琉璃網站
CommunityServer BlogEngine.Net 中文技術社群網站
mirror » 所有標籤 » Security (RSS)

依標籤瀏覽

  • 瀏覽器XSS防身術比武大會

    在噗浪上看到有人抓到了總統府網站的XSS漏洞,在新聞稿網頁嵌入了惡搞的 奇笨呆兒 脫衣舞男影片。 無意發現,這個攻擊手法在IE8上會被擋下來! 之前微軟一再 吹噓 強調IE8相較於其他瀏覽器來得安全,索性就用這個案例讓五大瀏覽器比劃一下,看看IE8, Firefox, Chrome, Safari, Opera的XSS防身術功力高低: Chrome腹部挨了一拳!   Firefox頭上被敲了一記悶棍!   Safari背上中了一掌!   Opera一個箭步,巧妙閃過...
    分類: ,

  • 多想兩分鐘,你可以不必教User關掉Vista UAC

    三年前見識過WebATM網站"教導"使用者設定IE,允許執行所有不標示為安全的ActiveX控制項,我寫了這篇: 讓我們再創台灣的資安奇蹟。啊~~~ 福氣啦!! 前幾天我又發現另一椿資安奇蹟。 話說Vista UAC 這份昂貴的保險 ,讓不少原本依賴管理者權限在Windows裡縱橫的程式紛紛中箭落馬(連Visual Studio 2005/2008都在名單上),必須透過以管理者權限執行的做法克服問題。 不過,像這樣教導使用者索性關閉UAC來個眼不見為淨,未免也太霸氣... 在這份說明裡完全沒提到關閉UAC可能衍生的風險...
    分類: ,

  • 掃很大 掃不用錢 的全面式病毒檢測

    雖然有點Lag,但我最近才知道有 這種服務 。 當你發現一個懷疑內含病毒或木馬的檔案,上傳過去,就會有善心 人士 程式一口氣幫你用全世界的掃毒軟體掃過一輪,很美妙吧!? 今天遇到一台安裝Avast的XP在瀏覽某個JPG檔時彈出含毒訊息,但同一圖檔在我安裝AVG的Vista上卻沒警示。一時興起,剛好拿這個可疑檔案來練兵,於是連到 http://www.virustotal.com 上傳檔案後,耐心等候,網頁上開始一一浮現各家掃毒程式的檢查結果。結果是40種掃毒程式裡有9種說有毒。是否為誤判? 還是不得而知...
    分類:

  • 隱含殺機的GET式AJAX資料更新

    jQuery的出現讓AJAX網頁的開發瞬間變簡單了。只要寫支簡單的ASPX,用Request["..."]接入前端用jQuery.ajax()傳來的參數,馬上就實現了AJAX式的資料查詢、新增、修改、刪除功能。但是,小心不要寫出如下的程式碼: protected void Page_Load( object sender, EventArgs e) { if (Request[ "mode" ] == "del" ) { try { CheckCookieForAuthentication...

  • Live Messenger強迫換ID?

    今早收到一個MSN訊息,寄送者署名Windows Live Messenger Service工作小組: 重要服務宣告: 因應近期系統增強的需要,您必須變更您的電子郵件地址以登入 Windows Live(TM) Messenger Service。 若要確保您的存取權限不被封鎖或了解更多相關資訊,請移至 http://support.microsoft.com/gp/Messenger/zh-tw 連到 http://support.microsoft.com/gp/Messenger/zh-tw...
    分類:

  • 狗都嫌的Vista UAC,問題在哪裡?

    前幾天接獲一件案例,Vista x64連上健保局網站,由於需使用自然人憑證,要安裝ActiveX控制項,結果苦主將IE7的保護模式關閉、也設成信任的網站,反覆嘗試,耗了超過一個小時,仍不得其門而入,接獲報案後,以過來人的經驗建議改用Run As Administrator執行IE,問題迎刃而解。 後續的說明中"不小心"提到Run As Administrator是解決大部分UAC障礙的大絕招(前題你要自行承擔該程式夾帶病毒、木馬等惡意程式的風險)。果不其然,在這個案例中又聽到再熟悉不過的評價...
    分類: ,

  • 關於PDF JBIG2漏洞零時差攻擊

    Adobe Reader及Acrobat最近傳出有漏洞(Adobe也已 證實 ),同時已經有人利用此漏洞製作出黑心PDF檔,算是標準的零時差攻擊(漏洞發布的同時,病毒/木馬程式跟著一起上市)。 使用Acrobat或Adobe Reader開啟黑心PDF檔時,其中包藏的惡意程式會利用類似溢位攻擊的方式取得控制權,進而執行夾帶的程式碼下載木馬及幹些見不得人的勾當。 先前的認知是這波攻擊要透過Javascript才能生效,因此停用Javascript應具備阻擋攻擊的效果。很不幸地,既然是溢位攻擊,能搞的名堂可多了...
    分類:

  • 【茶包射手專欄】Vista Mandatory Integrity Level

    不經一事,不長一智。 從考完NT 4.0 MCSE後,我就鮮少在Windows上下苦功,都是抱持著用到哪學到哪的精神。 今天在Windows 2008(有開UAC)上調 Trixie 設定時,發現設定結果無法儲存,沒彈出錯誤,但下次開IE就又回到修改前的樣子。 我知道IE7啟用了所謂的 Protected Mode ,在存取本機資源時設下諸多限制,以防止透過瀏覽器發動的攻擊,這問題八成與權限有關。二話不說,召來 茶包一哥 進行偵察,果不其然,由Log來看就是權限設定問題。Trixie的設定要寫入Trixie...

  • 你DEP了嗎?

    阿碼科技非官方網站 在日前公告了 IE 7 零時差攻擊(Zero Day Attack) 重大威脅警訊 ,剛剛讀到保哥的 文章 ,提及昨日真的發現有客戶收到Mail,點擊連結就被植入木馬的情事(雖然無法證實是否就是利用該漏洞攻擊),大驚! 零時差攻擊是指軟體被發現有漏洞後,在廠商還來不及出修補更新前,就有人開發針對該漏洞攻擊的病毒、蠕蟲、木馬等惡意程式。由於軟體在修補漏洞前尚無任何防備,惡意程式如入無人之境,得以為所欲為。 聽來挺可怕的,不過光發抖也不是辦法,我們還是要有積極一點的作為。避用IE7是不錯的主意...
    分類:

  • 認真的騙徒最有趣

    今天收到一則朋友送來的MSN訊息,一看便知是網站詐騙,原本要略過不理的,沒想到忽然發現了歹徒的用心,讓我研究了一下.... ch1007272 check out these awesome pics from the awesome party LOL httq:// darkthread.great-nu-stuff4u.com 嘩!! 以darkthread命名的DNS名稱耶~~~ 看在對方很用心地註冊DNS的份上,我就姑且連上去體驗一下好了。(叔叔有練過,小朋友不要學哦) 先nslookup一下...
    分類:

  • 【緊急呼叫】請立刻進行Windows Update!!!

    微軟在10/23號公佈了一個遍及Windows 2000, XP, 2003, 2008,甚至Windows 7 Pre-Beta的 資安漏洞 ,其影響層面頗大。只要主機開機有接上網路,就算不收信、不逛網站、不做任何事都可能中槍倒地。雖然不是0Day攻擊(指漏洞揭露的當天,就有壞人"同步推出"利用該漏洞進行攻擊的病毒/蠕蟲),但在隔日已經傳出已有利用該弱點進行攻擊的木馬間諜程式 TSPY_GIMMIV.A ,會利用該漏洞竊取密碼及其他機密後上傳至特定網站。 這個漏洞十分具有威脅性...
    分類:

  • 發現Google AdWords釣魚信一枚

    公司垃圾郵件過瀘器每天都會為我濾出一大堆各式各樣的疑似垃圾信件: 賣假勞力士的、賣威而剛的、要助我脫離貧困的、關心我性伴侶滿意度的... 族繁不及備載,但以英文居多,不知是從哪裡冒出來的。 我習慣在刪除這些疑似垃圾信前再看一眼,以免有正常信件夾雜其中一併遇害。像今年TechEd的大會通知我就是從垃圾信桶中撈出來的,而我的好幾位同事則是看都沒看就讓帶有啟動密碼的通知信化為輕煙... 今天瞄了一眼垃圾信桶,一封信吸引了我的注意力。Your Ad* Google Account is stopped?...
    分類:

  • 一個關於IIS FTP設定的安全小提示

    FTP是很古老的網路傳輸協定,它誕生在駭客惡魔罕見,人人都是好人的伊甸園時代(亞當跟夏娃還沒吃蘋果?)。 於是這些古老協定以簡單、直覺為主,少有配合安全保密需求加入的一堆囉嗦程序,原始FTP協定的帳號密碼是以明碼方式在網路上傳送,很容易就會被人攔截偷走。 這麼天真無邪的協定在今天這個世界裡,肯定沒三兩下就會被生吞活剝。尤其IIS的FTP服務,可以整合AD Domain或是本機帳號密碼用來登入FTP,方便固然方便,但原本Windows在密碼認證上設計了Challenge Response的複雜機制以確保不會在認證過程被人偷走...
    分類: ,

  • TIPS-小心Eval潛藏XSS漏洞

    .NET 3.5裡多了些新玩意,看過保哥的 超完美組合:LinqDataSource + ListView + DataPager + jQuery 及Rick Strahl的 ListView and DataPager in ASP.NET 3.5 兩篇介紹ListView的文章,ListView對前端有極佳主控權的特色深得我心,我打算逐步在未來的專案中用ListView取代DataGrid或GridView。 不過我有注意到大部分文章在介紹Templated Control時都省略了資安風險的提醒...
    分類: ,

  • 游擊式的SQL Injection攻擊

    最近處理了一個棘手的SQL Injection案例,又增長了一些見聞 (如果你身為網站設計人員卻不知道什麼是SQL Injection,建議你最好立即請假佯裝出國度假或雙手打上石膏裝殘,無論如何,在搞懂什麼是SQL Injection之前,務必暫停手邊的開發工作,以免在系統埋下更多的炸彈,遺害千年! 我有幾篇文章可以參考: ASP.NET防駭指南 、 你的網站在裸奔嗎? ) 這次遇到的狀況是發現網站上一些內容顯示有誤,似乎是HTML格式不對。仔細確認,發現資料庫中的所有varchar, nvarchar欄位資料後方都被加上了<...
    分類: ,
1 2 下一頁 >
Copyright 2010 琉璃網站 , 本站採用 CommunityServer 2008.5 為社群平台
Telligent 贊助台灣區 .Net DCP partner
各圖片與商標為各廠商所有,轉載本站圖文內容須需註明出處網頁