好戲劇化的發展，震驚全球的 WannaCrypt 勒索病毒（嚴格來說是蠕蟲），在一位英國資安研究員註冊某個網域名稱後，中止了第一波攻擊。（讓我想起電影世界大戰裡莫名烙賽停擺的外星人） 照片來源：http://thestagblog.com/tuesdayapocalypse-warofth...

開始之前，說說 TLS。 大家朗朗上口的 SSL（Security Socket Layer），最早源於 1995 年發表的 SSL 2.0（1.0 很雷，所以從沒公開過），隨後在 1996 推出 3.0 版，IETF 於 1999 年將 SSL 標準化，因版權考量改稱為 TLS（Transp...

JSONP 是解決跨網域 JavaScript 呼叫的古老方法，簡單有效又不挑瀏覽器，至今仍是我常用的兵器之一。最近在想一個問題，JSONP 呼叫時由客戶端指定 Callback 函式名稱，是一個可以注入惡意程式碼的管道，有否存在 XSS 攻擊的風險？需不需要積極防護？ 經過嘗試，發現要透過 JS...

從 Chrome 網路監控發現異常活動，檢視本機網站卻跑出一段程式從某台 AWS 主機為網頁注入 /forton/inject_jq.js： inject_jq.js 載入同一主機下的 /forton/cbp/cmps/60_4c15b.js： 60_4c15b.js 再載入更多 J...

之前領教過內容農場利用 Clickjacking (點擊刧持)騙讚的手法，包含藏在影片播放鈕上方，一播影片就按讚，甚至讓隱形按讚鈕追著滑鼠游標跑，在網頁點任何地方就強迫中獎。 最近常發現自已莫名訂閱了某些 FB 粉絲團，懷疑是某個讀文章會彈出「歡迎光臨」對話框的網站，今天再度遇到，決定一探究竟...

兩天前收到Dropbox的通知信，說我從2012年起就沒有變更過密碼，為了安全起見，下次登入時系統會提示進行更新。 信件與網頁強調這單純是預防性措施，帳戶並沒有被不當存取的跡象（實際登入Dropbox網站檢視存取記錄，的確也都正常），原因是Dropbox發現有一組舊的使用者登入資料 (電子...

最近的ASP.NET MVC專案用到了RichText編輯器，允許使用者編輯包含不同字型、大小、粗細、顏色的格式化文字，其中有些需注意細節，整理筆記備忘。 網頁版RichText編譯器的選擇不少，本文以KendoEditor為例，結果則以PostBack方式回傳。即使換用其他編輯器或改以AJA...

Gmail信箱收到一封怪信，內容如下： 信件來自id.apple.com，第一行明顯是垃圾郵件廣告或是釣魚詐騙，但後方緊接著標準Apple ID救援帳號驗證碼通知，其中Apple ID帳號頁面URL也是連到真的Apple ID網站無誤。經驗裡，Gmail的垃圾信檢核能力強大，鮮少有人破關，若這封...

Flash漏洞儼然己成為病毒、木馬入侵的一條捷徑，前陣子鬧得沸沸揚揚的勒索病毒大爆發，經調查就是經由雅虎網頁廣告傳播，透過Flash漏洞感染，再加上使用者未開啟UAC，只是瀏覽網頁就中毒。 因為Flash沒更新，不過上網看個網頁就中獎，怎麼想都覺得可怕。更何況不是去什麼見不得人的網站充實D槽，...

用IFrame內嵌其他網頁是很常見的整合技巧，兩個獨立開發網頁可分別使用，有需要再合體，被內嵌的網頁配合移除頁首頁尾只留內容，看起來天衣無縫，省事又方便。 大家猜猜以下HTML寫法會有什麼結果，網頁上有一小塊出現Google首頁？ <!DOCTYPE html> <htm...

雖然現在遇到使用者輸入條件查詢DB，我一律都用參數化查詢（順推超好用的Dapper）不再偷懶組裝SQL指令，但關於SQL Injection，我心中始終藏著一個疑問：流傳千古的… WHERE Col = '" + input.Replace("'", "'...

在臉書專頁留言區看到一則帳號停權通知，心頭一驚： Last Warning, Your account will be disabled permanent because your accouts have been reported by other users,And another...

接獲報案，某網站的SSL圖示忽然被Chrome打上紅叉叉，https字眼也被劃掉，有種駭客正站在你背後的驚悚感。檢視該網站SSL憑證尚未到期，改用Firefox、IE檢視並無異樣，只有Chrome在連線資訊提及沒有公開稽核記錄、安全性設定已過時、使用過舊密碼編譯法等缺失。 以上提到的缺失並...

依據iThome的報導，資安研究機構SANS最近公告了一個IIS漏洞：微軟於4/14發佈的安全公告MS15-034，提及一個從Windows 7 SP1起存在於HTTP.SYS的安全漏洞，讓攻擊者有機會透過HTTP Request癱瘓系統，甚至有可能從遠端執行程式碼（聽起來又是緩衝區溢位漏洞）。...

9/24 US-CERT、RedHat及多家資安業者揭露一則消息：Bash 存在嚴重安全漏洞。 Bash Shell 從 2004 年 7 月起存在一個安全漏洞，允許環境變數設定指令夾帶惡意指令被一併執行。當今世界上運作中的 Linux / *nix 系統（連 Mac OS 也算）的數量驚人，...

在網路上看到 Gmail 密碼外洩消息，我「震驚」了…由於與個人資安切身相關，當然要深入了解，便找了資料來讀，順便整理分享。 本週二，有人在俄羅斯 Bitcom 論壇貼了一份 493 萬筆 Gmail 帳號密碼清單，被俄羅斯媒體 CNews 報導後，隨即在網路「瘋傳」（咳… 可以不要玩這些哏了...