Category: security

雖然現在遇到使用者輸入條件查詢DB,我一律都用參數化查詢(順推超好用的Dapper)不再偷懶組裝SQL指令,但關於SQL Injection,我心中始終藏著一個疑問:流傳千古的… WHERE Col = '" + input.Replace("'", "'...

在臉書專頁留言區看到一則帳號停權通知,心頭一驚: Last Warning, Your account will be disabled permanent because your accouts have been reported by other users,And another...

接獲報案,某網站的SSL圖示忽然被Chrome打上紅叉叉,https字眼也被劃掉,有種駭客正站在你背後的驚悚感。檢視該網站SSL憑證尚未到期,改用Firefox、IE檢視並無異樣,只有Chrome在連線資訊提及沒有公開稽核記錄、安全性設定已過時、使用過舊密碼編譯法等缺失。 以上提到的缺失並...

依據iThome的報導,資安研究機構SANS最近公告了一個IIS漏洞:微軟於4/14發佈的安全公告MS15-034,提及一個從Windows 7 SP1起存在於HTTP.SYS的安全漏洞,讓攻擊者有機會透過HTTP Request癱瘓系統,甚至有可能從遠端執行程式碼(聽起來又是緩衝區溢位漏洞)。...

9/24 US-CERT、RedHat及多家資安業者揭露一則消息:Bash 存在嚴重安全漏洞。 Bash Shell 從 2004 年 7 月起存在一個安全漏洞,允許環境變數設定指令夾帶惡意指令被一併執行。當今世界上運作中的 Linux / *nix 系統(連 Mac OS 也算)的數量驚人,...

在網路上看到 Gmail 密碼外洩消息,我「震驚」了…由於與個人資安切身相關,當然要深入了解,便找了資料來讀,順便整理分享。 本週二,有人在俄羅斯 Bitcom 論壇貼了一份 493 萬筆 Gmail 帳號密碼清單,被俄羅斯媒體 CNews 報導後,隨即在網路「瘋傳」(咳… 可以不要玩這些哏了...

或許有些人不知道,一般人口中的「駭客」,還細分成幾類: 白帽駭客(White Hat) 有能力破壞電腦安全但不具惡意目的的駭客。白帽子一般有清楚的定義道德規範並常常試圖同企業合作改善被發現的安全弱點。 黑帽駭客(Black Hat) 可視為犯罪分子,他們的出發...

記得有一陣子,FB很流行"必須先按讚才能看影片"的分享貼文。討厭強迫中獎,我多半選擇不看,再不然就是自己Google去找YouTube原始影片。前陣子在JavaScript.tw FB社團看到TonyQ分享影片網站利用Clickjacking偷抓你的手按讚的伎倆,想起最近固定...

在網路上看到Twitter帳號被盜(或者該說被搶刧)的經歷兩則,共通點是受害者本身並無明顯資安過失(例如: 密碼過於簡單、多帳號共用密碼、被植入木馬後門或誤入釣魚網站等),攻擊者是經由社交工程對第三方廠商假冒身分取得敏感資訊或重設身分再進一步盜用帳號。自己沒有犯錯,卻因其他廠商失守而受連累聽...

前陣子才評估過SmartAssembly混淆器,今天卻無意發現駭人的壞消息。有個Open Source專案,de4dot,號稱能輕易破解市面上各大品牌混淆器: Agile.NET (aka CliSecure) ...

前幾天偵查NuGet Server無法上傳問題時,我用了個有趣的小技巧觀察nuget.exe程式與Server間的網路傳輸內容。 一般來說,提到監聽網路傳輸,大多人想到的是Microsoft Network Monitor、Wireshark之類的Sniffer工具,但.NET有個網路追蹤(N...

最近有兩則資安新聞引發我的注意: 金流平台坦承內控疏失導致交易資料外洩 CSDN承認部分用戶賬號面臨風險 要求修改密碼 資安這檔事是這樣的,平時只會覺得系統被設了一堆限制綁手綁腳,稽核單位訂下的規矩不勝其擾,防毒軟體防火牆是效能毒藥,這一切代價換來多少功效? 卻無人知曉,直...

幾天前聊到DigiNotar遭駭客入侵被盜發超過200張假憑證的事件,由於DigiNotar對於入侵過程及假憑證盜發細節多所保留,外界難以斷言是否有盜發憑證仍流落在外,於是Chrome、FireFox與Microsoft一致決定採取"寧可錯殺一百、不可錯放一個"的霹靂手段--...

五個月前,剛發生過Comodo憑證經銷商被駭客入侵盜發SSL憑證的事件,類似事件最近再度上演: 網路出現Google假憑證 DigiNotar證實遭入侵 200多個假憑證外流 上回是義大利憑證經銷商出包,這回則是位於荷蘭的DigiNotar CA捅簍子,而且感覺過程挺黑的:...