in

Darkthread

黑暗執行緒
All Tags » Security (RSS)

Browse by Tags

  • TIPS-將Manifest內嵌至EXE檔案

    照著 MSDN Create and Embed an Application Manifest (UAC) 一文的說明,為.NET程式附加.manifest檔案註記為需管理者權限執行,並在Visual Studio專案屬性的Post Build Event中加入 mt.exe -manifest "$(ProjectDir)$(TargetName).exe.manifest" -updateresource:"$(TargetDir)$(TargetName).exe;#1" ,以便將manifest直接內嵌在EXE檔裡面。但編譯時一直彈出: mt.exe...
    公佈在 黑暗執行緒 (Weblog)Jeffrey 發表於 08-31-2010

  • 【茶包射手專欄】跨機器之WCF認證問題

    這是我的經驗。開發WCF Service時先在本機上寫Service及Cient,Visual Studio及.NET Framework做掉了大部分的Dirty Work,拖拖拉拉,動動小指,一段WCF程式就寫出來了,開開心心地做完測試,將包含WCF Service的ASP.NET部署到遠端機器上,再把Client端的Config指向遠端主機,理論上似乎就可以改測遠端主機連線模式: <client> <endpoint address=" httq://remoteMachine/WCFService/Service.svc " binding="wsHttpBinding"...
    公佈在 黑暗執行緒 (Weblog)Jeffrey 發表於 07-30-2010

  • 設計賓至如歸的HTTPS強制導向網頁

    有個網站有較嚴的資安要求,因此在IIS管理員中將其設為必須使用SSL連線,當使用者使用HTTP而非HTTPS連線時,會看到403拒絕存取的錯訊訊息,不太友善: 403 - Forbidden: Access is denied. You do not have permission to view this directory or page using the credentials that you supplied. 嚴格說起來,這個訊息回應不夠人性,未導引使用者解決問題,所以我們來試做一個讓使用者有賓至如歸感受的HTTPS強制導向服務。 必須使用SSL的錯誤回應碼是403.4,我們可以為它寫一個專屬自訂錯誤網頁...
    公佈在 黑暗執行緒 (Weblog)Jeffrey 發表於 07-21-2010

  • 【笨問題系列】CHM檔變成無字天書

    不知大家有無這種經驗,從網路下載或從網路分享直接開啟某個CHM檔,卻發現其實它是一本無字天書,內容頁一直出現"Navigation to the webpage was canceled”(己取消瀏覽該網頁) 之前一直搞不太清楚為什麼,一度誤以為是CHM格式不相容或檔案損壞所致,後來才慢慢知道原因。 簡單來說,由於CHM中的超連結有可能引發資安威脅,因此在某次Windows Update後(Vista後則是內建),會預設停用"來路不明"CHM的連結功能,導致點選左方主題或索引時,其連結的頁面內容通通無法顯示。而料敵從寬,預設只要是由網路取得的CHM,都會被貼上來路不明的標籤...
    公佈在 黑暗執行緒 (Weblog)Jeffrey 發表於 07-19-2010

  • 出來混,遲早要中槍

    接到MVP demo 密報,說我被防毒廠商 諾頓 列為恐怖份子... 嘿,黑暗執行緒很Nice的,這其中一定是有什麼誤會。 諾頓網站有列出可疑網址,當然要打開追究一下問題所在。在瀏覽器輸入網址,"碰!"一聲, AVG防毒 程式再對我開了一槍... 由於防毒軟體攔阻,問題網頁甚至無法完整載入,不過,看到標題大概就知道是怎麼回事了。研究木馬的文章,少不了描述木馬特徵等細節,可能剛好觸發了防毒軟體的比對條件,因而發生誤判。防毒軟體被另一個防毒軟體當成病毒的事,時有所聞,沒想到寫寫木馬文章一樣也會被流彈所傷。 隨手試了一下,將文章中RDS.DataSpace及VMLRender的CLSID部分改為...
    公佈在 黑暗執行緒 (Weblog)Jeffrey 發表於 05-30-2010

  • TIPS-解決WebClient存取https網站時SSL憑證不符問題

    申請正式SSL憑證是要花錢的,在測試網站SSL連線或僅作內部應用時,我們常會用 SelfSSL 工具或是 Certificate Service 自己搞一張SSL憑證自嗨一番,反正一樣可以做到傳輸加密的效果。另外,還有一種狀況是網站雖有正式SSL憑證,但註冊的是外部DNS名稱,在內網必須用IP存取網站,此時也會出現URL與SSL註冊對象不同的情形。 當上述情境中,DIY憑證或外部用憑證會被瀏覽器識破,彈出警告訊息: 在瀏覽器上可以選擇無視憑證不符的瑕疵,繼續使用。但若問題發生在 WebClient 用https存取網站時,就沒這麼幸運了,例如: WebClient wc = new WebClient...
    公佈在 黑暗執行緒 (Weblog)Jeffrey 發表於 05-06-2010

  • 瀏覽器XSS防身術比武大會

    在噗浪上看到有人抓到了總統府網站的XSS漏洞,在新聞稿網頁嵌入了惡搞的 奇笨呆兒 脫衣舞男影片。 無意發現,這個攻擊手法在IE8上會被擋下來! 之前微軟一再 吹噓 強調IE8相較於其他瀏覽器來得安全,索性就用這個案例讓五大瀏覽器比劃一下,看看IE8, Firefox, Chrome, Safari, Opera的XSS防身術功力高低: Chrome腹部挨了一拳! Firefox頭上被敲了一記悶棍! Safari背上中了一掌! Opera一個箭步,巧妙閃過! IE8秀了一記後空翻,躲開後還三聲狂笑: "哈哈哈,打不到! 打不到!" (Internet Explorer has...
    公佈在 黑暗執行緒 (Weblog)Jeffrey 發表於 08-27-2009

  • 多想兩分鐘,你可以不必教User關掉Vista UAC

    三年前見識過WebATM網站"教導"使用者設定IE,允許執行所有不標示為安全的ActiveX控制項,我寫了這篇: 讓我們再創台灣的資安奇蹟。啊~~~ 福氣啦!! 前幾天我又發現另一椿資安奇蹟。 話說Vista UAC 這份昂貴的保險 ,讓不少原本依賴管理者權限在Windows裡縱橫的程式紛紛中箭落馬(連Visual Studio 2005/2008都在名單上),必須透過以管理者權限執行的做法克服問題。 不過,像這樣教導使用者索性關閉UAC來個眼不見為淨,未免也太霸氣... 在這份說明裡完全沒提到關閉UAC可能衍生的風險,感覺上只想解決自家軟體的相容問題,力求少接幾通客服電話...
    公佈在 黑暗執行緒 (Weblog)Jeffrey 發表於 05-20-2009

  • 掃很大 掃不用錢 的全面式病毒檢測

    雖然有點Lag,但我最近才知道有 這種服務 。 當你發現一個懷疑內含病毒或木馬的檔案,上傳過去,就會有善心 人士 程式一口氣幫你用全世界的掃毒軟體掃過一輪,很美妙吧!? 今天遇到一台安裝Avast的XP在瀏覽某個JPG檔時彈出含毒訊息,但同一圖檔在我安裝AVG的Vista上卻沒警示。一時興起,剛好拿這個可疑檔案來練兵,於是連到 http://www.virustotal.com 上傳檔案後,耐心等候,網頁上開始一一浮現各家掃毒程式的檢查結果。結果是40種掃毒程式裡有9種說有毒。是否為誤判? 還是不得而知,但至少它畢其功於一役,讓全天下的掃毒程式舉手投票,最後再交給聰明的您做最後裁決。 要防堵含毒JPG...
    公佈在 黑暗執行緒 (Weblog)Jeffrey 發表於 05-03-2009

  • 隱含殺機的GET式AJAX資料更新

    jQuery的出現讓AJAX網頁的開發瞬間變簡單了。只要寫支簡單的ASPX,用Request["..."]接入前端用jQuery.ajax()傳來的參數,馬上就實現了AJAX式的資料查詢、新增、修改、刪除功能。但是,小心不要寫出如下的程式碼: protected void Page_Load( object sender, EventArgs e) { if (Request[ "mode" ] == "del" ) { try { CheckCookieForAuthentication(); CheckPermission(); Guid...
    公佈在 黑暗執行緒 (Weblog)Jeffrey 發表於 04-15-2009
第1頁,共5頁 (44個項目) 1 2 3 4 5 下一頁 >
Powered by Community Server (Non-Commercial Edition), by Telligent Systems