不經一事，不長一智。 從考完NT 4.0 MCSE後，我就鮮少在Windows上下苦功，都是抱持著用到哪學到哪的精神。 今天在Windows 2008(有開UAC)上調Trixie設定時，發現設定結果無法儲存，沒彈出錯誤，但下次開IE就又回到修改前的樣子。 我知道IE...

接到微軟的緊急通知，微軟在12/18發佈了重大安全公告MS08-078，主要是針對IE 5/6/7/8的弱點修補，關於此漏洞的細節可參考Microsoft 安全性摘要報告 961051。 由摘要報告中指出的漏洞發佈時間是12/10，大約跟上回IE7零時差攻擊的時點相近，後來發現該漏洞遍及IE6-IE...

阿碼科技非官方網站在日前公告了IE 7 零時差攻擊(Zero Day Attack) 重大威脅警訊，剛剛讀到保哥的文章，提及昨日真的發現有客戶收到Mail，點擊連結就被植入木馬的情事(雖然無法證實是否就是利用該漏洞攻擊)，大驚! 零時差攻擊是指軟體被發現有漏洞後，在廠商還來不及出修補更新前，就...

今天收到一則朋友送來的MSN訊息，一看便知是網站詐騙，原本要略過不理的，沒想到忽然發現了歹徒的用心，讓我研究了一下.... ch1007272 check out these awesome pics from the awesome party LOL   httq://...

微軟在10/23號公佈了一個遍及Windows 2000, XP, 2003, 2008，甚至Windows 7 Pre-Beta的資安漏洞，其影響層面頗大。只要主機開機有接上網路，就算不收信、不逛網站、不做任何事都可能中槍倒地。雖然不是0Day攻擊(指漏洞揭露的當天，就有壞人"同步推出"利用該漏洞...

公司垃圾郵件過瀘器每天都會為我濾出一大堆各式各樣的疑似垃圾信件: 賣假勞力士的、賣威而剛的、要助我脫離貧困的、關心我性伴侶滿意度的... 族繁不及備載，但以英文居多，不知是從哪裡冒出來的。 我習慣在刪除這些疑似垃圾信前再看一眼，以免有正常信件夾雜其中一併遇害。像今年TechEd的大會通知我就是從垃...

FTP是很古老的網路傳輸協定，它誕生在駭客惡魔罕見，人人都是好人的伊甸園時代(亞當跟夏娃還沒吃蘋果?)。 於是這些古老協定以簡單、直覺為主，少有配合安全保密需求加入的一堆囉嗦程序，原始FTP協定的帳號密碼是以明碼方式在網路上傳送，很容易就會被人攔截偷走。 這麼天真無邪的協定在今天這個世界裡，肯...

微軟日前推出了可以掃瞄ASP原始碼是否有SQL Injection漏洞的工具，我的第一個念頭是，They really did it? 在我的認知裡，原始碼分析工具最有挑戰性的部分在於要能順著程式的邏輯跑，而不單只從字面上查，例如: Request("id")被指定成變數id，傳給函數GetIn...

.NET 3.5裡多了些新玩意，看過保哥的超完美組合：LinqDataSource + ListView + DataPager + jQuery及Rick Strahl的ListView and DataPager in ASP.NET 3.5兩篇介紹ListView的文章，ListView對前端...

最近處理了一個棘手的SQL Injection案例，又增長了一些見聞 (如果你身為網站設計人員卻不知道什麼是SQL Injection，建議你最好立即請假佯裝出國度假或雙手打上石膏裝殘，無論如何，在搞懂什麼是SQL Injection之前，務必暫停手邊的開發工作，以免在系統埋下更多的炸彈，遺害千年...

不知你有沒有遇過以下的錯誤? Invalid postback or callback argument.  Event validation is enabled using <pages enableEventValidation="true"/> in configu...

SQL Injection真的是老掉牙的話題了，很不幸地，它卻始終是導致資安事件的主要凶手之一。 只要一個好傻好天真的程式設計師寫錯一行程式碼(例如: cmd.CommandText = "SELECT Title, Content, Date FROM tblNews WHERE id=" ...

早上聽同事說，不少人收到某同事MSN了一個URL，懷疑是病毒... 過去曾經解剖過一隻木馬，當時第一次見識到不必做什麼傻事(假設沒定期Windows Update不算傻事的話)，一開網頁就中鏢的驚人殺傷力。不過，讓木馬/病毒可以長驅直入的關鍵在於Windows未及時修補安全漏洞。我有點納悶，公司環...

很久很久以前，我寫了一篇KB介紹停用特定Reporting Service報表匯出格式的做法，除了修改config外，我還提出了可以透過指定Stylesheet遮蔽部分匯出選項的做法。 使用Stylesheet的做法，使用者可以透過去除URL rs:stylesheet參數讓防護手法破功，因此我在...

在設計資料庫相關程式時，連線字串最好能以加密方式存在config檔案裡；再進一步，最好連解密字串的機制都封裝在特定的資料存取元件中，開發人員及呼叫端程式只需傳入SqlCommand或更高階的抽象化資料物件，就可以完成資料庫存取作業，不必也不能得知連線字串的相關細節。 只是依我自己的實務經驗，有時直接...

接獲兩封可疑電子郵件通報。 第一封信件(2/4)標題為"我被騙了..."，內文如下: 我被騙了...昨天被騙了1000元..心情真的是很幹!!騎車回家..都在狂哭...很氣自己氣自己怎會熊熊就借錢給對方..什麼都沒留就借...心情超糟的...還好我還有拍下她的相片...>" 附件為"騙子相片...