TIPS-小心Eval潛藏XSS漏洞
 |  | 2 |  | 21,174 |
.NET 3.5裡多了些新玩意,看過保哥的超完美組合:LinqDataSource + ListView + DataPager + jQuery及Rick Strahl的ListView and DataPager in ASP.NET 3.5兩篇介紹ListView的文章,ListView對前端...
游擊式的SQL Injection攻擊
| | | 26 | | 98,222 |
最近處理了一個棘手的SQL Injection案例,又增長了一些見聞 (如果你身為網站設計人員卻不知道什麼是SQL Injection,建議你最好立即請假佯裝出國度假或雙手打上石膏裝殘,無論如何,在搞懂什麼是SQL Injection之前,務必暫停手邊的開發工作,以免在系統埋下更多的炸彈,遺害千年...
KB-About Event Validation of ASP.NET 2.0
| | | 10 | | 43,208 |
不知你有沒有遇過以下的錯誤? Invalid postback or callback argument. Event validation is enabled using <pages enableEventValidation="true"/> in configu...
你的網站正在裸奔嗎?
| | | 6 | | 42,472 |
SQL Injection真的是老掉牙的話題了,很不幸地,它卻始終是導致資安事件的主要凶手之一。 只要一個好傻好天真的程式設計師寫錯一行程式碼(例如: cmd.CommandText = "SELECT Title, Content, Date FROM tblNews WHERE id=" ...
小心網路上的詐騙集團
| | | 1 | | 8,921 |
早上聽同事說,不少人收到某同事MSN了一個URL,懷疑是病毒... 過去曾經解剖過一隻木馬,當時第一次見識到不必做什麼傻事(假設沒定期Windows Update不算傻事的話),一開網頁就中鏢的驚人殺傷力。不過,讓木馬/病毒可以長驅直入的關鍵在於Windows未及時修補安全漏洞。我有點納悶,公司環...
TIPS-使用CSS客製Reporting Service匯出選項
| | | 5 | | 14,317 |
很久很久以前,我寫了一篇KB介紹停用特定Reporting Service報表匯出格式的做法,除了修改config外,我還提出了可以透過指定Stylesheet遮蔽部分匯出選項的做法。 使用Stylesheet的做法,使用者可以透過去除URL rs:stylesheet參數讓防護手法破功,因此我在...
TIPS-SqlConnection的ConnectionString保密機制
| | | 4 | | 15,787 |
在設計資料庫相關程式時,連線字串最好能以加密方式存在config檔案裡;再進一步,最好連解密字串的機制都封裝在特定的資料存取元件中,開發人員及呼叫端程式只需傳入SqlCommand或更高階的抽象化資料物件,就可以完成資料庫存取作業,不必也不能得知連線字串的相關細節。 只是依我自己的實務經驗,有時直接...
發現病毒兩枚
| | | 4 | | 13,433 |
接獲兩封可疑電子郵件通報。 第一封信件(2/4)標題為"我被騙了...",內文如下: 我被騙了...昨天被騙了1000元..心情真的是很幹!!騎車回家..都在狂哭...很氣自己氣自己怎會熊熊就借錢給對方..什麼都沒留就借...心情超糟的...還好我還有拍下她的相片...>" 附件為"騙子相片...
KB-J avascript: Is Not Allowed In HyperLinkField!
| | | 1 | | 6,031 |
今天才發現這點。我在ASP.NET 2.0的GridView中想要放一個HyperLinkField觸發Javascript Function,但一在DataNavigateUrlFormatString中加上"j avascript:"字眼,產出的HTML裡,該Link會完全消失,只剩下DataT...
有創意的病毒偽裝術
| | | 3 | | 5,352 |
今天遇見一隻MSN病毒,感染後會抓取連絡人清單,傳送類似Photo.zip的壓縮檔。這種手法不怎麼新鮮,但傳的是ZIP檔,表示得引誘使用者打開ZIP檔並開啟其中的"毒物"才算達陣。這年頭大家對網路上傳送的VBS、EXE之流都已存有戒心,不敢隨便開,過去我有看過用PIF誘騙User開檔的,所以對ZIP...
夭壽的VSS設定選項
| | | 0 | | 8,939 |
發現了VSS裡有個要命的選項,勾選後可以不管VSS帳號密碼,直接以Windows當下的登入帳號對應到VSS使用者。也就是說,只要使用者用Administrator登入Wndows後,就可以直接升等成VSS裡的Administrator! 有沒有這麼扯呀? 一開始,我不相信VSS的安全控制可以兩...
【茶包射手專欄】沒中毒不代表沒事---ARP木馬
| | | 0 | | 8,213 |
前陣子解剖了一隻3合1木馬,結果該木馬又持續鬧了好幾天,也讓孤陋寡聞的我對病毒木馬的日新月益,再次大開眼界,讚嘆不已... 大部分人的刻板印象是,如果我的機器沒有沒有中毒、沒有中木馬、沒有惡意程式,網路上也沒有人狂送封包轟炸,我使用網路應該不致受到影響吧?? 代誌並不像憨人所想的哈尼甘...
TOOLS-"Trixie": Customize Your Web Surfing
| | | 7 | | 23,585 |
一直很羡慕FireFox上有各式各樣的外掛可以加,其中Greasemonkey是一直讓我流口水的功能之一。(想知道Greasemonkey的神通廣大可以參考這裡 、這裡) 覺得某個網站的介面太鳥、功能太少,馬上可以自己動手改造成自己想要的樣子,這是多麼爽快的事。Greasemonkey提...
有趣的木馬解剖
| | | 13 | | 33,007 |
同事回報發生了疑似中毒事件,查看的結果,發現中毒的機器用IE讀取網頁時(包含http://www.google.com.tw)在HTML Source的最前端會被插入一列:<script src="httq://www_blogo_tw/lan.js"></script> (...
KB-怪異的Permission Denied Script Error
| | | 1 | | 7,585 |
同事有個網站,是一個http的網頁中,用<FrameSet>包了兩個https的<Frame> Frame1 & Frame2,三個網頁都在同一個網站上。問題來了,網頁在絕大部分的人的機器上都正常,就獨獨一位老兄的IE6,在操作過程中會出現Permission Den...
ASP.NET 防駭指南
| | | 3 | | 34,968 |
ASP.NET的淺顯易學,讓許多初學者靠著翻書自修就打造起自己的網站王國。可是,有些書上沒教的事,卻可能讓你的網站變成駭客的後院,在ASP.NET防駭指南裡,我們就來看看這些常被忽視的網頁安全漏洞。 文章下載 ** 本文發表於RUN!PC雜誌155期 **