我對非對稱式加密及數位簽章的理解主要仍靠十幾年前自學的一點皮毛，時光飛逝，隨著密碼學發展跟因應日益強大的電腦破解算力考量，現在常用的公私鑰演算法跟我想像的已有很大出入。前陣子在弄 Windows 使用金鑰免密碼登入 SSH 便學到一個沒聽過的數位簽名演算法名詞 - Ed25519 (老人只聽過 79...

Open Web Application Security Project (OWASP) 是個非營利組織，透過開放社群模式整合網站資安資訊與資源，而其定期更新的 OWASP TOP 10，網站十大資安風險排行，幾乎已是網站開發人員的基本常識。 2021 Q4 OWASP 發佈了 2021 版 TO...

這幾天大家應該都有看到新聞，共享汽機車大廠 iRent，被國外資安研究人員發現，因系統設定不當導致資料庫開放匿名存取，只要知道 IP 便能在上面查到客戶姓名、手機、Email、信用卡等個資，經通報廠商遲無回應(可能剛好在年假期間)，最後透過數位發展部轉由 TWCERT/CC ( 台灣電腦網路危機處理...

微軟在 11/8 公佈了 System.Data.SqlClient、Microsoft.Data.SqlClient 的安全漏洞，由於涵蓋大量 .NET 版本 (.NET Framework 到 .NET 6 都可能使用到)，範圍不小，身為 .NET 開發人員，應該關注其影響及修補方式。 參考了以...

一般來說，網站只要對 Internet 公開，就得面對一堆機器人的騷擾，這些惡意程式成天在網路海巡，亂槍打鳥或依據蒐羅到的網站清單，一台一台掃瞄試探，找尋漏洞伺機下手。若網站沒有致命漏洞，這種無差別式窺探通常威脅不高，就像偷車賊經過，難免打量幾眼看看有無上鎖開防盜器，傷害有限但無法社絕。但，對方如果...

同事聊到小孩唸資工系，學校出的作業要寫 DB 存取相關的程式，我萌生一個大哉問：學校有教 SQL Injection 知識嗎？(延伸閱讀：你的網站正在裸奔嗎?) 便在臉書上開了一個不專業民調，想問問資訊科系出身的朋友們，是否在學校就學過知道 SQL Injection？ 首先，我想要謝謝每一個願意花...

接獲通知，網站目前未設定 script-src、object-src 明確指向引用來源，建議加上以強化安全性，並貼心附上 參考文件 及設定範例： Allow everything but only from the same origin default-src 'self'; Only Allow...

這兩天被一則「7-Zip Windows 程式存在安全漏洞」的資安消息洗版(參考：7-Zip Windows App漏洞讓攻擊者取得管理員權限 by iThome)，代號 Kagancapar 的土耳其研究員展示了「從 7-Zip 開啟說明檔，再將檔案拖到說明窗視可讓一般使用者取得管理者權限」的安全...

一般 SSL/TLS 憑證需明確註明網站 DNS 供特定網站使用，每次新增網站需申請新憑證。所謂萬用字元憑證則是將 DNS 網域名稱第一段改為萬用字元「*」，讓一張憑證能適用符合該網域名稱結尾的網站，例如：若萬用字元憑證簽發對象為 *.darkthread.net，可同時用於 www.darkthr...

開發公佈欄、商品介紹之類的網站內容管理應用，最常見的設計是提供使用者 HTML 編輯介面(使用 WYSIWYG 編輯器或直接修改 HTML)修改內容存入資料庫，顯示時再將該段 HTML 內嵌成為網頁的一部分 (例如：在 ASP.NET MVC 使用 @Html.Raw(htmlContent)、在 ...

前言：昨天看到新聞 - 全球最大 3D 列印模型交流網站 Thingiverse 資料庫備份外流，其中包含 22 萬 8 千筆會員資料，包含生日、IP、姓名、密碼、地址、帳號... 密碼為「未加鹽的 SHA1 雜湊」。這篇聊密碼雜湊跟鹽的文章在草稿區擱了很久，順應天意，花了點時間把它寫完。 跟小木...

Nessus 是企業蠻常使用的弱點掃瞄工具，開發人員搞到弱掃這塊看似撈過界，但我還是決定斜槓一下，主要理由是開發人員常被通知系統有弱點需改善，若沒有工具也不知如何檢測，只能爬文瞎找解法，做完也不知修好與否，得仰賴資安單位或廠商驗證回報... 我討厭毫無主控權，矇著眼解決問題的感覺，若知道弱點判別方法...

Gmail 信箱收到一封 Goole 寄來，主旨為「變更您所儲存的密碼 (部分密碼已外洩)」的警告信： 變更您所儲存的密碼 (部分密碼已外洩) 由於您使用的網站或應用程式發生資料侵害事件，您儲存在 Google 帳戶中的一或多個密碼已遭外洩。請放心，您的 Google 帳戶並未受到影響。 如要變...

前幾天完成網頁轉電子書批次工具，挑了幾篇 2019 年 iT邦幫忙鐵人賽系列文轉成 ePub，方便通勤或閒暇閱讀。其中有篇講電腦系統漏洞(Vulnerability)挺實用，其中有不少術語工作上偶爾會接觸，想說整理筆記會更扎實，所以就有了這篇。 完整系列文章在這裡：2019 iT 邦幫忙鐵人賽 資安...

讀者小螺絲分享了一個沒遇過的 TLS 1.2 案例。從一台 Winows 2012R2 主機要連線某個外部網站，實測使用 IE 及 .NET Client 無法連線，訊息為「基礎連接已關閉: 傳送時發生未預期的錯誤。 ---> System.IO.IOException: 驗證失敗，因為遠端群...

學到一則有點驚悚的資安知識 - ASP.NET DLL 有可能因為管理操作不當，被人從 IIS 下載外流! 我們都知道 DLL 放在 ASP.NET bin 目錄時被視為程式，跟 App_Data 一樣具有特殊性，不能透過 httq://web-server/bin/Blah.dll 方式用瀏覽器下...