Category: security

自從三年多前加裝了TrimothyHUmphrey’s CAPTCHA,一直以來抵抗垃圾留言效果還不錯,但最近似乎有被攻破的嫌疑,隔一陣子會密集冒出好幾則無意義的洋文垃圾留言: 最近兩次都是一口氣被塞了10則以上,刪留言刪到火氣都上來了。心一橫,決定換上口碑不錯的reCAPTCHA,看看是...

小熊子提供日常生活茶包一枚,某機上盒設備偶然在液晶電視彈出以下訊息: 看起來是ASP.NET程式錯誤,雖然接到電視時畫面周圍被截,但仍看得出是同時寫入Log檔的多條執行緒在打架所致。頓時有熟悉的感覺: 啊! 這茶包我也嚐過。 由錯誤訊息所暗示的片段程式碼(錯誤示範! 正式台web.config應...

【ASP.NET保安系列前言】 我一直對資安十分敏感,而剛好身為一位網站開發人員,自然對系統架構的安全格外關注,過去已寫過不少文章討論網站設計上的安全議題。例如: ASP.NET防駭指南、你的網站在裸奔嗎?、游擊式的SQL Injection攻擊、瀏覽器XSS防身術比武大會、...

久未連絡的好傻好天真型前同事發送MSN簡訊如下:(為防止大家誤點,我在URL中加入雜訊) 我真的好傻好天真 說 (昨天 9:18 下午):*httq: // www. lgoinlive. com / 我的部落格加我好友喔^.^ 直覺上判別這是網路詐騙,但還是好奇點入查看: 原...

ASP.NET安全弱點的安全更新程式已在9/28釋出,也如ScottGu所預告,很快被加進Windows Update自動更新機制中! (Windows Update會依OS及.NET版本決定更新程式,快點去檢查更新並安裝吧!) 請大家儘速對所有ASP.NET主機進行安全更新,愈快愈好!!...

這是我的經驗。開發WCF Service時先在本機上寫Service及Cient,Visual Studio及.NET Framework做掉了大部分的Dirty Work,拖拖拉拉,動動小指,一段WCF程式就寫出來了,開開心心地做完測試,將包含WCF Service的ASP.NET部署到遠端機器...

有個網站有較嚴的資安要求,因此在IIS管理員中將其設為必須使用SSL連線,當使用者使用HTTP而非HTTPS連線時,會看到403拒絕存取的錯訊訊息,不太友善: 403 - Forbidden: Access is denied. You do not have permission to view...

不知大家有無這種經驗,從網路下載或從網路分享直接開啟某個CHM檔,卻發現其實它是一本無字天書,內容頁一直出現"Navigation to the webpage was canceled”(己取消瀏覽該網頁) 之前一直搞不太清楚為什麼,一度誤以為是CHM格式不相容或檔案損壞所致,...

接到MVP demo密報,說我被防毒廠商諾頓列為恐怖份子... 嘿,黑暗執行緒很Nice的,這其中一定是有什麼誤會。 諾頓網站有列出可疑網址,當然要打開追究一下問題所在。在瀏覽器輸入網址,"碰!"一聲,AVG防毒程式再對我開了一槍... 由於防毒軟體攔阻,問題網頁甚至無法完整載入,...

申請正式SSL憑證是要花錢的,在測試網站SSL連線或僅作內部應用時,我們常會用SelfSSL工具或是Certificate Service自己搞一張SSL憑證自嗨一番,反正一樣可以做到傳輸加密的效果。另外,還有一種狀況是網站雖有正式SSL憑證,但註冊的是外部DNS名稱,在內網必須用IP存取網站,此...

在噗浪上看到有人抓到了總統府網站的XSS漏洞,在新聞稿網頁嵌入了惡搞的奇笨呆兒脫衣舞男影片。 無意發現,這個攻擊手法在IE8上會被擋下來! 之前微軟一再吹噓強調IE8相較於其他瀏覽器來得安全,索性就用這個案例讓五大瀏覽器比劃一下,看看IE8, Firefox, Chrome, Safari, ...

三年前見識過WebATM網站"教導"使用者設定IE,允許執行所有不標示為安全的ActiveX控制項,我寫了這篇: 讓我們再創台灣的資安奇蹟。啊~~~ 福氣啦!! 前幾天我又發現另一椿資安奇蹟。 話說Vista UAC這份昂貴的保險,讓不少原本依賴管理者權限在Windows...

雖然有點Lag,但我最近才知道有這種服務。 當你發現一個懷疑內含病毒或木馬的檔案,上傳過去,就會有善心人士程式一口氣幫你用全世界的掃毒軟體掃過一輪,很美妙吧!? 今天遇到一台安裝Avast的XP在瀏覽某個JPG檔時彈出含毒訊息,但同一圖檔在我安裝AVG的Vista上卻沒警示。一時興起,剛好拿...