Category: security

微軟日前推出了可以掃瞄ASP原始碼是否有SQL Injection漏洞的工具,我的第一個念頭是,They really did it? 在我的認知裡,原始碼分析工具最有挑戰性的部分在於要能順著程式的邏輯跑,而不單只從字面上查,例如: Request("id")被指定成變數id,傳給函數GetIn...

.NET 3.5裡多了些新玩意,看過保哥的超完美組合:LinqDataSource + ListView + DataPager + jQuery及Rick Strahl的ListView and DataPager in ASP.NET 3.5兩篇介紹ListView的文章,ListView對前端...

最近處理了一個棘手的SQL Injection案例,又增長了一些見聞 (如果你身為網站設計人員卻不知道什麼是SQL Injection,建議你最好立即請假佯裝出國度假或雙手打上石膏裝殘,無論如何,在搞懂什麼是SQL Injection之前,務必暫停手邊的開發工作,以免在系統埋下更多的炸彈,遺害千年...

SQL Injection真的是老掉牙的話題了,很不幸地,它卻始終是導致資安事件的主要凶手之一。 只要一個好傻好天真的程式設計師寫錯一行程式碼(例如: cmd.CommandText = "SELECT Title, Content, Date FROM tblNews WHERE id=" ...

早上聽同事說,不少人收到某同事MSN了一個URL,懷疑是病毒... 過去曾經解剖過一隻木馬,當時第一次見識到不必做什麼傻事(假設沒定期Windows Update不算傻事的話),一開網頁就中鏢的驚人殺傷力。不過,讓木馬/病毒可以長驅直入的關鍵在於Windows未及時修補安全漏洞。我有點納悶,公司環...

在設計資料庫相關程式時,連線字串最好能以加密方式存在config檔案裡;再進一步,最好連解密字串的機制都封裝在特定的資料存取元件中,開發人員及呼叫端程式只需傳入SqlCommand或更高階的抽象化資料物件,就可以完成資料庫存取作業,不必也不能得知連線字串的相關細節。 只是依我自己的實務經驗,有時直接...

接獲兩封可疑電子郵件通報。 第一封信件(2/4)標題為"我被騙了...",內文如下: 我被騙了...昨天被騙了1000元..心情真的是很幹!!騎車回家..都在狂哭...很氣自己氣自己怎會熊熊就借錢給對方..什麼都沒留就借...心情超糟的...還好我還有拍下她的相片...>" 附件為"騙子相片...

今天遇見一隻MSN病毒,感染後會抓取連絡人清單,傳送類似Photo.zip的壓縮檔。這種手法不怎麼新鮮,但傳的是ZIP檔,表示得引誘使用者打開ZIP檔並開啟其中的"毒物"才算達陣。這年頭大家對網路上傳送的VBS、EXE之流都已存有戒心,不敢隨便開,過去我有看過用PIF誘騙User開檔的,所以對ZIP...

發現了VSS裡有個要命的選項,勾選後可以不管VSS帳號密碼,直接以Windows當下的登入帳號對應到VSS使用者。也就是說,只要使用者用Administrator登入Wndows後,就可以直接升等成VSS裡的Administrator! 有沒有這麼扯呀? 一開始,我不相信VSS的安全控制可以兩...

前陣子解剖了一隻3合1木馬,結果該木馬又持續鬧了好幾天,也讓孤陋寡聞的我對病毒木馬的日新月益,再次大開眼界,讚嘆不已... 大部分人的刻板印象是,如果我的機器沒有沒有中毒、沒有中木馬、沒有惡意程式,網路上也沒有人狂送封包轟炸,我使用網路應該不致受到影響吧??  代誌並不像憨人所想的哈尼甘...

一直很羡慕FireFox上有各式各樣的外掛可以加,其中Greasemonkey是一直讓我流口水的功能之一。(想知道Greasemonkey的神通廣大可以參考這裡 、這裡) 覺得某個網站的介面太鳥、功能太少,馬上可以自己動手改造成自己想要的樣子,這是多麼爽快的事。Greasemonkey提...

同事回報發生了疑似中毒事件,查看的結果,發現中毒的機器用IE讀取網頁時(包含http://www.google.com.tw)在HTML Source的最前端會被插入一列:<script src="httq://www_blogo_tw/lan.js"></script> (...