Category: security

依據iThome的報導,資安研究機構SANS最近公告了一個IIS漏洞:微軟於4/14發佈的安全公告MS15-034,提及一個從Windows 7 SP1起存在於HTTP.SYS的安全漏洞,讓攻擊者有機會透過HTTP Request癱瘓系統,甚至有可能從遠端執行程式碼(聽起來又是緩衝區溢位漏洞)。...

9/24 US-CERT、RedHat及多家資安業者揭露一則消息:Bash 存在嚴重安全漏洞。 Bash Shell 從 2004 年 7 月起存在一個安全漏洞,允許環境變數設定指令夾帶惡意指令被一併執行。當今世界上運作中的 Linux / *nix 系統(連 Mac OS 也算)的數量驚人,...

在網路上看到 Gmail 密碼外洩消息,我「震驚」了…由於與個人資安切身相關,當然要深入了解,便找了資料來讀,順便整理分享。 本週二,有人在俄羅斯 Bitcom 論壇貼了一份 493 萬筆 Gmail 帳號密碼清單,被俄羅斯媒體 CNews 報導後,隨即在網路「瘋傳」(咳… 可以不要玩這些哏了...

或許有些人不知道,一般人口中的「駭客」,還細分成幾類: 白帽駭客(White Hat) 有能力破壞電腦安全但不具惡意目的的駭客。白帽子一般有清楚的定義道德規範並常常試圖同企業合作改善被發現的安全弱點。 黑帽駭客(Black Hat) 可視為犯罪分子,他們的出發...

記得有一陣子,FB很流行"必須先按讚才能看影片"的分享貼文。討厭強迫中獎,我多半選擇不看,再不然就是自己Google去找YouTube原始影片。前陣子在JavaScript.tw FB社團看到TonyQ分享影片網站利用Clickjacking偷抓你的手按讚的伎倆,想起最近固定...

在網路上看到Twitter帳號被盜(或者該說被搶刧)的經歷兩則,共通點是受害者本身並無明顯資安過失(例如: 密碼過於簡單、多帳號共用密碼、被植入木馬後門或誤入釣魚網站等),攻擊者是經由社交工程對第三方廠商假冒身分取得敏感資訊或重設身分再進一步盜用帳號。自己沒有犯錯,卻因其他廠商失守而受連累聽...

前陣子才評估過SmartAssembly混淆器,今天卻無意發現駭人的壞消息。有個Open Source專案,de4dot,號稱能輕易破解市面上各大品牌混淆器: Agile.NET (aka CliSecure) ...

前幾天偵查NuGet Server無法上傳問題時,我用了個有趣的小技巧觀察nuget.exe程式與Server間的網路傳輸內容。 一般來說,提到監聽網路傳輸,大多人想到的是Microsoft Network Monitor、Wireshark之類的Sniffer工具,但.NET有個網路追蹤(N...

最近有兩則資安新聞引發我的注意: 金流平台坦承內控疏失導致交易資料外洩 CSDN承認部分用戶賬號面臨風險 要求修改密碼 資安這檔事是這樣的,平時只會覺得系統被設了一堆限制綁手綁腳,稽核單位訂下的規矩不勝其擾,防毒軟體防火牆是效能毒藥,這一切代價換來多少功效? 卻無人知曉,直...

幾天前聊到DigiNotar遭駭客入侵被盜發超過200張假憑證的事件,由於DigiNotar對於入侵過程及假憑證盜發細節多所保留,外界難以斷言是否有盜發憑證仍流落在外,於是Chrome、FireFox與Microsoft一致決定採取"寧可錯殺一百、不可錯放一個"的霹靂手段--...

五個月前,剛發生過Comodo憑證經銷商被駭客入侵盜發SSL憑證的事件,類似事件最近再度上演: 網路出現Google假憑證 DigiNotar證實遭入侵 200多個假憑證外流 上回是義大利憑證經銷商出包,這回則是位於荷蘭的DigiNotar CA捅簍子,而且感覺過程挺黑的:...

資安廠商Websense在3/29發佈了一則消息,一個被命名為LizaMoon的SQL Injection攻擊正在席捲全球,已有許多網站遭受攻擊,網頁內容中被塞了<script src=”httq: // lizamoon . com / ur . php”>疑似掛馬連結, 透過G...

接連看到三則資安新聞: MySQL官網遭SQL Injection攻擊 管理員帳密被破解 Comodo憑證遭盜用 Google/ 微軟/ Yahoo可能成攻擊目標 資安八卦鏡: 被狠狠羞辱的資安大神 SQL Injection是老梗中的老梗,在資安界歷久彌新,但連資料...

自從三年多前加裝了TrimothyHUmphrey’s CAPTCHA,一直以來抵抗垃圾留言效果還不錯,但最近似乎有被攻破的嫌疑,隔一陣子會密集冒出好幾則無意義的洋文垃圾留言: 最近兩次都是一口氣被塞了10則以上,刪留言刪到火氣都上來了。心一橫,決定換上口碑不錯的reCAPTCHA,看看是...