Browse by Tags

關於Gmail五百萬筆密碼洩漏傳聞與資安提醒
在網路上看到 Gmail 密碼外洩消息,我「震驚」了…由於與個人資安切身相關,當然要深入了解,便找了資料來讀,順便整理分享。 本週二,有人在俄羅斯 Bitcom 論壇貼了一份 493 萬筆 Gmail 帳號密碼清單,被俄羅斯媒體 CNews 報導後,隨即在網路「瘋傳」(咳… 可以不要玩這些哏了嗎?)。論壇管理者事後移除清單裡的密碼,只留下帳號,而貼出清單的原PO則再跑出來聲稱其中 60% 的密碼是有效的。 初步分析帳號名稱,主要來自英國、西班牙及俄羅斯,且看起來是長時間蒐集所得,部分帳號已改過密碼或停用...
Posted 11 September 2014 07:30 AMJeffrey | with no comments 6,401
Filed under:
我的(偽)白帽駭客經驗
或許有些人不知道,一般人口中的「駭客」,還細分成幾類: 白帽駭客(White Hat) 有能力破壞電腦安全但不具惡意目的的駭客。白帽子一般有清楚的定義道德規範並常常試圖同企業合作改善被發現的安全弱點。 黑帽駭客(Black Hat) 可視為犯罪分子,他們的出發點是惡意的。在未經邀請下,他們就侵入受害者的電腦系統獲取自己的利益。也被稱為Cracker(破壞者),因為他們侵入電腦系統的行為就像銀行搶匪破壞保險箱一樣。 灰帽駭客(Gray Hat) 對於倫理和法律界線曖昧不清,游走於黑帽與白帽之間。 激進駭客...
Posted 22 August 2014 07:54 AMJeffrey | 1 comment(s) 7,270
Filed under:
看影片偷按讚-Clickjacking活用入門(誤)
記得有一陣子,FB很流行"必須先按讚才能看影片"的分享貼文。討厭強迫中獎,我多半選擇不看,再不然就是自己Google去找YouTube原始影片。前陣子在 JavaScript.tw FB社團看到 TonyQ 分享影片網站利用Clickjacking偷抓你的手按讚的 伎倆 ,想起最近固定會收到幾個影片網站的新訊息通知(在粉絲團按過讚,預設會接收通知。PS: 想訂閱本站訊息通知的朋友,知道該 怎麼做 了吧? :P ),莫非自己被陰了還知道? 趕緊檢查按讚記錄,果然... 過去曾大言不慚說自己資安偏執...
Posted 05 March 2014 10:10 PMJeffrey | 2 comment(s) 9,984
Filed under:
資安筆記-經第三方廠商的社交工程繞道攻擊
在網路上看到Twitter帳號被盜(或者該說被搶刧)的經歷兩則,共通點是受害者本身並無明顯資安過失(例如: 密碼過於簡單、多帳號共用密碼、被植入木馬後門或誤入釣魚網站等),攻擊者是經由 社交工程 對第三方廠商假冒身分取得敏感資訊或重設身分再進一步盜用帳號。自己沒有犯錯,卻因其他廠商失守而受連累聽來頗悲,讓我格外有興趣了解原委,整理摘要如下: 第一個 案例 來自Naoki Hiroshima,他擁有一個單字母Twitter帳號"N",曾有人喊價$50,000美金收購。這個珍貴的帳號時常引來覬覦...
Posted 04 February 2014 09:47 PMJeffrey | 1 comment(s) 5,056
Filed under:
混淆器戰爭
前陣子才 評估 過SmartAssembly混淆器,今天卻無意發現駭人的壞消息。有個Open Source專案,de4dot,號稱能輕易破解市面上各大品牌混淆器: Agile.NET (aka CliSecure) Babel.NET CodeFort CodeVeil CodeWall CryptoObfuscator DeepSea Obfuscator Dotfuscator .NET Reactor Eazfuscator.NET Goliath.NET ILProtector MaxtoCode...
Posted 24 April 2013 06:41 AMJeffrey | 4 comment(s) 16,624
Filed under:
側錄.NET程式網路傳輸內容
前幾天 偵查NuGet Server無法上傳問題 時,我用了個有趣的小技巧觀察nuget.exe程式與Server間的網路傳輸內容。 一般來說,提到監聽網路傳輸,大多人想到的是 Microsoft Network Monitor 、 Wireshark 之類的Sniffer工具,但.NET有個網路追蹤( Network Tracing )功能,就鮮為人知了。 MSDN文章上對於網路追蹤的各參數 解說得很清楚 ,而且,即便不是自己寫的.NET程式,只要加上*.exe.config就可開啟追蹤記錄功能...
Posted 28 April 2012 11:25 PMJeffrey | 1 comment(s) 7,256
Filed under: ,
多想兩分鐘,你可以不用 validateRequest="false"(WebForm版)
接續 前一篇 不關閉validateRequest下允許傳送XML內容的議題,有人問起,我才想到該文只示範了AJAX做法,壓根忘了提WebForm環境下應如何處理。 以下是我會採用的處理方式。原理上還是透過encodeURIComponent()及HttpUtility.UrlDecode()分別在Client端與Server端加解碼,只是要額外動些手腳: 在網頁上放一個<asp:HiddenField>作為實際的傳值容器。 供使用者輸入的<textarea>或<input...
多想兩分鐘,你可以不用 validateRequest="false"
先來看以下的程式,網頁上放了一個<textarea>及<input type="button">,按鈕後以$.post()方式將<textarea>的內容送至ASP.NET Server端程式,在Page_Load中讀取Request["data"]並顯示出來,另外並透過$.ajaxSetup()指定error錯誤事件函數,捕捉並顯示伺服器端的錯誤資訊。 <%@ Page Language="C#"...
資安新聞筆記-開發網站前該知道的二三事
最近有兩則資安新聞引發我的注意: 金流平台坦承內控疏失導致交易資料外洩 CSDN承認部分用戶賬號面臨風險 要求修改密碼 資安這檔事是這樣的,平時只會覺得系統被設了一堆限制綁手綁腳,稽核單位訂下的規矩不勝其擾,防毒軟體防火牆是效能毒藥,這一切代價換來多少功效? 卻無人知曉,直到某天豬隊友忽然來報到,才後悔資安防範做得還是太少。 有鑑於對於資安重要性的體驗常來自"多麼痛的領悟",多遇個幾次,還來不及大徹大悟前,往往命就先去了半條。(甚至歷史上也曾有因資安事件而死的悲慘案例: ...
Posted 23 December 2011 12:04 AMJeffrey | 8 comment(s) 16,025
Filed under:
豬隊友滾開,DigiNotar掰掰
幾天前聊到DigiNotar 遭駭客入侵 被盜發超過200張假憑證的事件,由於DigiNotar對於入侵過程及假憑證盜發細節多所保留,外界難以斷言是否有盜發憑證仍流落在外,於是Chrome、FireFox與Microsoft一致決定採取"寧可錯殺一百、不可錯放一個"的霹靂手段--直接撤銷DigiNotar CA 根憑證,凡是DigiNotar簽發的憑證,不管真假一律封殺。 繼Chrome、FireFox陸續推出撤銷DigiNotar根憑證的新版本後,微軟也在9/7釋出了 KB2607712更新...
Posted 09 September 2011 12:04 AMJeffrey | 3 comment(s) 7,120
Filed under:
又見豬一樣的隊友
五個月前,剛發生過Comodo憑證經銷商 被駭客入侵盜發SSL憑證 的事件,類似事件最近再度上演: 網路出現Google假憑證 DigiNotar證實遭入侵 200多個假憑證外流 上回是義大利憑證經銷商出包,這回則是位於荷蘭的DigiNotar CA捅簍子,而且感覺過程挺黑的: 8/28伊朗網友在Gmail論壇發表自己的Chrome對一張7/10簽發的Google SSL憑證發出警告,DigiNotar在8/29事件爆發後立即撤銷了這張假憑證,並在隨後才坦承,曾在7/19發現被駭客入侵,盜發了超過200張憑證...
Posted 05 September 2011 12:40 AMJeffrey | 1 comment(s) 7,731
Filed under:
驚見SQL Injection攻擊大海嘯-LizaMoon
資安廠商Websense在3/29發佈了 一則消息 ,一個被命名為LizaMoon的SQL Injection攻擊正在席捲全球,已有許多網站遭受攻擊,網頁內容中被塞了<script src=”httq: // lizamoon . com / ur . php”>疑似掛馬連結, 透過Google查詢lizamoon. com關鍵字,被稙入惡意連結的URL數在兩天內由28,000個急速增加到380,000個(2011/03/31 22:00 UTC+8時的資料),有如海嘯狂掃( Websense說...
Posted 01 April 2011 01:15 AMJeffrey | 5 comment(s) 16,912
Filed under:
資安表示: 不怕神一樣的對手...
接連看到三則資安新聞: MySQL官網遭SQL Injection攻擊 管理員帳密被破解 Comodo憑證遭盜用 Google/ 微軟/ Yahoo可能成攻擊目標 資安八卦鏡: 被狠狠羞辱的資安大神 SQL Injection是老梗中的老梗,在資安界歷久彌新,但連資料庫MySQL的官方網站捅出這種簍子還真是諷刺。這也再次驗證: 不管你寫的是ASP、PHP還是JSP,連的是SQL、MySQL、Oracle、或是什麼怪DB,只要一個不小心,人人都可能變成 害網站裸奔 的北七。(再次呼龥,如果你的工作是寫與DB有關的程式...
Posted 30 March 2011 10:28 PMJeffrey | 10 comment(s) 25,188
Filed under:
換裝reCAPTCHA
自從 三年多前 加裝了TrimothyHUmphrey’s CAPTCHA,一直以來抵抗垃圾留言效果還不錯,但最近似乎有被攻破的嫌疑,隔一陣子會密集冒出好幾則無意義的洋文垃圾留言: 最近兩次都是一口氣被塞了10則以上,刪留言刪到火氣都上來了。心一橫,決定換上口碑不錯的 reCAPTCHA ,看看是否防禦效果會更好些。(延伸閱讀: 介紹好用工具:reCAPTCHA (免費的 CAPTCHA 驗證服務) by 保哥 ) 說來reCAPTCHA是個有趣的點子,特別挑選OCR程式無法識別的紙本掃瞄內容當考題...
Posted 15 March 2011 01:35 AMJeffrey | 2 comment(s) 6,140
Filed under: ,
【茶包射手日記】ASP.NET寫Log檔的多執行緒問題
小熊子 提供日常生活茶包一枚,某機上盒設備偶然在液晶電視彈出以下訊息: 看起來是ASP.NET程式錯誤,雖然接到電視時畫面周圍被截,但仍看得出是同時寫入Log檔的多條執行緒在打架所致。頓時有熟悉的感覺: 啊! 這茶包我也嚐過。 由錯誤訊息所 暗示 的片段程式碼(錯誤示範! 正式台web.config應啟用customErrors,避免錯誤細節及程式碼被閒雜人等掌握),推敲原來的程式碼如下: public static void WriteLog( string sErrMsg) { StreamWriter...
更多文章 « 上一頁 - 下一頁 »

搜尋

Go

<September 2017>
SunMonTueWedThuFriSat
272829303112
3456789
10111213141516
17181920212223
24252627282930
1234567
 
RSS
創用 CC 授權條款
【廣告】
twMVC
最新回應

Tags 分類檢視
關於作者

一個醉心技術又酷愛分享的Coding魔人,十年的IT職場生涯,寫過系統、管過專案, 也帶過團隊,最後還是無怨無悔地選擇了技術鑽研這條路,近年來則以做一個"有為的中年人"自許。

文章典藏
其他功能

這個部落格


Syndication