Category: Security

拜讀小鐵大分享兩篇精彩文章 - 對岸高手用駭客技巧狠狠教訓用裸照勒索女生的渣男及用網拍漏洞偷走手機的騙子的故事。觀犘學習(誤)之餘,忍不住想筆記一下手法,作為防範借鏡。 我人肉了一个用裸照威胁女孩的变态 故事是有個女孩在網路交友過程被某個渣男錄下裸照,並以此要脅見面,女生求助於作者。作者先用 QQ ...

最近接到資安通報要求嚴格落實只傳送 NTLMv2 回應政策。NTLMv2 自 NT 時代就有了,實務上從 Windows 7/Windows 2008 起(事實上是 Vista,但... 別說了,還是講 Windows 7 吧),Windows 預設就只傳送 NTLMv2 回應不支援 NTLMv1 ...

資安領域深似海,弱點掃描通常是由資安人員或廠商執行,跑工具程式出報告,再依報告進行修補。說起來有點像人體做健檢,但差在拿到的是用火星文寫的健檢報告,隔行如隔山,天曉得怎麼改善? 試想如果你的健檢報告出現一條紅字「TMD 指數低下,免疫力不足,感染 S95 病毒風險偏高」,沒人跟你解釋要怎麼治療,...

我有個 IIS 網站同時繫結多個 IP,想做到依據連上的伺服器 IP 授與不同權限,例如: 有些功能開放外網 IP 連入使用,某些功能限定內網及 localhost IP 才能用。設立兩個站台繫結不同 IP 及 Port 但共用同一份 ASP.NET 程式碼是一種解法,但我貪圖共用 Proces...

用 .NET 加解密已是老生常談,.NET 內建 MD5、SHA1、RSA、AES、DES... 等雜湊及加密演算法,寫來易如反掌,網路上的文章也很多。但沒有自己整理過一次,每回要用都要爬文找半天。有些基本功不能省就是不能省,所以,我的 RSA 私房筆記來了。 程式範例 1 包含:產生隨機 R...

「寫 Log」是很有效的線上系統偵錯手段,就像飛機黑盒子或行車記錄器,能在事故發生後提供寶貴資訊,釐清肇事原因,還能用於責任歸屬舉證。例如: 系統不定期爆炸,由 Log 歸納每次發生在某使用者進行某項操作之後 客戶否認下單,調閱 Log 舉證登入時間,來源 IP 以及操作順序,萬...

好戲劇化的發展,震驚全球的 WannaCrypt 勒索病毒(嚴格來說是蠕蟲),在一位英國資安研究員註冊某個網域名稱後,中止了第一波攻擊。(讓我想起電影世界大戰裡莫名烙賽停擺的外星人) 照片來源:http://thestagblog.com/tuesdayapocalypse-warofth...

開始之前,說說 TLS。 大家朗朗上口的 SSL(Security Socket Layer),最早源於 1995 年發表的 SSL 2.0(1.0 很雷,所以從沒公開過),隨後在 1996 推出 3.0 版,IETF 於 1999 年將 SSL 標準化,因版權考量改稱為 TLS(Transp...

JSONP 是解決跨網域 JavaScript 呼叫的古老方法,簡單有效又不挑瀏覽器,至今仍是我常用的兵器之一。最近在想一個問題,JSONP 呼叫時由客戶端指定 Callback 函式名稱,是一個可以注入惡意程式碼的管道,有否存在 XSS 攻擊的風險?需不需要積極防護? 經過嘗試,發現要透過 JS...

從 Chrome 網路監控發現異常活動,檢視本機網站卻跑出一段程式從某台 AWS 主機為網頁注入 /forton/inject_jq.js: inject_jq.js 載入同一主機下的 /forton/cbp/cmps/60_4c15b.js: 60_4c15b.js 再載入更多 J...

之前領教過內容農場利用 Clickjacking (點擊刧持)騙讚的手法,包含藏在影片播放鈕上方,一播影片就按讚,甚至讓隱形按讚鈕追著滑鼠游標跑,在網頁點任何地方就強迫中獎。 最近常發現自已莫名訂閱了某些 FB 粉絲團,懷疑是某個讀文章會彈出「歡迎光臨」對話框的網站,今天再度遇到,決定一探究竟...

兩天前收到Dropbox的通知信,說我從2012年起就沒有變更過密碼,為了安全起見,下次登入時系統會提示進行更新。 信件與網頁強調這單純是預防性措施,帳戶並沒有被不當存取的跡象(實際登入Dropbox網站檢視存取記錄,的確也都正常),原因是Dropbox發現有一組舊的使用者登入資料 (電子...

最近的ASP.NET MVC專案用到了RichText編輯器,允許使用者編輯包含不同字型、大小、粗細、顏色的格式化文字,其中有些需注意細節,整理筆記備忘。 網頁版RichText編譯器的選擇不少,本文以KendoEditor為例,結果則以PostBack方式回傳。即使換用其他編輯器或改以AJA...

Gmail信箱收到一封怪信,內容如下: 信件來自id.apple.com,第一行明顯是垃圾郵件廣告或是釣魚詐騙,但後方緊接著標準Apple ID救援帳號驗證碼通知,其中Apple ID帳號頁面URL也是連到真的Apple ID網站無誤。經驗裡,Gmail的垃圾信檢核能力強大,鮮少有人破關,若這封...

Flash漏洞儼然己成為病毒、木馬入侵的一條捷徑,前陣子鬧得沸沸揚揚的勒索病毒大爆發,經調查就是經由雅虎網頁廣告傳播,透過Flash漏洞感染,再加上使用者未開啟UAC,只是瀏覽網頁就中毒。 因為Flash沒更新,不過上網看個網頁就中獎,怎麼想都覺得可怕。更何況不是去什麼見不得人的網站充實D槽,...

用IFrame內嵌其他網頁是很常見的整合技巧,兩個獨立開發網頁可分別使用,有需要再合體,被內嵌的網頁配合移除頁首頁尾只留內容,看起來天衣無縫,省事又方便。 大家猜猜以下HTML寫法會有什麼結果,網頁上有一小塊出現Google首頁? <!DOCTYPE html> <htm...