Browse by Tags

提防臉書帳號釣魚網站

在臉書專頁留言區看到一則帳號停權通知，心頭一驚： Last Warning, Your account will be disabled permanent because your accouts have been reported by other users,And another reason is not allowed on Facebook… 留言者取名Facebook Pages，又配上臉書Logo，留言內容大意是我的帳號因為被人檢舉即將被永久停權，下方有一個連到Facebook...

Posted 03 January 2016 11:02 PM 由 Jeffrey | with no comments 5,955

Filed under: Security

HTTPS網站被Chrome打臉？

接獲報案，某網站的SSL圖示忽然被Chrome打上紅叉叉，https字眼也被劃掉，有種駭客正站在你背後的驚悚感。檢視該網站SSL憑證尚未到期，改用Firefox、IE檢視並無異樣，只有Chrome在連線資訊提及沒有公開稽核記錄、安全性設定已過時、使用過舊密碼編譯法等缺失。 以上提到的缺失並不算新鮮事。 公開稽核記錄是指網站經第三方單位稽核無誤，跟花錢取得 CAS ISO認證差不多意思，目的在提升客戶信心。而具備公開稽核記錄的憑證，Chrome或IE還會在地址列標示組織名稱 以顯尊榮 ，例如：  ...

Posted 23 April 2015 10:22 PM 由 Jeffrey | with no comments 44,820

Filed under: Security

IIS更新通告：MS15-034

依據iThome的 報導 ，資安研究機構SANS最近公告了一個IIS漏洞：微軟於4/14發佈的安全公告 MS15-034 ，提及一個從Windows 7 SP1起存在於HTTP.SYS的安全漏洞，讓攻擊者有機會透過HTTP Request癱瘓系統，甚至有可能從遠端執行程式碼（聽起來又是 緩衝區溢位漏洞 ）。安全公告發佈的同時，微軟也一併釋出了更新 KB3042553 ，意思是： 莫等待，莫依賴，快把IIS更新裝起來！ （受影響範圍包含Windows 7/Windows 2008R2/Windows...

Posted 20 April 2015 11:55 PM 由 Jeffrey | 11 comment(s) 19,586

Filed under: Security, IIS

Bash漏洞檢測

9/24 US-CERT、RedHat及多家資安業者揭露一則消息： Bash 存在嚴重安全漏洞 。 Bash Shell 從 2004 年 7 月起存在一個安全漏洞，允許環境變數設定指令夾帶惡意指令被一併執行。當今世界上運作中的 Linux / *nix 系統（連 Mac OS 也算）的數量驚人，甚至在你料想不到的裝置裡也有個 Linux 默默工作著（除了智慧型手機外，許多電視機上盒、網路攝影機裡面也住著一隻小企鵝），它在我們的生活周遭幾乎已是無所不在，故評估這個漏洞影響範圍頗大。不過，較大的被攻擊風險主要來自...

Posted 26 September 2014 01:34 PM 由 Jeffrey | with no comments 6,794

Filed under: Security

關於Gmail五百萬筆密碼洩漏傳聞與資安提醒

在網路上看到 Gmail 密碼外洩消息，我「震驚」了…由於與個人資安切身相關，當然要深入了解，便找了資料來讀，順便整理分享。 本週二，有人在俄羅斯 Bitcom 論壇貼了一份 493 萬筆 Gmail 帳號密碼清單，被俄羅斯媒體 CNews 報導後，隨即在網路「瘋傳」（咳… 可以不要玩這些哏了嗎？）。論壇管理者事後移除清單裡的密碼，只留下帳號，而貼出清單的原PO則再跑出來聲稱其中 60％ 的密碼是有效的。 初步分析帳號名稱，主要來自英國、西班牙及俄羅斯，且看起來是長時間蒐集所得，部分帳號已改過密碼或停用...

Posted 11 September 2014 07:30 AM 由 Jeffrey | with no comments 7,937

Filed under: Security

我的(偽)白帽駭客經驗

或許有些人不知道，一般人口中的「駭客」，還細分成幾類： 白帽駭客（White Hat） 有能力破壞電腦安全但不具惡意目的的駭客。白帽子一般有清楚的定義道德規範並常常試圖同企業合作改善被發現的安全弱點。 黑帽駭客（Black Hat） 可視為犯罪分子，他們的出發點是惡意的。在未經邀請下，他們就侵入受害者的電腦系統獲取自己的利益。也被稱為Cracker（破壞者），因為他們侵入電腦系統的行為就像銀行搶匪破壞保險箱一樣。 灰帽駭客（Gray Hat） 對於倫理和法律界線曖昧不清，游走於黑帽與白帽之間。 激進駭客...

Posted 22 August 2014 07:54 AM 由 Jeffrey | 1 comment(s) 9,346

Filed under: Security

看影片偷按讚-Clickjacking活用入門(誤)

記得有一陣子，FB很流行"必須先按讚才能看影片"的分享貼文。討厭強迫中獎，我多半選擇不看，再不然就是自己Google去找YouTube原始影片。前陣子在 JavaScript.tw FB社團看到 TonyQ 分享影片網站利用Clickjacking偷抓你的手按讚的 伎倆 ，想起最近固定會收到幾個影片網站的新訊息通知(在粉絲團按過讚，預設會接收通知。PS: 想訂閱本站訊息通知的朋友，知道該 怎麼做 了吧? :P )，莫非自己被陰了還知道? 趕緊檢查按讚記錄，果然... 過去曾大言不慚說自己資安偏執...

Posted 05 March 2014 10:10 PM 由 Jeffrey | 2 comment(s) 12,407

Filed under: Security

資安筆記-經第三方廠商的社交工程繞道攻擊

在網路上看到Twitter帳號被盜(或者該說被搶刧)的經歷兩則，共通點是受害者本身並無明顯資安過失(例如: 密碼過於簡單、多帳號共用密碼、被植入木馬後門或誤入釣魚網站等)，攻擊者是經由 社交工程 對第三方廠商假冒身分取得敏感資訊或重設身分再進一步盜用帳號。自己沒有犯錯，卻因其他廠商失守而受連累聽來頗悲，讓我格外有興趣了解原委，整理摘要如下: 第一個 案例 來自Naoki Hiroshima，他擁有一個單字母Twitter帳號"N"，曾有人喊價$50,000美金收購。這個珍貴的帳號時常引來覬覦...

Posted 04 February 2014 09:47 PM 由 Jeffrey | 1 comment(s) 6,790

Filed under: Security

混淆器戰爭

前陣子才 評估 過SmartAssembly混淆器，今天卻無意發現駭人的壞消息。有個Open Source專案，de4dot，號稱能輕易破解市面上各大品牌混淆器: Agile.NET (aka CliSecure) Babel.NET CodeFort CodeVeil CodeWall CryptoObfuscator DeepSea Obfuscator Dotfuscator .NET Reactor Eazfuscator.NET Goliath.NET ILProtector MaxtoCode...

Posted 24 April 2013 06:41 AM 由 Jeffrey | 4 comment(s) 20,921

Filed under: Security

側錄.NET程式網路傳輸內容

前幾天 偵查NuGet Server無法上傳問題 時，我用了個有趣的小技巧觀察nuget.exe程式與Server間的網路傳輸內容。 一般來說，提到監聽網路傳輸，大多人想到的是 Microsoft Network Monitor 、 Wireshark 之類的Sniffer工具，但.NET有個網路追蹤( Network Tracing )功能，就鮮為人知了。 MSDN文章上對於網路追蹤的各參數 解說得很清楚 ，而且，即便不是自己寫的.NET程式，只要加上*.exe.config就可開啟追蹤記錄功能...

Posted 28 April 2012 11:25 PM 由 Jeffrey | 1 comment(s) 9,090

Filed under: Security, .NET

多想兩分鐘，你可以不用 validateRequest="false"(WebForm版)

接續 前一篇 不關閉validateRequest下允許傳送XML內容的議題，有人問起，我才想到該文只示範了AJAX做法，壓根忘了提WebForm環境下應如何處理。 以下是我會採用的處理方式。原理上還是透過encodeURIComponent()及HttpUtility.UrlDecode()分別在Client端與Server端加解碼，只是要額外動些手腳: 在網頁上放一個<asp:HiddenField>作為實際的傳值容器。 供使用者輸入的<textarea>或<input...

Posted 01 February 2012 10:14 PM 由 Jeffrey | with no comments 7,415

Filed under: ASP.NET, Security, ASP.NET保安

多想兩分鐘，你可以不用 validateRequest="false"

先來看以下的程式，網頁上放了一個<textarea>及<input type="button">，按鈕後以$.post()方式將<textarea>的內容送至ASP.NET Server端程式，在Page_Load中讀取Request["data"]並顯示出來，另外並透過$.ajaxSetup()指定error錯誤事件函數，捕捉並顯示伺服器端的錯誤資訊。 <%@ Page Language="C#"...

Posted 01 February 2012 08:21 AM 由 Jeffrey | 5 comment(s) 35,843

Filed under: ASP.NET, Security, jQuery

資安新聞筆記-開發網站前該知道的二三事

最近有兩則資安新聞引發我的注意: 金流平台坦承內控疏失導致交易資料外洩 CSDN承認部分用戶賬號面臨風險 要求修改密碼 資安這檔事是這樣的，平時只會覺得系統被設了一堆限制綁手綁腳，稽核單位訂下的規矩不勝其擾，防毒軟體防火牆是效能毒藥，這一切代價換來多少功效? 卻無人知曉，直到某天豬隊友忽然來報到，才後悔資安防範做得還是太少。 有鑑於對於資安重要性的體驗常來自"多麼痛的領悟"，多遇個幾次，還來不及大徹大悟前，往往命就先去了半條。(甚至歷史上也曾有因資安事件而死的悲慘案例: ...

Posted 23 December 2011 12:04 AM 由 Jeffrey | 8 comment(s) 19,384

Filed under: Security

豬隊友滾開，DigiNotar掰掰

幾天前聊到DigiNotar 遭駭客入侵 被盜發超過200張假憑證的事件，由於DigiNotar對於入侵過程及假憑證盜發細節多所保留，外界難以斷言是否有盜發憑證仍流落在外，於是Chrome、FireFox與Microsoft一致決定採取"寧可錯殺一百、不可錯放一個"的霹靂手段--直接撤銷DigiNotar CA 根憑證，凡是DigiNotar簽發的憑證，不管真假一律封殺。 繼Chrome、FireFox陸續推出撤銷DigiNotar根憑證的新版本後，微軟也在9/7釋出了 KB2607712更新...

Posted 09 September 2011 12:04 AM 由 Jeffrey | 3 comment(s) 9,425

Filed under: Security

又見豬一樣的隊友

五個月前，剛發生過Comodo憑證經銷商 被駭客入侵盜發SSL憑證 的事件，類似事件最近再度上演: 網路出現Google假憑證 DigiNotar證實遭入侵 200多個假憑證外流 上回是義大利憑證經銷商出包，這回則是位於荷蘭的DigiNotar CA捅簍子，而且感覺過程挺黑的: 8/28伊朗網友在Gmail論壇發表自己的Chrome對一張7/10簽發的Google SSL憑證發出警告，DigiNotar在8/29事件爆發後立即撤銷了這張假憑證，並在隨後才坦承，曾在7/19發現被駭客入侵，盜發了超過200張憑證...

Posted 05 September 2011 12:40 AM 由 Jeffrey | 1 comment(s) 9,324

Filed under: Security

搜尋