一個關於IIS FTP設定的安全小提示

2008-09-05 10:27 PM

2

20,423

FTP是很古老的網路傳輸協定，它誕生在駭客惡魔罕見，人人都是好人的伊甸園時代(亞當跟夏娃還沒吃蘋果?)。於是這些古老協定以簡單、直覺為主，少有配合安全保密需求加入的一堆囉嗦程序，原始FTP協定的帳號密碼是以明碼方式在網路上傳送，很容易就會被人攔截偷走。這麼天真無邪的協定在今天這個世界裡，肯...

小測微軟SQL Injection漏洞掃瞄工具

2008-08-01 07:09 AM

1

21,534

微軟日前推出了可以掃瞄ASP原始碼是否有SQL Injection漏洞的工具，我的第一個念頭是，They really did it? 在我的認知裡，原始碼分析工具最有挑戰性的部分在於要能順著程式的邏輯跑，而不單只從字面上查，例如: Request("id")被指定成變數id，傳給函數GetIn...

TIPS-小心Eval潛藏XSS漏洞

2008-06-19 08:02 AM

2

21,218

.NET 3.5裡多了些新玩意，看過保哥的超完美組合：LinqDataSource + ListView + DataPager + jQuery及Rick Strahl的ListView and DataPager in ASP.NET 3.5兩篇介紹ListView的文章，ListView對前端...

游擊式的SQL Injection攻擊

2008-05-22 07:38 AM

26

98,290

最近處理了一個棘手的SQL Injection案例，又增長了一些見聞 (如果你身為網站設計人員卻不知道什麼是SQL Injection，建議你最好立即請假佯裝出國度假或雙手打上石膏裝殘，無論如何，在搞懂什麼是SQL Injection之前，務必暫停手邊的開發工作，以免在系統埋下更多的炸彈，遺害千年...

KB-About Event Validation of ASP.NET 2.0

2008-05-13 09:46 AM

10

43,263

不知你有沒有遇過以下的錯誤? Invalid postback or callback argument. Event validation is enabled using <pages enableEventValidation="true"/> in configu...

你的網站正在裸奔嗎?

2008-05-07 08:04 AM

6

42,543

SQL Injection真的是老掉牙的話題了，很不幸地，它卻始終是導致資安事件的主要凶手之一。只要一個好傻好天真的程式設計師寫錯一行程式碼(例如: cmd.CommandText = "SELECT Title, Content, Date FROM tblNews WHERE id=" ...

小心網路上的詐騙集團

2008-04-25 09:56 AM

1

8,927

早上聽同事說，不少人收到某同事MSN了一個URL，懷疑是病毒... 過去曾經解剖過一隻木馬，當時第一次見識到不必做什麼傻事(假設沒定期Windows Update不算傻事的話)，一開網頁就中鏢的驚人殺傷力。不過，讓木馬/病毒可以長驅直入的關鍵在於Windows未及時修補安全漏洞。我有點納悶，公司環...

TIPS-使用CSS客製Reporting Service匯出選項

2008-04-10 02:52 PM

5

14,340

很久很久以前，我寫了一篇KB介紹停用特定Reporting Service報表匯出格式的做法，除了修改config外，我還提出了可以透過指定Stylesheet遮蔽部分匯出選項的做法。使用Stylesheet的做法，使用者可以透過去除URL rs:stylesheet參數讓防護手法破功，因此我在...

TIPS-SqlConnection的ConnectionString保密機制

2008-03-13 12:49 AM

4

15,837

在設計資料庫相關程式時，連線字串最好能以加密方式存在config檔案裡；再進一步，最好連解密字串的機制都封裝在特定的資料存取元件中，開發人員及呼叫端程式只需傳入SqlCommand或更高階的抽象化資料物件，就可以完成資料庫存取作業，不必也不能得知連線字串的相關細節。只是依我自己的實務經驗，有時直接...

發現病毒兩枚

2008-02-11 01:26 AM

4

13,438

接獲兩封可疑電子郵件通報。第一封信件(2/4)標題為"我被騙了..."，內文如下: 我被騙了...昨天被騙了1000元..心情真的是很幹!!騎車回家..都在狂哭...很氣自己氣自己怎會熊熊就借錢給對方..什麼都沒留就借...心情超糟的...還好我還有拍下她的相片...>" 附件為"騙子相片...

KB-J avascript: Is Not Allowed In HyperLinkField!

2008-01-07 05:23 PM

1

6,045

今天才發現這點。我在ASP.NET 2.0的GridView中想要放一個HyperLinkField觸發Javascript Function，但一在DataNavigateUrlFormatString中加上"j avascript:"字眼，產出的HTML裡，該Link會完全消失，只剩下DataT...

有創意的病毒偽裝術

2008-01-02 11:33 PM

3

5,366

今天遇見一隻MSN病毒，感染後會抓取連絡人清單，傳送類似Photo.zip的壓縮檔。這種手法不怎麼新鮮，但傳的是ZIP檔，表示得引誘使用者打開ZIP檔並開啟其中的"毒物"才算達陣。這年頭大家對網路上傳送的VBS、EXE之流都已存有戒心，不敢隨便開，過去我有看過用PIF誘騙User開檔的，所以對ZIP...

夭壽的VSS設定選項

2007-12-04 11:36 PM

0

8,948

發現了VSS裡有個要命的選項，勾選後可以不管VSS帳號密碼，直接以Windows當下的登入帳號對應到VSS使用者。也就是說，只要使用者用Administrator登入Wndows後，就可以直接升等成VSS裡的Administrator! 有沒有這麼扯呀? 一開始，我不相信VSS的安全控制可以兩...