Category: security

一般 SSL/TLS 憑證需明確註明網站 DNS 供特定網站使用,每次新增網站需申請新憑證。所謂萬用字元憑證則是將 DNS 網域名稱第一段改為萬用字元「*」,讓一張憑證能適用符合該網域名稱結尾的網站,例如:若萬用字元憑證簽發對象為 *.darkthread.net,可同時用於 www.darkthr...

開發公佈欄、商品介紹之類的網站內容管理應用,最常見的設計是提供使用者 HTML 編輯介面(使用 WYSIWYG 編輯器或直接修改 HTML)修改內容存入資料庫,顯示時再將該段 HTML 內嵌成為網頁的一部分 (例如:在 ASP.NET MVC 使用 @Html.Raw(htmlContent)、在 ...

前言:昨天看到新聞 - 全球最大 3D 列印模型交流網站 Thingiverse 資料庫備份外流,其中包含 22 萬 8 千筆會員資料,包含生日、IP、姓名、密碼、地址、帳號... 密碼為「未加鹽的 SHA1 雜湊」。這篇聊密碼雜湊跟鹽的文章在草稿區擱了很久,順應天意,花了點時間把它寫完。 跟小木...

Nessus 是企業蠻常使用的弱點掃瞄工具,開發人員搞到弱掃這塊看似撈過界,但我還是決定斜槓一下,主要理由是開發人員常被通知系統有弱點需改善,若沒有工具也不知如何檢測,只能爬文瞎找解法,做完也不知修好與否,得仰賴資安單位或廠商驗證回報... 我討厭毫無主控權,矇著眼解決問題的感覺,若知道弱點判別方法...

Gmail 信箱收到一封 Goole 寄來,主旨為「變更您所儲存的密碼 (部分密碼已外洩)」的警告信: 變更您所儲存的密碼 (部分密碼已外洩) 由於您使用的網站或應用程式發生資料侵害事件,您儲存在 Google 帳戶中的一或多個密碼已遭外洩。請放心,您的 Google 帳戶並未受到影響。 如要變...

前幾天完成網頁轉電子書批次工具,挑了幾篇 2019 年 iT邦幫忙鐵人賽系列文轉成 ePub,方便通勤或閒暇閱讀。其中有篇講電腦系統漏洞(Vulnerability)挺實用,其中有不少術語工作上偶爾會接觸,想說整理筆記會更扎實,所以就有了這篇。 完整系列文章在這裡:2019 iT 邦幫忙鐵人賽 資安...

學到一則有點驚悚的資安知識 - ASP.NET DLL 有可能因為管理操作不當,被人從 IIS 下載外流! 我們都知道 DLL 放在 ASP.NET bin 目錄時被視為程式,跟 App_Data 一樣具有特殊性,不能透過 httq://web-server/bin/Blah.dll 方式用瀏覽器下...

兩年多前 整理過 Windows 停用 TLS 1.0 之配套作業,再補上 ODBC 與 OLEDB 處理經驗。 停用 SQL Server 主機 TLS 1.0/1.1 後 ODBC 客戶端連線失敗,設定 DSN 連線看到以下錯誤: [Microsoft][ODBC SQL Server Dri...

拜讀小鐵大分享兩篇精彩文章 - 對岸高手用駭客技巧狠狠教訓用裸照勒索女生的渣男及用網拍漏洞偷走手機的騙子的故事。觀犘學習(誤)之餘,忍不住想筆記一下手法,作為防範借鏡。 我人肉了一个用裸照威胁女孩的变态 故事是有個女孩在網路交友過程被某個渣男錄下裸照,並以此要脅見面,女生求助於作者。作者先用 QQ ...

最近接到資安通報要求嚴格落實只傳送 NTLMv2 回應政策。NTLMv2 自 NT 時代就有了,實務上從 Windows 7/Windows 2008 起(事實上是 Vista,但... 別說了,還是講 Windows 7 吧),Windows 預設就只傳送 NTLMv2 回應不支援 NTLMv1 ...

資安領域深似海,弱點掃描通常是由資安人員或廠商執行,跑工具程式出報告,再依報告進行修補。說起來有點像人體做健檢,但差在拿到的是用火星文寫的健檢報告,隔行如隔山,天曉得怎麼改善? 試想如果你的健檢報告出現一條紅字「TMD 指數低下,免疫力不足,感染 S95 病毒風險偏高」,沒人跟你解釋要怎麼治療,...

我有個 IIS 網站同時繫結多個 IP,想做到依據連上的伺服器 IP 授與不同權限,例如: 有些功能開放外網 IP 連入使用,某些功能限定內網及 localhost IP 才能用。設立兩個站台繫結不同 IP 及 Port 但共用同一份 ASP.NET 程式碼是一種解法,但我貪圖共用 Proces...

用 .NET 加解密已是老生常談,.NET 內建 MD5、SHA1、RSA、AES、DES... 等雜湊及加密演算法,寫來易如反掌,網路上的文章也很多。但沒有自己整理過一次,每回要用都要爬文找半天。有些基本功不能省就是不能省,所以,我的 RSA 私房筆記來了。 程式範例 1 包含:產生隨機 R...

「寫 Log」是很有效的線上系統偵錯手段,就像飛機黑盒子或行車記錄器,能在事故發生後提供寶貴資訊,釐清肇事原因,還能用於責任歸屬舉證。例如: 系統不定期爆炸,由 Log 歸納每次發生在某使用者進行某項操作之後 客戶否認下單,調閱 Log 舉證登入時間,來源 IP 以及操作順序,萬...