Category: Security

Python 跑 Flask 的實驗性質小網站丟到 Internet 上跑,由於 Debug 模式會即時顯示每筆 HTTP 存取,我活生生看到一堆噁心的存取記錄: 喵的,這個沒公開的網站,上線沒幾分鐘馬上招來一堆惡意機器人上門,四處翻找想看你是不是有犯什麼低級錯誤,有沒有檔案可以偷回家,有沒有漏洞...

本週開源界與資安界有則大新聞:程式庫 XZ Utils近期被植入後門 by iThome 特別讓人震驚是因為 XZ Utils 是 Linux 很基本很常用的壓縮程式庫,若真的被成功植入擴散到現存的 Linux 系統,後果不堪設想。而攻擊手法也很罕見,攻擊者假扮自願程式維護人員多年,於今年二月底才發...

同事分享資安知識一則:在網頁引用 Host Header 可能形成資安弱點,給予攻擊者操作重新導向或引用惡意程式的機會。特筆記備忘。 使用 IIS + ASP.NET 示範如下: <%@Page Language="C#"%> <html> <...

實體金鑰方便又安全,但前題是私鑰檔案必須妥善保管,一旦被偷走前功盡棄,白忙一場。存到離線媒體會比放在電腦硬碟安全,即便被人遠端控制或偷用電腦,也沒東西可偷。故在備份好金鑰並存入實體金鑰後,應該馬上將其從電腦中刪除,也要避免上傳到雲端,讓檔案從物理上與網路隔離以策安全。保管好除了避免被偷,還要確保資料...

用 .NET 程式加解密不是新鮮話題,但如果是用 .NET 程式整合 USB 實體金鑰加密資料,做到沒實體金鑰不知 PIN 碼就解不開,聽起來是不是就有點意思了? 土砲 USB 金鑰 Side Project 持續進行,產生及設定金鑰、使用 GPG 加解密、登入 SSH 都沒啥問題,下一步我想拿來做...

若對這個主題一頭霧水,以下是一些背景知識: 用金鑰取代密碼登入 SSH 伺服器或 SCP 傳檔的好處:免敲密碼登入超方便、金鑰安全強度比文字密碼高 從 Windows 使用金鑰免密碼登入 SSH/SFTP/SCP Windows OpenSSH 伺服器筆記 實體金鑰的安全性比金鑰檔更上層樓,私鑰鎖...

ASP.NET 老人們應該知道 web.config 有個 <compilation debug="true/false" /> 設定,啟用後網站會跑得比較慢,但能提供較多偵錯資訊,有利於開發測試。 ASP.NET 啟用偵錯模式(Debug Mode)後會出現以下行為...

如果你對 GPG(GnuPG) 跟 ECC 金鑰沒什麼概念,這裡先提供一些背景知識。 GPG (The GNU Privacy Guard,又稱 GnuPG),是一套實作 OpenPGP 標準規開源軟體,使用 Windows 的同學或許較少接觸,但它成為 Linux / macOS 內建工具很久了,...

若你跟業內人士說你在系統裡使用了 MD5 雜湊,多半會得到以下反應: 茄~ MD5 雜湊早在八百年前就被證實為不安全,你居然還在用? 自從差分攻擊法問市,MD5 安全性已蕩然無存,幾秒就能破解 道理我都懂,但心中仍有疑問: 即使 EXE 檔附上 MD5 碼驗證,駭客都能輕鬆能做出一植入木馬,檔...

我對非對稱式加密及數位簽章的理解主要仍靠十幾年前自學的一點皮毛,時光飛逝,隨著密碼學發展跟因應日益強大的電腦破解算力考量,現在常用的公私鑰演算法跟我想像的已有很大出入。前陣子在弄 Windows 使用金鑰免密碼登入 SSH 便學到一個沒聽過的數位簽名演算法名詞 - Ed25519 (老人只聽過 79...

這幾天大家應該都有看到新聞,共享汽機車大廠 iRent,被國外資安研究人員發現,因系統設定不當導致資料庫開放匿名存取,只要知道 IP 便能在上面查到客戶姓名、手機、Email、信用卡等個資,經通報廠商遲無回應(可能剛好在年假期間),最後透過數位發展部轉由 TWCERT/CC ( 台灣電腦網路危機處理...

微軟在 11/8 公佈了 System.Data.SqlClient、Microsoft.Data.SqlClient 的安全漏洞,由於涵蓋大量 .NET 版本 (.NET Framework 到 .NET 6 都可能使用到),範圍不小,身為 .NET 開發人員,應該關注其影響及修補方式。 參考了以...

一般來說,網站只要對 Internet 公開,就得面對一堆機器人的騷擾,這些惡意程式成天在網路海巡,亂槍打鳥或依據蒐羅到的網站清單,一台一台掃瞄試探,找尋漏洞伺機下手。若網站沒有致命漏洞,這種無差別式窺探通常威脅不高,就像偷車賊經過,難免打量幾眼看看有無上鎖開防盜器,傷害有限但無法社絕。但,對方如果...

同事聊到小孩唸資工系,學校出的作業要寫 DB 存取相關的程式,我萌生一個大哉問:學校有教 SQL Injection 知識嗎?(延伸閱讀:你的網站正在裸奔嗎?) 便在臉書上開了一個不專業民調,想問問資訊科系出身的朋友們,是否在學校就學過知道 SQL Injection? 首先,我想要謝謝每一個願意花...

接獲通知,網站目前未設定 script-src、object-src 明確指向引用來源,建議加上以強化安全性,並貼心附上 參考文件 及設定範例: Allow everything but only from the same origin default-src 'self'; Only Allow...