申請正式SSL憑證是要花錢的，在測試網站SSL連線或僅作內部應用時，我們常會用SelfSSL工具或是Certificate Service自己搞一張SSL憑證自嗨一番，反正一樣可以做到傳輸加密的效果。另外，還有一種狀況是網站雖有正式SSL憑證，但註冊的是外部DNS名稱，在內網必須用IP存取網站，此...

在噗浪上看到有人抓到了總統府網站的XSS漏洞，在新聞稿網頁嵌入了惡搞的奇笨呆兒脫衣舞男影片。 無意發現，這個攻擊手法在IE8上會被擋下來! 之前微軟一再吹噓強調IE8相較於其他瀏覽器來得安全，索性就用這個案例讓五大瀏覽器比劃一下，看看IE8, Firefox, Chrome, Safari, ...

三年前見識過WebATM網站"教導"使用者設定IE，允許執行所有不標示為安全的ActiveX控制項，我寫了這篇: 讓我們再創台灣的資安奇蹟。啊~~~ 福氣啦!! 前幾天我又發現另一椿資安奇蹟。 話說Vista UAC這份昂貴的保險，讓不少原本依賴管理者權限在Windows...

雖然有點Lag，但我最近才知道有這種服務。 當你發現一個懷疑內含病毒或木馬的檔案，上傳過去，就會有善心人士程式一口氣幫你用全世界的掃毒軟體掃過一輪，很美妙吧!? 今天遇到一台安裝Avast的XP在瀏覽某個JPG檔時彈出含毒訊息，但同一圖檔在我安裝AVG的Vista上卻沒警示。一時興起，剛好拿...

jQuery的出現讓AJAX網頁的開發瞬間變簡單了。只要寫支簡單的ASPX，用Request["..."]接入前端用jQuery.ajax()傳來的參數，馬上就實現了AJAX式的資料查詢、新增、修改、刪除功能。但是，小心不要寫出如下的程式碼: protected void Page_Load(o...

今早收到一個MSN訊息，寄送者署名Windows Live Messenger Service工作小組: 重要服務宣告: 因應近期系統增強的需要，您必須變更您的電子郵件地址以登入 Windows Live(TM) Messenger Service。若要確保您的存取權限不被封鎖或了解更多相...

前幾天接獲一件案例，Vista x64連上健保局網站，由於需使用自然人憑證，要安裝ActiveX控制項，結果苦主將IE7的保護模式關閉、也設成信任的網站，反覆嘗試，耗了超過一個小時，仍不得其門而入，接獲報案後，以過來人的經驗建議改用Run As Administrator執行IE，問題迎刃而解。 ...

Adobe Reader及Acrobat最近傳出有漏洞(Adobe也已證實)，同時已經有人利用此漏洞製作出黑心PDF檔，算是標準的零時差攻擊(漏洞發布的同時，病毒/木馬程式跟著一起上市)。 使用Acrobat或Adobe Reader開啟黑心PDF檔時，其中包藏的惡意程式會利用類似溢位攻擊的方式取...

  不經一事，不長一智。 從考完NT 4.0 MCSE後，我就鮮少在Windows上下苦功，都是抱持著用到哪學到哪的精神。 今天在Windows 2008(有開UAC)上調Trixie設定時，發現設定結果無法儲存，沒彈出錯誤，但下次開IE就又回到修改前的樣子。 我知道IE...

接到微軟的緊急通知，微軟在12/18發佈了重大安全公告MS08-078，主要是針對IE 5/6/7/8的弱點修補，關於此漏洞的細節可參考Microsoft 安全性摘要報告 961051。 由摘要報告中指出的漏洞發佈時間是12/10，大約跟上回IE7零時差攻擊的時點相近，後來發現該漏洞遍及IE6-IE...

阿碼科技非官方網站在日前公告了IE 7 零時差攻擊(Zero Day Attack) 重大威脅警訊，剛剛讀到保哥的文章，提及昨日真的發現有客戶收到Mail，點擊連結就被植入木馬的情事(雖然無法證實是否就是利用該漏洞攻擊)，大驚! 零時差攻擊是指軟體被發現有漏洞後，在廠商還來不及出修補更新前，就...

今天收到一則朋友送來的MSN訊息，一看便知是網站詐騙，原本要略過不理的，沒想到忽然發現了歹徒的用心，讓我研究了一下.... ch1007272 check out these awesome pics from the awesome party LOL   httq://...

微軟在10/23號公佈了一個遍及Windows 2000, XP, 2003, 2008，甚至Windows 7 Pre-Beta的資安漏洞，其影響層面頗大。只要主機開機有接上網路，就算不收信、不逛網站、不做任何事都可能中槍倒地。雖然不是0Day攻擊(指漏洞揭露的當天，就有壞人"同步推出"利用該漏洞...

公司垃圾郵件過瀘器每天都會為我濾出一大堆各式各樣的疑似垃圾信件: 賣假勞力士的、賣威而剛的、要助我脫離貧困的、關心我性伴侶滿意度的... 族繁不及備載，但以英文居多，不知是從哪裡冒出來的。 我習慣在刪除這些疑似垃圾信前再看一眼，以免有正常信件夾雜其中一併遇害。像今年TechEd的大會通知我就是從垃...

FTP是很古老的網路傳輸協定，它誕生在駭客惡魔罕見，人人都是好人的伊甸園時代(亞當跟夏娃還沒吃蘋果?)。 於是這些古老協定以簡單、直覺為主，少有配合安全保密需求加入的一堆囉嗦程序，原始FTP協定的帳號密碼是以明碼方式在網路上傳送，很容易就會被人攔截偷走。 這麼天真無邪的協定在今天這個世界裡，肯...

微軟日前推出了可以掃瞄ASP原始碼是否有SQL Injection漏洞的工具，我的第一個念頭是，They really did it? 在我的認知裡，原始碼分析工具最有挑戰性的部分在於要能順著程式的邏輯跑，而不單只從字面上查，例如: Request("id")被指定成變數id，傳給函數GetIn...