本週開源界與資安界有則大新聞:程式庫 XZ Utils近期被植入後門 by iThome 特別讓人震驚是因為 XZ Utils 是 Linux 很基本很常用的壓縮程式庫,若真的被成功植入擴散到現存的 Linux 系統,後果不堪設想。而攻擊手法也很罕見,攻擊者假扮自願程式維護人員多年,於今年二月底才發...
如果你對 GPG(GnuPG) 跟 ECC 金鑰沒什麼概念,這裡先提供一些背景知識。 GPG (The GNU Privacy Guard,又稱 GnuPG),是一套實作 OpenPGP 標準規開源軟體,使用 Windows 的同學或許較少接觸,但它成為 Linux / macOS 內建工具很久了,...
一般來說,網站只要對 Internet 公開,就得面對一堆機器人的騷擾,這些惡意程式成天在網路海巡,亂槍打鳥或依據蒐羅到的網站清單,一台一台掃瞄試探,找尋漏洞伺機下手。若網站沒有致命漏洞,這種無差別式窺探通常威脅不高,就像偷車賊經過,難免打量幾眼看看有無上鎖開防盜器,傷害有限但無法社絕。但,對方如果...
接獲通知,網站目前未設定 script-src、object-src 明確指向引用來源,建議加上以強化安全性,並貼心附上 參考文件 及設定範例: Allow everything but only from the same origin default-src 'self'; Only Allow...
這兩天被一則「7-Zip Windows 程式存在安全漏洞」的資安消息洗版(參考:7-Zip Windows App漏洞讓攻擊者取得管理員權限 by iThome),代號 Kagancapar 的土耳其研究員展示了「從 7-Zip 開啟說明檔,再將檔案拖到說明窗視可讓一般使用者取得管理者權限」的安全...