Category: security

記得有一陣子,FB很流行"必須先按讚才能看影片"的分享貼文。討厭強迫中獎,我多半選擇不看,再不然就是自己Google去找YouTube原始影片。前陣子在JavaScript.tw FB社團看到TonyQ分享影片網站利用Clickjacking偷抓你的手按讚的伎倆,想起最近固定...

在網路上看到Twitter帳號被盜(或者該說被搶刧)的經歷兩則,共通點是受害者本身並無明顯資安過失(例如: 密碼過於簡單、多帳號共用密碼、被植入木馬後門或誤入釣魚網站等),攻擊者是經由社交工程對第三方廠商假冒身分取得敏感資訊或重設身分再進一步盜用帳號。自己沒有犯錯,卻因其他廠商失守而受連累聽...

前陣子才評估過SmartAssembly混淆器,今天卻無意發現駭人的壞消息。有個Open Source專案,de4dot,號稱能輕易破解市面上各大品牌混淆器: Agile.NET (aka CliSecure) ...

前幾天偵查NuGet Server無法上傳問題時,我用了個有趣的小技巧觀察nuget.exe程式與Server間的網路傳輸內容。 一般來說,提到監聽網路傳輸,大多人想到的是Microsoft Network Monitor、Wireshark之類的Sniffer工具,但.NET有個網路追蹤(N...

最近有兩則資安新聞引發我的注意: 金流平台坦承內控疏失導致交易資料外洩 CSDN承認部分用戶賬號面臨風險 要求修改密碼 資安這檔事是這樣的,平時只會覺得系統被設了一堆限制綁手綁腳,稽核單位訂下的規矩不勝其擾,防毒軟體防火牆是效能毒藥,這一切代價換來多少功效? 卻無人知曉,直...

幾天前聊到DigiNotar遭駭客入侵被盜發超過200張假憑證的事件,由於DigiNotar對於入侵過程及假憑證盜發細節多所保留,外界難以斷言是否有盜發憑證仍流落在外,於是Chrome、FireFox與Microsoft一致決定採取"寧可錯殺一百、不可錯放一個"的霹靂手段--...

五個月前,剛發生過Comodo憑證經銷商被駭客入侵盜發SSL憑證的事件,類似事件最近再度上演: 網路出現Google假憑證 DigiNotar證實遭入侵 200多個假憑證外流 上回是義大利憑證經銷商出包,這回則是位於荷蘭的DigiNotar CA捅簍子,而且感覺過程挺黑的:...

資安廠商Websense在3/29發佈了一則消息,一個被命名為LizaMoon的SQL Injection攻擊正在席捲全球,已有許多網站遭受攻擊,網頁內容中被塞了<script src=”httq: // lizamoon . com / ur . php”>疑似掛馬連結, 透過G...

接連看到三則資安新聞: MySQL官網遭SQL Injection攻擊 管理員帳密被破解 Comodo憑證遭盜用 Google/ 微軟/ Yahoo可能成攻擊目標 資安八卦鏡: 被狠狠羞辱的資安大神 SQL Injection是老梗中的老梗,在資安界歷久彌新,但連資料...

自從三年多前加裝了TrimothyHUmphrey’s CAPTCHA,一直以來抵抗垃圾留言效果還不錯,但最近似乎有被攻破的嫌疑,隔一陣子會密集冒出好幾則無意義的洋文垃圾留言: 最近兩次都是一口氣被塞了10則以上,刪留言刪到火氣都上來了。心一橫,決定換上口碑不錯的reCAPTCHA,看看是...

小熊子提供日常生活茶包一枚,某機上盒設備偶然在液晶電視彈出以下訊息: 看起來是ASP.NET程式錯誤,雖然接到電視時畫面周圍被截,但仍看得出是同時寫入Log檔的多條執行緒在打架所致。頓時有熟悉的感覺: 啊! 這茶包我也嚐過。 由錯誤訊息所暗示的片段程式碼(錯誤示範! 正式台web.config應...

【ASP.NET保安系列前言】 我一直對資安十分敏感,而剛好身為一位網站開發人員,自然對系統架構的安全格外關注,過去已寫過不少文章討論網站設計上的安全議題。例如: ASP.NET防駭指南、你的網站在裸奔嗎?、游擊式的SQL Injection攻擊、瀏覽器XSS防身術比武大會、...

久未連絡的好傻好天真型前同事發送MSN簡訊如下:(為防止大家誤點,我在URL中加入雜訊) 我真的好傻好天真 說 (昨天 9:18 下午):*httq: // www. lgoinlive. com / 我的部落格加我好友喔^.^ 直覺上判別這是網路詐騙,但還是好奇點入查看: 原...

ASP.NET安全弱點的安全更新程式已在9/28釋出,也如ScottGu所預告,很快被加進Windows Update自動更新機制中! (Windows Update會依OS及.NET版本決定更新程式,快點去檢查更新並安裝吧!) 請大家儘速對所有ASP.NET主機進行安全更新,愈快愈好!!...