
用IFrame內嵌其他網頁是很常見的整合技巧,兩個獨立開發網頁可分別使用,有需要再合體,被內嵌的網頁配合移除頁首頁尾只留內容,看起來天衣無縫,省事又方便。 大家猜猜以下HTML寫法會有什麼結果,網頁上有一小塊出現Google首頁? <! DOCTYPE html > < html > < head > < meta charset ="utf-8" > < meta name ="viewport" content...
Posted 12 June 2016 12:38 PMJeffrey | with no comments 26,274
Filed under:
對付SQL Injection,換掉單引號到底夠不夠?
雖然現在遇到使用者輸入條件查詢DB,我一律都用參數化查詢(順推超好用的 Dapper )不再偷懶組裝SQL指令,但關於SQL Injection,我心中始終藏著一個疑問:流傳千古的… WHERE Col = '" + input.Replace("'", "''") + "'"換單引號大法,人人都知它不夠安全,但網路流傳一種說法,指稱換單引號只是自欺欺人根本無效,奇怪的是卻很少看到它被打穿的實例...
Posted 20 March 2016 11:22 PMJeffrey | 6 comment(s) 11,022
Filed under: ,
提防臉書帳號釣魚網站
在臉書專頁留言區看到一則帳號停權通知,心頭一驚: Last Warning, Your account will be disabled permanent because your accouts have been reported by other users,And another reason is not allowed on Facebook… 留言者取名Facebook Pages,又配上臉書Logo,留言內容大意是我的帳號因為被人檢舉即將被永久停權,下方有一個連到Facebook...
Posted 03 January 2016 11:02 PMJeffrey | with no comments 4,342
Filed under:
HTTPS網站被Chrome打臉?
接獲報案,某網站的SSL圖示忽然被Chrome打上紅叉叉,https字眼也被劃掉,有種駭客正站在你背後的驚悚感。檢視該網站SSL憑證尚未到期,改用Firefox、IE檢視並無異樣,只有Chrome在連線資訊提及沒有公開稽核記錄、安全性設定已過時、使用過舊密碼編譯法等缺失。 以上提到的缺失並不算新鮮事。 公開稽核記錄是指網站經第三方單位稽核無誤,跟花錢取得 CAS ISO認證差不多意思,目的在提升客戶信心。而具備公開稽核記錄的憑證,Chrome或IE還會在地址列標示組織名稱 以顯尊榮 ,例如:  ...
Posted 23 April 2015 10:22 PMJeffrey | with no comments 39,870
Filed under:
IIS更新通告:MS15-034
依據iThome的 報導 ,資安研究機構SANS最近公告了一個IIS漏洞:微軟於4/14發佈的安全公告 MS15-034 ,提及一個從Windows 7 SP1起存在於HTTP.SYS的安全漏洞,讓攻擊者有機會透過HTTP Request癱瘓系統,甚至有可能從遠端執行程式碼(聽起來又是 緩衝區溢位漏洞 )。安全公告發佈的同時,微軟也一併釋出了更新 KB3042553 ,意思是: 莫等待,莫依賴,快把IIS更新裝起來! (受影響範圍包含Windows 7/Windows 2008R2/Windows...
Posted 20 April 2015 11:55 PMJeffrey | 11 comment(s) 14,800
Filed under: ,
更多文章 下一頁 »

搜尋

Go

<November 2017>
SunMonTueWedThuFriSat
2930311234
567891011
12131415161718
19202122232425
262728293012
3456789
 
RSS
創用 CC 授權條款
【廣告】
twMVC
最新回應

Tags 分類檢視
關於作者

一個醉心技術又酷愛分享的Coding魔人,十年的IT職場生涯,寫過系統、管過專案, 也帶過團隊,最後還是無怨無悔地選擇了技術鑽研這條路,近年來則以做一個"有為的中年人"自許。

文章典藏
其他功能

這個部落格


Syndication