Browse by Tags

TIPS-將Manifest內嵌至EXE檔案

照著 MSDN Create and Embed an Application Manifest (UAC) 一文的說明，為.NET程式附加.manifest檔案註記為需管理者權限執行，並在Visual Studio專案屬性的Post Build Event中加入 mt.exe -manifest "$(ProjectDir)$(TargetName).exe.manifest" -updateresource:"$(TargetDir)$(TargetName).exe;#1"...

Posted 31 August 2010 07:30 PM 由 Jeffrey | with no comments

Filed under: Security, .NET, Visual Studio

【茶包射手專欄】跨機器之WCF認證問題

這是我的經驗。開發WCF Service時先在本機上寫Service及Cient，Visual Studio及.NET Framework做掉了大部分的Dirty Work，拖拖拉拉，動動小指，一段WCF程式就寫出來了，開開心心地做完測試，將包含WCF Service的ASP.NET部署到遠端機器上，再把Client端的Config指向遠端主機，理論上似乎就可以改測遠端主機連線模式: <client> <endpoint address=" httq://remoteMachine...

Posted 30 July 2010 04:22 PM 由 Jeffrey | 4 comment(s)

Filed under: ASP.NET, Security

設計賓至如歸的HTTPS強制導向網頁

有個網站有較嚴的資安要求，因此在IIS管理員中將其設為必須使用SSL連線，當使用者使用HTTP而非HTTPS連線時，會看到403拒絕存取的錯訊訊息，不太友善: 403 - Forbidden: Access is denied. You do not have permission to view this directory or page using the credentials that you supplied. 嚴格說起來，這個訊息回應不夠人性，未導引使用者解決問題，所以我們來試做一個讓使用者有賓至如歸感受的HTTPS強制導向服務...

Posted 22 July 2010 06:23 AM 由 Jeffrey | 6 comment(s)

Filed under: ASP.NET, Security, IIS

【笨問題系列】CHM檔變成無字天書

不知大家有無這種經驗，從網路下載或從網路分享直接開啟某個CHM檔，卻發現其實它是一本無字天書，內容頁一直出現"Navigation to the webpage was canceled”(己取消瀏覽該網頁) 之前一直搞不太清楚為什麼，一度誤以為是CHM格式不相容或檔案損壞所致，後來才慢慢知道原因。 簡單來說，由於CHM中的超連結有可能引發資安威脅，因此在某次Windows Update後(Vista後則是內建)，會預設停用"來路不明"CHM的連結功能，導致點選左方主題或索引時...

Posted 20 July 2010 09:31 AM 由 Jeffrey | 2 comment(s)

Filed under: Tips, Security

出來混，遲早要中槍

接到MVP demo 密報，說我被防毒廠商 諾頓 列為恐怖份子... 嘿，黑暗執行緒很Nice的，這其中一定是有什麼誤會。 諾頓網站有列出可疑網址，當然要打開追究一下問題所在。在瀏覽器輸入網址，"碰!"一聲， AVG防毒 程式再對我開了一槍... 由於防毒軟體攔阻，問題網頁甚至無法完整載入，不過，看到標題大概就知道是怎麼回事了。研究木馬的文章，少不了描述木馬特徵等細節，可能剛好觸發了防毒軟體的比對條件，因而發生誤判。防毒軟體被另一個防毒軟體當成病毒的事，時有所聞，沒想到寫寫木馬文章一樣也會被流彈所傷...

Posted 30 May 2010 08:02 PM 由 Jeffrey | 8 comment(s)

Filed under: Security

TIPS-解決WebClient存取https網站時SSL憑證不符問題

申請正式SSL憑證是要花錢的，在測試網站SSL連線或僅作內部應用時，我們常會用 SelfSSL 工具或是 Certificate Service 自己搞一張SSL憑證自嗨一番，反正一樣可以做到傳輸加密的效果。另外，還有一種狀況是網站雖有正式SSL憑證，但註冊的是外部DNS名稱，在內網必須用IP存取網站，此時也會出現URL與SSL註冊對象不同的情形。 當上述情境中，DIY憑證或外部用憑證會被瀏覽器識破，彈出警告訊息: 在瀏覽器上可以選擇無視憑證不符的瑕疵，繼續使用。但若問題發生在 WebClient...

Posted 06 May 2010 09:42 PM 由 Jeffrey | 1 comment(s)

Filed under: ASP.NET, Security

瀏覽器XSS防身術比武大會

在噗浪上看到有人抓到了總統府網站的XSS漏洞，在新聞稿網頁嵌入了惡搞的 奇笨呆兒 脫衣舞男影片。 無意發現，這個攻擊手法在IE8上會被擋下來! 之前微軟一再 吹噓 強調IE8相較於其他瀏覽器來得安全，索性就用這個案例讓五大瀏覽器比劃一下，看看IE8, Firefox, Chrome, Safari, Opera的XSS防身術功力高低: Chrome腹部挨了一拳! Firefox頭上被敲了一記悶棍! Safari背上中了一掌! Opera一個箭步，巧妙閃過! IE8秀了一記後空翻，躲開後還三聲狂笑...

Posted 27 August 2009 11:33 PM 由 Jeffrey | 16 comment(s)

Filed under: Security, IE

多想兩分鐘，你可以不必教User關掉Vista UAC

三年前見識過WebATM網站"教導"使用者設定IE，允許執行所有不標示為安全的ActiveX控制項，我寫了這篇: 讓我們再創台灣的資安奇蹟。啊~~~ 福氣啦!! 前幾天我又發現另一椿資安奇蹟。 話說Vista UAC 這份昂貴的保險 ，讓不少原本依賴管理者權限在Windows裡縱橫的程式紛紛中箭落馬(連Visual Studio 2005/2008都在名單上)，必須透過以管理者權限執行的做法克服問題。 不過，像這樣教導使用者索性關閉UAC來個眼不見為淨，未免也太霸氣... 在這份說明裡完全沒提到關閉UAC可能衍生的風險...

Posted 21 May 2009 09:48 AM 由 Jeffrey | 12 comment(s)

Filed under: Security, Vista

掃很大 掃不用錢 的全面式病毒檢測

雖然有點Lag，但我最近才知道有 這種服務 。 當你發現一個懷疑內含病毒或木馬的檔案，上傳過去，就會有善心 人士 程式一口氣幫你用全世界的掃毒軟體掃過一輪，很美妙吧!? 今天遇到一台安裝Avast的XP在瀏覽某個JPG檔時彈出含毒訊息，但同一圖檔在我安裝AVG的Vista上卻沒警示。一時興起，剛好拿這個可疑檔案來練兵，於是連到 http://www.virustotal.com 上傳檔案後，耐心等候，網頁上開始一一浮現各家掃毒程式的檢查結果。結果是40種掃毒程式裡有9種說有毒。是否為誤判? 還是不得而知...

Posted 04 May 2009 01:01 AM 由 Jeffrey | 3 comment(s)

Filed under: Security

隱含殺機的GET式AJAX資料更新

jQuery的出現讓AJAX網頁的開發瞬間變簡單了。只要寫支簡單的ASPX，用Request["..."]接入前端用jQuery.ajax()傳來的參數，馬上就實現了AJAX式的資料查詢、新增、修改、刪除功能。但是，小心不要寫出如下的程式碼: protected void Page_Load( object sender, EventArgs e) { if (Request[ "mode" ] == "del" ) { try { CheckCookieForAuthentication...

Posted 16 April 2009 04:13 PM 由 Jeffrey | 6 comment(s)

Filed under: Javascript, Security, AJAX, jQuery

Live Messenger強迫換ID?

今早收到一個MSN訊息，寄送者署名Windows Live Messenger Service工作小組: 重要服務宣告: 因應近期系統增強的需要，您必須變更您的電子郵件地址以登入 Windows Live(TM) Messenger Service。 若要確保您的存取權限不被封鎖或了解更多相關資訊，請移至 http://support.microsoft.com/gp/Messenger/zh-tw 連到 http://support.microsoft.com/gp/Messenger/zh-tw...

Posted 08 April 2009 10:26 AM 由 Jeffrey | 4 comment(s)

Filed under: Security

狗都嫌的Vista UAC，問題在哪裡?

前幾天接獲一件案例，Vista x64連上健保局網站，由於需使用自然人憑證，要安裝ActiveX控制項，結果苦主將IE7的保護模式關閉、也設成信任的網站，反覆嘗試，耗了超過一個小時，仍不得其門而入，接獲報案後，以過來人的經驗建議改用Run As Administrator執行IE，問題迎刃而解。 後續的說明中"不小心"提到Run As Administrator是解決大部分UAC障礙的大絕招(前題你要自行承擔該程式夾帶病毒、木馬等惡意程式的風險)。果不其然，在這個案例中又聽到再熟悉不過的評價...

Posted 16 March 2009 11:17 AM 由 Jeffrey | 10 comment(s)

Filed under: Security, Vista

關於PDF JBIG2漏洞零時差攻擊

Adobe Reader及Acrobat最近傳出有漏洞(Adobe也已 證實 )，同時已經有人利用此漏洞製作出黑心PDF檔，算是標準的零時差攻擊(漏洞發布的同時，病毒/木馬程式跟著一起上市)。 使用Acrobat或Adobe Reader開啟黑心PDF檔時，其中包藏的惡意程式會利用類似溢位攻擊的方式取得控制權，進而執行夾帶的程式碼下載木馬及幹些見不得人的勾當。 先前的認知是這波攻擊要透過Javascript才能生效，因此停用Javascript應具備阻擋攻擊的效果。很不幸地，既然是溢位攻擊，能搞的名堂可多了...

Posted 26 February 2009 02:17 PM 由 Jeffrey | 5 comment(s)

Filed under: Security

【茶包射手專欄】Vista Mandatory Integrity Level

不經一事，不長一智。 從考完NT 4.0 MCSE後，我就鮮少在Windows上下苦功，都是抱持著用到哪學到哪的精神。 今天在Windows 2008(有開UAC)上調 Trixie 設定時，發現設定結果無法儲存，沒彈出錯誤，但下次開IE就又回到修改前的樣子。 我知道IE7啟用了所謂的 Protected Mode ，在存取本機資源時設下諸多限制，以防止透過瀏覽器發動的攻擊，這問題八成與權限有關。二話不說，召來 茶包一哥 進行偵察，果不其然，由Log來看就是權限設定問題。Trixie的設定要寫入Trixie...

Posted 17 February 2009 07:55 AM 由 Jeffrey | 3 comment(s)

Filed under: Tools, Security, Vista, Trouble-Shooting, Windows 2008

Windows Update! 快!

接到微軟的緊急通知，微軟在12/18發佈了重大安全公告 MS08-078 ，主要是針對IE 5/6/7/8的弱點修補，關於此漏洞的細節可參考 Microsoft 安全性摘要報告 961051 。 由摘要報告中指出的漏洞發佈時間是12/10，大約跟上回 IE7零時差攻擊 的時點相近，後來發現該漏洞遍及IE6-IE8，並不限於IE7，並陸續提出用XML Island及OLEDB32 Row Position功能的暫代解決方案，最後於12/18提出修補程式。 請大家快進行Windows Update或到...

Posted 19 December 2008 01:21 PM 由 Jeffrey | with no comments

Filed under: Security, IE

搜尋