Browse by Tags

All Tags » ASP.NET保安 (RSS)
使用OpenSSL建立CA及簽發SSL憑證
之前曾討論過WebClient存取使用 自我簽署憑證 的SSL連結,會發生以下錯誤: The underlying connection was closed: Could not establish trust relationship for SSL/TLS secure channel. / 基礎連接已關閉: 無法為 SSL/TLS 安全通道建立信任關係。 需透過 ServerCertificateValidationCallback 克服。最近又遇到類似情境,但Client程式是別人寫的...
Posted 17 May 2013 07:12 AMJeffrey | with no comments
Filed under: , ,
reCAPTCHA威風不再?
去年 換裝reCAPTCHA 後,連人類都很難看懂的變態OCR文字(其實大家在無形中參與了古書籍的數位化),成功擊退機器人大軍,垃圾留言從此絕跡。 近一個月,網站開始冒出許多垃圾留言,跟當年決定換掉TrimothyHUmphrey’s CAPTCHA時的情境相仿,三不五時會冒出一堆看不懂的洋文廣告,很多甚至是俄文、法文,一目了然的只有  我今年15歲,我有5" 之類的威而剛廣告(應是不了解台灣鄉民的實力,才膽敢跑來班門弄斧貼這種廣告夏夕夏景): 日期 留言文章主題 留言內容 2012...
Posted 01 September 2012 12:34 AMJeffrey | 5 comment(s)
Filed under:
ASP.NET保安系列 - ASP.NET網站設定常見的資安疑慮
前幾天看到朋友分享了一篇國外MVP Troy Hunt 的文章: 67% of ASP.NET websites have serious configuration related security vulnerabilities ,大意是依據他蒐集到的統計數字,約67%的ASP.NET網站因設定不當,存在資安風險。 Troy Hunt文章的分析數據來自他所開發的一個簡易網站掃瞄服務-- ASafaWeb ,  Automated Security Analyser for ASP.NET...
Posted 06 April 2012 07:50 AMJeffrey | with no comments
Filed under:
多想兩分鐘,你可以不用 validateRequest="false"(WebForm版)
接續 前一篇 不關閉validateRequest下允許傳送XML內容的議題,有人問起,我才想到該文只示範了AJAX做法,壓根忘了提WebForm環境下應如何處理。 以下是我會採用的處理方式。原理上還是透過encodeURIComponent()及HttpUtility.UrlDecode()分別在Client端與Server端加解碼,只是要額外動些手腳: 在網頁上放一個<asp:HiddenField>作為實際的傳值容器。 供使用者輸入的<textarea>或<input...
Posted 01 February 2012 10:14 PMJeffrey | with no comments
Filed under: , ,
HTML5 Canvas的Origin-Clean安全原則
前幾天介紹了 如何利用 toDataURL()將canvas繪製結果轉為圖檔的做法,但實際應用時,卻發現常常會冒出奇怪的錯誤: 在IE, Chrome或Safari上出現: SECURITY_ERR: DOM Exception 18 在FireFox則是冒出: 0x805303e8 (NS_ERROR_DOM_SECURITY_ERR) 原來,跟Cross-Site Scripting的限制一樣,HTML canvas也有其 安全原則 ! 簡單來說,可想成每個canvas有個origin-clean旗標...
Posted 02 November 2011 06:47 AMJeffrey | with no comments
Filed under: , ,
ASP.NET保安系列 - 關於elmah.axd的安全設定
ELMAH 是一個優秀的ASP.NET錯誤記錄模組,安裝簡便,只需將elmah.dll放到bin目錄下,再適當修改web.config,ELMAH就能在ASP.NET發生例外錯誤(Exception)時,將錯誤訊息、程式碼位置、Query String、Cookie、Client IP、登入身分... 等等偵錯資訊鉅細靡遺地保存下來,並且還提供了網頁查詢介面,可直接透過網站調閱每一則錯誤的細節。 安裝ELMAH後,我們可以設定 customErrors ,在ASP.NET出錯時,顯示較友善的錯誤訊息給使用者...
Posted 10 March 2011 05:19 PMJeffrey | 15 comment(s)
Filed under: ,
【茶包射手日記】ASP.NET寫Log檔的多執行緒問題
小熊子 提供日常生活茶包一枚,某機上盒設備偶然在液晶電視彈出以下訊息: 看起來是ASP.NET程式錯誤,雖然接到電視時畫面周圍被截,但仍看得出是同時寫入Log檔的多條執行緒在打架所致。頓時有熟悉的感覺: 啊! 這茶包我也嚐過。 由錯誤訊息所 暗示 的片段程式碼(錯誤示範! 正式台web.config應啟用customErrors,避免錯誤細節及程式碼被閒雜人等掌握),推敲原來的程式碼如下: public static void WriteLog( string sErrMsg) { StreamWriter...
Posted 29 January 2011 09:37 AMJeffrey | 3 comment(s)
Filed under: , ,
ASP.NET保安系列 - 常被遺忘的伺服器端驗證
【ASP.NET保安系列前言】 我一直對資安十分敏感,而剛好身為一位網站開發人員,自然對系統架構的安全格外關注,過去已寫過不少文章討論網站設計上的安全議題。例如: ASP.NET防駭指南 、 你的網站在裸奔嗎? 、 游擊式的SQL Injection攻擊 、 瀏覽器XSS防身術比武大會 、 隱含殺機的GET式AJAX資料更新 ...  很遺憾地,常有題材可以討論,意味著因程式寫法疏失產生資安風險的問題沒消失過,而隨著技術推陳出新,又會有新陷阱冒出來。結論是,身為網站開發人員,永遠鬆懈不得...
Posted 28 January 2011 07:17 AMJeffrey | 4 comment(s)
Filed under: , ,

搜尋

Go

<May 2013>
SunMonTueWedThuFriSat
2829301234
567891011
12131415161718
19202122232425
2627282930311
2345678
 
RSS
【工商服務】
OrcsWeb: Windows Server Hosting
twMVC
最新回應

Tags 分類檢視
關於作者

一個醉心技術又酷愛分享的Coding魔人,十年的IT職場生涯,寫過系統、管過專案, 也帶過團隊,最後還是無怨無悔地選擇了技術鑽研這條路,近年來則以做一個"有為的中年人"自許。

文章典藏
其他功能

這個部落格


Syndication