Browse by Tags

非網站 Windows 之 SSL 加密弱點檢測及修補

資安領域深似海，弱點掃描通常是由資安人員或廠商執行，跑工具程式出報告，再依報告進行修補。說起來有點像人體做健檢，但差在拿到的是用火星文寫的健檢報告，隔行如隔山，天曉得怎麼改善？ 試想如果你的健檢報告出現一條紅字「TMD 指數低下，免疫力不足，感染 S95 病毒風險偏高」，沒人跟你解釋要怎麼治療，也沒家醫科可以掛號，然後咧？ 這回拿到弱點掃描報告有一條： SSL Medium Strength Cipher Suites Supported The remote host supports the...

Posted 17 May 2018 09:26 PM 由 Jeffrey | 4 comment(s) 8,169

Filed under: Security

Request.Url.Host 偽造實驗

我有個 IIS 網站同時繫結多個 IP，想做到依據連上的伺服器 IP 授與不同權限，例如: 有些功能開放外網 IP 連入使用，某些功能限定內網及 localhost IP 才能用。設立兩個站台繫結不同 IP 及 Port 但共用同一份 ASP.NET 程式碼是一種解法，但我貪圖共用 Process 及靜態物件的便利性，因此要研究正確識別 Request 伺服器來源 IP 的方法。 舉最簡單的例子，IIS 預設繫結到所有 IP 位址("*")，而若伺服器 IP 為 172.28...

Posted 11 January 2018 09:42 PM 由 Jeffrey | with no comments 4,983

Filed under: ASP.NET, Security, ASP.NET MVC

RSA 非對稱金鑰加解密與數位簽章筆記

用 .NET 加解密已是老生常談，.NET 內建 MD5、SHA1、RSA、AES、DES... 等雜湊及加密演算法，寫來易如反掌，網路上的文章也很多。但沒有自己整理過一次，每回要用都要爬文找半天。有些基本功不能省就是不能省，所以，我的 RSA 私房筆記來了。 程式範例 1 包含：產生隨機 RSA 金鑰、匯出公私鑰、對一小段文字加密、產生數位簽章。第二階段則包含匯入私鑰、解密加密內容、驗證數位簽章，並試著偷改內容驗證簽章是否因此失效。 static void RSAEncDec() { //建立RSA公私鑰...

Posted 17 December 2017 05:11 AM 由 Jeffrey | with no comments 10,281

Filed under: Security, .NET

當心營運資訊裸奔－網站偵錯 Log 檔常犯的資安錯誤

「寫 Log」是很有效的線上系統偵錯手段，就像飛機黑盒子或行車記錄器，能在事故發生後提供寶貴資訊，釐清肇事原因，還能用於責任歸屬舉證。例如： 系統不定期爆炸，由 Log 歸納每次發生在某使用者進行某項操作之後 客戶否認下單，調閱 Log 舉證登入時間，來源 IP 以及操作順序，萬一客訴鬧上法院還可當作呈堂證供 資料庫發生 Deadlock，由 Log 找出事件當下兩名使用者執行的作業及輸入參數，鎖定可疑 SQL 語法進行調查 簡單來說，愈重要的網站系統愈需要 Log 機制協助維運，而 Log 該保存什麼內容...

Posted 04 October 2017 11:25 AM 由 Jeffrey | 1 comment(s) 11,219

Filed under: Security

花 8.29 英鎊拯救世界，WannaCrypt 勒索病毒中場休息

好戲劇化的發展，震驚全球的 WannaCrypt 勒索病毒（嚴格來說是蠕蟲），在一位英國資安研究員註冊某個網域名稱後，中止了第一波攻擊。（讓我想起電影世界大戰裡莫名烙賽停擺的外星人） 照片來源： http://thestagblog.com/tuesdayapocalypse-waroftheworlds/ 相信大家應該都從各大媒體看到報導了，WannaCrypt 勒索病毒參考先前美國國安局流出的攻擊程式，利用 Windows 的一個資安漏洞（微軟於今年 3 月已釋出安全更新），能主動攻擊感染同一區域網路...

Posted 14 May 2017 11:28 AM 由 Jeffrey | 4 comment(s) 190,734

Filed under: Security

Windows 停用 TLS 1.0 之配套作業整理

開始之前，說說 TLS。 大家朗朗上口的 SSL（Security Socket Layer），最早源於 1995 年發表的 SSL 2.0（1.0 很雷，所以從沒公開過），隨後在 1996 推出 3.0 版，IETF 於 1999 年將 SSL 標準化，因版權考量改稱為 TLS（Transport Layer Security）。就技術而言， TLS 1.0 與 SSL 3.0 很相近，而 TLS 1.0 也支援降級改用 SSL 3.0。之後 IETF 分別在 2006、2008 年再推出安全強度更高的...

Posted 12 March 2017 11:28 AM 由 Jeffrey | 7 comment(s) 76,596

Filed under: Security

漫談 JSONP 的 XSS 攻擊風險

JSONP 是解決跨網域 JavaScript 呼叫的古老方法，簡單有效又不挑瀏覽器，至今仍是我常用的兵器之一。最近在想一個問題，JSONP 呼叫時由客戶端指定 Callback 函式名稱，是一個可以注入惡意程式碼的管道，有否存在 XSS 攻擊的風險？需不需要積極防護？ 經過嘗試，發現要透過 JSONP 發動攻擊是可能的，但前題是開發者犯了某些低級錯誤。 使用以下網頁示範： <%@ Page Language="C#" %> < script runat ="server"...

Posted 24 November 2016 07:43 PM 由 Jeffrey | with no comments 9,247

Filed under: Security, AJAX

發現 Chrome 外掛偷藏惡意程式

從 Chrome 網路監控發現異常活動，檢視本機網站卻跑出一段程式從某台 AWS 主機為網頁注入 /forton/inject_jq.js： inject_jq.js 載入同一主機下的 /forton/cbp/cmps/60_4c15b.js： 60_4c15b.js 再載入更多 JS： 粗略看過載入的程式片段，似乎是要在網頁插入廣告（adnow、extsgo.com、st.adxxx.com）。經比對測試，無痕模式下不會載入可疑程式，懷疑是外掛造成。鎖定外掛展開調查，很快找到兇手為 Inject...

Posted 10 November 2016 11:26 PM 由 Jeffrey | 4 comment(s) 63,097

Filed under: Security

網路文章騙讚手法剖析

之前領教過內容農場 利用 Clickjacking (點擊刧持) 騙 讚的手法 ，包含藏在影片播放鈕上方，一播影片就按讚，甚至讓隱形按讚鈕追著滑鼠游標跑，在網頁點任何地方就強迫中獎。 最近常發現自已莫名訂閱了某些 FB 粉絲團，懷疑是某個讀文章會彈出「歡迎光臨」對話框的網站，今天再度遇到，決定一探究竟。（關於 Clickjacking 細節請參考前文： 看影片偷按讚-Clickjacking活用入門 ，此處不多贅述） 該網路文章如下圖，開啟幾秒後彈出「Hi~~歡迎光臨」對話框並遮蔽網頁，點右上角的...

Posted 29 October 2016 09:24 AM 由 Jeffrey | with no comments 16,224

Filed under: Security

你的密碼被偷了嗎？

兩天前收到Dropbox的通知信，說我從2012年起就沒有變更過密碼，為了安全起見，下次登入時系統會提示進行更新。 信件與 網頁 強調這單純是預防性措施，帳戶並沒有被不當存取的跡象（實際登入Dropbox網站檢視存取記錄，的確也都正常），原因是Dropbox發現有一組舊的使用者登入資料 (電子郵件地址加上加密及雜湊的密碼)在2012年被 偷走 ，Dropbox經由監測與分析相信未有帳戶遭到不當存取。不過為了安全起見還是要求所有 2012 年中之後就未曾更新的使用者，在下次登入時重設密碼。 今天看到Troy...

Posted 31 August 2016 11:07 PM 由 Jeffrey | with no comments 71,704

Filed under: Security

ASP.NET MVC整合RichText編輯器範例與注意事項

最近的ASP.NET MVC專案用到了RichText編輯器，允許使用者編輯包含不同字型、大小、粗細、顏色的格式化文字，其中有些需注意細節，整理筆記備忘。 網頁版RichText編譯器的選擇 不少 ，本文以 KendoEditor 為例，結果則以PostBack方式回傳。即使換用其他編輯器或改以AJAX回傳，ASP.NET MVC整合重點大同小異。 範例的MVC網站共有Index及Result兩個View，Index為編輯器頁面，Result則用來顯示結果。Controller除了Index及Result兩個Action...

Posted 18 August 2016 11:35 PM 由 Jeffrey | 4 comment(s) 8,113

Filed under: Security, ASP.NET MVC

垃圾郵件出新招？由Apple官方親自寄送的垃圾信

Gmail信箱收到一封怪信，內容如下： 信件來自id.apple.com，第一行明顯是垃圾郵件廣告或是釣魚詐騙，但後方緊接著標準Apple ID救援帳號驗證碼通知，其中Apple ID帳號頁面URL也是連到真的Apple ID網站無誤。經驗裡，Gmail的垃圾信檢核能力強大，鮮少有人破關，若這封信發信來源是偽造的卻闖關成功，其中使用技巧令人好奇。 檢查信件的SMTP Header，在其中看到Received: from nwk-txn-msbadger0702.apple.com (nwk-txn...

Posted 08 July 2016 06:45 PM 由 Jeffrey | 3 comment(s) 51,044

Filed under: Security

沒下載東西只是看網頁也會中毒？快檢查Flash Player版本

Flash漏洞儼然己成為病毒、木馬入侵的一條捷徑，前陣子鬧得沸沸揚揚的 勒索病毒大爆發 ，經 調查 就是經由雅虎網頁廣告傳播，透過Flash漏洞感染，再加上使用者未開啟UAC，只是瀏覽網頁就中毒。 因為Flash沒更新，不過上網看個網頁就中獎，怎麼想都覺得可怕。更何況不是去什麼見不得人的網站充實D槽，也沒有胡亂下載安裝軟體，只不過看了每天都可能光臨的入口網站就中鏢，像是走在路上無端被招牌砸頭，無比冤枉。因此，得保持Flash即時更新到最新版，才能讓自己消災解厄！ 研究之後，我找到一個檢查Flash版本的好方法...

Posted 19 June 2016 11:43 AM 由 Jeffrey | 2 comment(s) 16,443

Filed under: Security

淺談IFrame式Clickjacking攻擊與防護

用IFrame內嵌其他網頁是很常見的整合技巧，兩個獨立開發網頁可分別使用，有需要再合體，被內嵌的網頁配合移除頁首頁尾只留內容，看起來天衣無縫，省事又方便。 大家猜猜以下HTML寫法會有什麼結果，網頁上有一小塊出現Google首頁？ <! DOCTYPE html > < html > < head > < meta charset ="utf-8" > < meta name ="viewport" content...

Posted 12 June 2016 12:38 PM 由 Jeffrey | 2 comment(s) 38,817

Filed under: Security

對付SQL Injection，換掉單引號到底夠不夠？

雖然現在遇到使用者輸入條件查詢DB，我一律都用參數化查詢（順推超好用的 Dapper ）不再偷懶組裝SQL指令，但關於SQL Injection，我心中始終藏著一個疑問：流傳千古的… WHERE Col = '" + input.Replace("'", "''") + "'"換單引號大法，人人都知它不夠安全，但網路流傳一種說法，指稱換單引號只是自欺欺人根本無效，奇怪的是卻很少看到它被打穿的實例...

Posted 20 March 2016 11:22 PM 由 Jeffrey | 6 comment(s) 15,521

Filed under: Security, SQL

搜尋