琉璃網站
CommunityServer 中文討論區-琉璃網站
登入
|
註冊加入
|
說明
首頁
部落日誌
多媒體
社區論壇
Wikis
mirror
»
所有標籤
»
Security
(
RSS
)
依標籤瀏覽
mirror
Home
Syndication
RSS
Atom
評論 RSS
Recent Posts
你DEP了嗎?
認真的騙徒最有趣
【緊急呼叫】請立刻進行Windows Update!!!
發現Google AdWords釣魚信一枚
一個關於IIS FTP設定的安全小提示
Tags
.NET
543
ASP.NET
BlogEngine.NET
I.T. News
IE
Information Technology
Javascript
jQuery
KB
Life
microsoft
ORACLE
programming
Security
SQL 2005
Tips
Tips and Tricks
Tools
Trouble-Shooting
VS2008
Web
中文編碼
我的作品
技術隨筆
View more
Archives
January 2009 (1)
December 2008 (22)
November 2008 (21)
October 2008 (21)
September 2008 (33)
August 2008 (30)
July 2008 (23)
June 2008 (217)
May 2008 (29)
April 2008 (28)
March 2008 (26)
February 2008 (15)
January 2008 (15)
December 2007 (1)
November 2007 (15)
October 2007 (19)
September 2007 (23)
August 2007 (22)
July 2007 (20)
June 2007 (28)
May 2007 (13)
April 2007 (1)
March 2007 (1)
February 2007 (1)
January 2007 (16)
December 2006 (2)
November 2006 (4)
October 2006 (1)
June 2006 (3)
.NET
ASP.NET
CSS
IIS
Javascript
KB
Reporting Service
SQL 2000
SQL 2005
Tips
Tools
Trouble-Shooting
Virus
你DEP了嗎?
阿碼科技非官方網站 在日前公告了 IE 7 零時差攻擊(Zero Day Attack) 重大威脅警訊 ,剛剛讀到保哥的 文章 ,提及昨日真的發現有客戶收到Mail,點擊連結就被植入木馬的情事(雖然無法證實是否就是利用該漏洞攻擊),大驚! 零時差攻擊是指軟體被發現有漏洞後,在廠商還來不及出修補更新前,就有人開發針對該漏洞攻擊的病毒、蠕蟲、木馬等惡意程式。由於軟體在修補漏洞前尚無任何防備,惡意程式如入無人之境,得以為所欲為。 聽來挺可怕的,不過光發抖也不是辦法,我們還是要有積極一點的作為。避用IE7是不錯的主意...
已發表
12-11-2008 7:46 AM
由
黑暗執行緒
分類:
Security
認真的騙徒最有趣
今天收到一則朋友送來的MSN訊息,一看便知是網站詐騙,原本要略過不理的,沒想到忽然發現了歹徒的用心,讓我研究了一下.... ch1007272 check out these awesome pics from the awesome party LOL httq:// darkthread.great-nu-stuff4u.com 嘩!! 以darkthread命名的DNS名稱耶~~~ 看在對方很用心地註冊DNS的份上,我就姑且連上去體驗一下好了。(叔叔有練過,小朋友不要學哦) 先nslookup一下...
已發表
12-09-2008 8:58 PM
由
黑暗執行緒
分類:
Security
【緊急呼叫】請立刻進行Windows Update!!!
微軟在10/23號公佈了一個遍及Windows 2000, XP, 2003, 2008,甚至Windows 7 Pre-Beta的 資安漏洞 ,其影響層面頗大。只要主機開機有接上網路,就算不收信、不逛網站、不做任何事都可能中槍倒地。雖然不是0Day攻擊(指漏洞揭露的當天,就有壞人"同步推出"利用該漏洞進行攻擊的病毒/蠕蟲),但在隔日已經傳出已有利用該弱點進行攻擊的木馬間諜程式 TSPY_GIMMIV.A ,會利用該漏洞竊取密碼及其他機密後上傳至特定網站。 這個漏洞十分具有威脅性...
已發表
10-25-2008 11:11 AM
由
黑暗執行緒
分類:
Security
發現Google AdWords釣魚信一枚
公司垃圾郵件過瀘器每天都會為我濾出一大堆各式各樣的疑似垃圾信件: 賣假勞力士的、賣威而剛的、要助我脫離貧困的、關心我性伴侶滿意度的... 族繁不及備載,但以英文居多,不知是從哪裡冒出來的。 我習慣在刪除這些疑似垃圾信前再看一眼,以免有正常信件夾雜其中一併遇害。像今年TechEd的大會通知我就是從垃圾信桶中撈出來的,而我的好幾位同事則是看都沒看就讓帶有啟動密碼的通知信化為輕煙... 今天瞄了一眼垃圾信桶,一封信吸引了我的注意力。Your Ad* Google Account is stopped?...
已發表
09-10-2008 10:25 AM
由
黑暗執行緒
分類:
Security
一個關於IIS FTP設定的安全小提示
FTP是很古老的網路傳輸協定,它誕生在駭客惡魔罕見,人人都是好人的伊甸園時代(亞當跟夏娃還沒吃蘋果?)。 於是這些古老協定以簡單、直覺為主,少有配合安全保密需求加入的一堆囉嗦程序,原始FTP協定的帳號密碼是以明碼方式在網路上傳送,很容易就會被人攔截偷走。 這麼天真無邪的協定在今天這個世界裡,肯定沒三兩下就會被生吞活剝。尤其IIS的FTP服務,可以整合AD Domain或是本機帳號密碼用來登入FTP,方便固然方便,但原本Windows在密碼認證上設計了Challenge Response的複雜機制以確保不會在認證過程被人偷走...
已發表
09-05-2008 8:27 AM
由
黑暗執行緒
分類:
Security
,
IIS
TIPS-小心Eval潛藏XSS漏洞
.NET 3.5裡多了些新玩意,看過保哥的 超完美組合:LinqDataSource + ListView + DataPager + jQuery 及Rick Strahl的 ListView and DataPager in ASP.NET 3.5 兩篇介紹ListView的文章,ListView對前端有極佳主控權的特色深得我心,我打算逐步在未來的專案中用ListView取代DataGrid或GridView。 不過我有注意到大部分文章在介紹Templated Control時都省略了資安風險的提醒...
已發表
06-19-2008 6:02 AM
由
黑暗執行緒
分類:
Security
,
ASP.NET
游擊式的SQL Injection攻擊
最近處理了一個棘手的SQL Injection案例,又增長了一些見聞 (如果你身為網站設計人員卻不知道什麼是SQL Injection,建議你最好立即請假佯裝出國度假或雙手打上石膏裝殘,無論如何,在搞懂什麼是SQL Injection之前,務必暫停手邊的開發工作,以免在系統埋下更多的炸彈,遺害千年! 我有幾篇文章可以參考: ASP.NET防駭指南 、 你的網站在裸奔嗎? ) 這次遇到的狀況是發現網站上一些內容顯示有誤,似乎是HTML格式不對。仔細確認,發現資料庫中的所有varchar, nvarchar欄位資料後方都被加上了<...
已發表
05-22-2008 5:38 AM
由
黑暗執行緒
分類:
Security
,
ASP.NET
KB-About Event Validation of ASP.NET 2.0
不知你有沒有遇過以下的錯誤? Invalid postback or callback argument. Event validation is enabled using <pages enableEventValidation="true"/> in configuration or <%@ Page EnableEventValidation="true" %> in a page. For security purposes...
已發表
05-13-2008 7:46 AM
由
黑暗執行緒
分類:
Security
,
KB
,
ASP.NET
你的網站正在裸奔嗎?
SQL Injection真的是老掉牙的話題了,很不幸地,它卻始終是導致資安事件的主要凶手之一。 只要一個好傻好天真的程式設計師寫錯一行程式碼(例如: cmd.CommandText = "SELECT Title, Content, Date FROM tblNews WHERE id=" + Request["id"];),不管你用的是ASP、JSP還是PHP,資料庫連的是SQL、MySQL還是ORACLE,整個資料庫等同於完全公諸於世,任人把玩。原本應該要固若金湯的網站系統...
已發表
05-07-2008 6:04 AM
由
黑暗執行緒
分類:
Security
,
ASP.NET
小心網路上的詐騙集團
早上聽同事說,不少人收到某同事MSN了一個URL,懷疑是病毒... 過去曾經 解剖過一隻木馬 ,當時第一次見識到不必做什麼傻事(假設沒定期Windows Update不算傻事的話),一開網頁就中鏢的驚人殺傷力。不過,讓木馬/病毒可以長驅直入的關鍵在於Windows未及時修補安全漏洞。我有點納悶,公司環境有強制Windows更新部署、也統一裝了防毒軟體定期更新病毒碼,莫非這回又遇上什麼強勁的敵手,讓MIS建立的防線瞬間瓦解? 想到這裡,身體裡的駭客血液開始沸騰。 盤問 細問了被控散播病毒的苦主同事...
已發表
04-25-2008 7:56 AM
由
黑暗執行緒
分類:
Security
,
Virus
TIPS-使用CSS客製Reporting Service匯出選項
很久很久以前,我寫了一篇KB介紹停用特定Reporting Service報表匯出格式的 做法 ,除了修改config外,我還提出了可以透過指定Stylesheet遮蔽部分匯出選項的做法。 使用Stylesheet的做法,使用者可以透過去除URL rs:stylesheet參數讓防護手法破功,因此我在原先的KB裡只稍稍帶過,並未再花時間再深入研究。不過,日前網友草莓妹問到如何利用第二種方法,以CSS引進Javascript去更動內容。 雖然我覺得用Stylesheet去卡Reporting Service匯出選項的實用性不高...
已發表
04-10-2008 12:52 PM
由
黑暗執行緒
分類:
Javascript
,
Security
,
Reporting Service
,
CSS
TIPS-SqlConnection的ConnectionString保密機制
在設計資料庫相關程式時,連線字串最好能以加密方式存在config檔案裡;再進一步,最好連解密字串的機制都封裝在特定的資料存取元件中,開發人員及呼叫端程式只需傳入SqlCommand或更高階的抽象化資料物件,就可以完成資料庫存取作業,不必也不能得知連線字串的相關細節。 只是依我自己的實務經驗,有時直接傳連線物件(SqlConnection)給呼叫端是較省事的做法(丟一個連線給你自己玩,別來煩我! 是有點不負責任,但元件開發者未必有時間陪著在每個案子中抱著各式不同的需求打滾),連線丟出去了,呼叫端來個SqlConnection...
已發表
03-12-2008 10:49 PM
由
黑暗執行緒
分類:
SQL 2005
,
Tips
,
Security
,
.NET
,
SQL 2000
發現病毒兩枚
接獲兩封可疑電子郵件通報。 第一封信件(2/4)標題為"我被騙了...",內文如下: 我被騙了...昨天被騙了1000元..心情真的是很幹!!騎車回家..都在狂哭...很氣自己氣自己怎會熊熊就借錢給對方..什麼都沒留就借...心情超糟的...還好我還有拍下她的相片...>" 附件為"騙子相片.zip",內含256,523 bytes的"騙子相片.cmd"檔案 第二封信(2/5)標題為"新年好",內文如下...
已發表
02-11-2008 12:26 AM
由
黑暗執行緒
分類:
Security
KB-J avascript: Is Not Allowed In HyperLinkField!
今天才發現這點。我在ASP.NET 2.0的GridView中想要放一個HyperLinkField觸發Javascript Function,但一在DataNavigateUrlFormatString中加上"j avascript:"字眼,產出的HTML裡,該Link會完全消失,只剩下DataTextField的純文字。 < asp:HyperLinkField DataNavigateUrlFields ="PRODID,PRODCHNAME"...
已發表
01-07-2008 4:23 PM
由
黑暗執行緒
分類:
Security
,
ASP.NET
【茶包射手專欄】沒中毒不代表沒事---ARP木馬
前陣子解剖了一隻 3合1木馬 ,結果該木馬又持續鬧了好幾天,也讓孤陋寡聞的我對病毒木馬的日新月益,再次大開眼界,讚嘆不已... 大部分人的刻板印象是,如果我的機器沒有沒有中毒、沒有中木馬、沒有惡意程式,網路上也沒有人狂送封包轟炸,我使用網路應該不致受到影響吧?? 代誌並不像憨人所想的哈尼甘單~~~ 上回話說該木馬會在你瀏覽網頁時偷偷在HTML前端加入<script src=httq://some_web/trojan.js></script>,而我一直很好奇這是怎麼做到的...
已發表
06-06-2007 1:15 AM
由
黑暗執行緒
分類:
Trouble-Shooting
,
Security
,
Virus
1
2
下一頁 >
Copyright 2008 ruri.com.tw , .Net DCP partner