Category: Security

同事分享資安知識一則:在網頁引用 Host Header 可能形成資安弱點,給予攻擊者操作重新導向或引用惡意程式的機會。特筆記備忘。 使用 IIS + ASP.NET 示範如下: <%@Page Language="C#"%> <html> <...

實體金鑰方便又安全,但前題是私鑰檔案必須妥善保管,一旦被偷走前功盡棄,白忙一場。存到離線媒體會比放在電腦硬碟安全,即便被人遠端控制或偷用電腦,也沒東西可偷。故在備份好金鑰並存入實體金鑰後,應該馬上將其從電腦中刪除,也要避免上傳到雲端,讓檔案從物理上與網路隔離以策安全。保管好除了避免被偷,還要確保資料...

用 .NET 程式加解密不是新鮮話題,但如果是用 .NET 程式整合 USB 實體金鑰加密資料,做到沒實體金鑰不知 PIN 碼就解不開,聽起來是不是就有點意思了? 土砲 USB 金鑰 Side Project 持續進行,產生及設定金鑰、使用 GPG 加解密、登入 SSH 都沒啥問題,下一步我想拿來做...

若對這個主題一頭霧水,以下是一些背景知識: 用金鑰取代密碼登入 SSH 伺服器或 SCP 傳檔的好處:免敲密碼登入超方便、金鑰安全強度比文字密碼高 從 Windows 使用金鑰免密碼登入 SSH/SFTP/SCP Windows OpenSSH 伺服器筆記 實體金鑰的安全性比金鑰檔更上層樓,私鑰鎖...

ASP.NET 老人們應該知道 web.config 有個 <compilation debug="true/false" /> 設定,啟用後網站會跑得比較慢,但能提供較多偵錯資訊,有利於開發測試。 ASP.NET 啟用偵錯模式(Debug Mode)後會出現以下行為...

如果你對 GPG(GnuPG) 跟 ECC 金鑰沒什麼概念,這裡先提供一些背景知識。 GPG (The GNU Privacy Guard,又稱 GnuPG),是一套實作 OpenPGP 標準規開源軟體,使用 Windows 的同學或許較少接觸,但它成為 Linux / macOS 內建工具很久了,...

若你跟業內人士說你在系統裡使用了 MD5 雜湊,多半會得到以下反應: 茄~ MD5 雜湊早在八百年前就被證實為不安全,你居然還在用? 自從差分攻擊法問市,MD5 安全性已蕩然無存,幾秒就能破解 道理我都懂,但心中仍有疑問: 即使 EXE 檔附上 MD5 碼驗證,駭客都能輕鬆能做出一植入木馬,檔...

我對非對稱式加密及數位簽章的理解主要仍靠十幾年前自學的一點皮毛,時光飛逝,隨著密碼學發展跟因應日益強大的電腦破解算力考量,現在常用的公私鑰演算法跟我想像的已有很大出入。前陣子在弄 Windows 使用金鑰免密碼登入 SSH 便學到一個沒聽過的數位簽名演算法名詞 - Ed25519 (老人只聽過 79...

這幾天大家應該都有看到新聞,共享汽機車大廠 iRent,被國外資安研究人員發現,因系統設定不當導致資料庫開放匿名存取,只要知道 IP 便能在上面查到客戶姓名、手機、Email、信用卡等個資,經通報廠商遲無回應(可能剛好在年假期間),最後透過數位發展部轉由 TWCERT/CC ( 台灣電腦網路危機處理...

微軟在 11/8 公佈了 System.Data.SqlClient、Microsoft.Data.SqlClient 的安全漏洞,由於涵蓋大量 .NET 版本 (.NET Framework 到 .NET 6 都可能使用到),範圍不小,身為 .NET 開發人員,應該關注其影響及修補方式。 參考了以...

一般來說,網站只要對 Internet 公開,就得面對一堆機器人的騷擾,這些惡意程式成天在網路海巡,亂槍打鳥或依據蒐羅到的網站清單,一台一台掃瞄試探,找尋漏洞伺機下手。若網站沒有致命漏洞,這種無差別式窺探通常威脅不高,就像偷車賊經過,難免打量幾眼看看有無上鎖開防盜器,傷害有限但無法社絕。但,對方如果...

同事聊到小孩唸資工系,學校出的作業要寫 DB 存取相關的程式,我萌生一個大哉問:學校有教 SQL Injection 知識嗎?(延伸閱讀:你的網站正在裸奔嗎?) 便在臉書上開了一個不專業民調,想問問資訊科系出身的朋友們,是否在學校就學過知道 SQL Injection? 首先,我想要謝謝每一個願意花...

接獲通知,網站目前未設定 script-src、object-src 明確指向引用來源,建議加上以強化安全性,並貼心附上 參考文件 及設定範例: Allow everything but only from the same origin default-src 'self'; Only Allow...

這兩天被一則「7-Zip Windows 程式存在安全漏洞」的資安消息洗版(參考:7-Zip Windows App漏洞讓攻擊者取得管理員權限 by iThome),代號 Kagancapar 的土耳其研究員展示了「從 7-Zip 開啟說明檔,再將檔案拖到說明窗視可讓一般使用者取得管理者權限」的安全...

一般 SSL/TLS 憑證需明確註明網站 DNS 供特定網站使用,每次新增網站需申請新憑證。所謂萬用字元憑證則是將 DNS 網域名稱第一段改為萬用字元「*」,讓一張憑證能適用符合該網域名稱結尾的網站,例如:若萬用字元憑證簽發對象為 *.darkthread.net,可同時用於 www.darkthr...