The Will Will Web

記載著 Will 在網路世界的學習心得與技術分享

如何在 IIS7 / IIS7.5 安裝 SSL 憑證(含 IIS7 匯入憑證的 Bug)

📅 2011/08/14 23:28 📁 IIS, Security

先前我曾經寫過一篇【購買與安裝 SSL 憑證完全攻略 (以 IIS7 為例) 】文章,文章裡鉅細靡遺的解說如何從購買 SSL 憑證到安裝 SSL 憑證到 IIS 上的過程,而且都有詳細的圖文解說,不過我最近卻發現當透過 IIS7/IIS7.5 管理員匯入 SSL 憑證且將憑證設定為「不允許匯出此憑證」時,就會導致該憑證無法正確繫結到站台的狀況,所以特別撰文提醒各位如何才能夠安全的管理憑證使用,又能正常運作於 IIS7 之中。

... 繼續閱讀 ...

透過 OpenSSH 使用 SFTP 登入時將帳戶設為 chroot 的方法 (Linux)

📅 2011/08/11 23:59 📁 Linux, Security, 系統管理

當使用 WinSCPFileZilla Client 使用 SFTP 協定登入 OpenSSH 伺服器時,在預設的情況下使用者可以自由的在檔案系統間遊走,當我們基於安全的理由希望透過 SFTP 登入伺服器後能透過 chroot() 的方法將使用者 關在(chroot) 特定目錄下,讓他不能跑到其他目錄瀏覽資料,透過一些簡單的設定就能達到,以下就是設定的方式。

... 繼續閱讀 ...

設定具有進階安全性的 Windows 防火牆的步驟、技巧與觀念

📅 2011/08/08 00:26 📁 Security, 網路管理, 系統管理

Windows 防火牆其實是個非常不錯的玩意,只是一般人比較不清楚要如何游刃有餘的設定他,我這幾年經手過不少 Windows 伺服器,我發現設定錯誤的人其實蠻多的,而更有大部分的伺服器主機根本預設關閉 Windows Firewall 服務,只依賴客戶額外採購的硬體式防火牆來保護主機的網路安全,這篇文章裡我打算分享一些我在設定這些輸入/輸出規則的一些經驗與檢查現有防火牆規則的一些步驟,跟大家一起分享與探討,看是否有更好的方式能將 Windows 防火牆設定的更安全。

... 繼續閱讀 ...

上傳檔案至 IIS 的檔案名稱有三個字元最好禁止使用: % # +

📅 2011/07/09 03:52 📁 Web, Security, IIS, ASP.NET

上個月有個客戶提到他們從後台上傳的檔案不知為何在前台就是看不到,我查看了一下發現檔名中有個加號 ( + ),但奇怪的是原本網站明明就是好的。後來我才想起來客戶最近主機升級了,從 Windows Server 2003 升級到 Windows Server 2008 R2,可能是因為這樣才導致這個問題發生,我研究了一會兒終於明白問題發生的原因,並不是 IIS7 有問題,而是變的更安全了,也因為這個問題讓我更加意識到在實做檔案上傳功能時應該注意到的事情!

... 繼續閱讀 ...

使用 IE9 釘選的網站捷徑 (Pinned Site Shortcut) 提升安全性

📅 2011/04/06 10:21 📁 Security, Tips, Web

上週有同事跑來問我說 IE9 是不是有 Bug,他家裡的電腦都沒辦法連接 不安全的 HTTPS 網站,一般來說我們瀏覽到一些使用 自簽憑證 (self signed certificate) 的網站都一定會看到 IE9 提示說「此網站的安全性憑證有問題」,而且通常也都會有「繼續瀏覽此網站 (不建議)」的選項可以用,但是在他家裡的電腦怎麼會沒有這個按鈕可以點選呢?我直覺是認為不可能有此問題,由於當下沒圖沒真像,所以我請他給我他電腦的畫面再進一步判斷,今天他寄給我畫面了,不到 5 秒便真相大白!小朋友,叔叔是有練過的 XD

... 繼續閱讀 ...

如何封鎖 Windows 遠端桌面的檔案傳輸與剪貼簿傳輸能力

📅 2011/03/15 14:25 📁 Security, 系統管理

去年的時候有一次客戶急忙來電說伺服器中毒了導致網站掛點,請我幫他修復網站,不過這案子已經結案超過三年,結案後他們就自己管理主機,怎麼管到會中毒我不清楚(其實是被值入木馬),當時不疑有他的就透過遠端桌面程式(mstsc)登入他的主機,不過才剛連上沒多久,我的防毒軟體就不斷的發出警示說有檔案被發現病毒應立即處理,一開始還以為防毒軟體秀逗了,但不斷跳出警告後開始覺得不對勁,查了 3 分鐘之後確認是病毒是從遠端桌面的遠端寫入到我的硬碟,過程中我的硬碟已經被值入 70 多支木馬,實在恐怖!

... 繼續閱讀 ...

ASP.NET 發現重大資安弱點影響範圍涵蓋 ASP.NET 1.0 ~ 4.0

📅 2010/09/19 13:34 📁 .NET Framework, ASP.NET, ASP.NET MVC, Security

幾天前有兩位資安研究員 (Thai Duong and Juliano Rizzo) 發現了一個 ASP.NET 的資安弱點,主要的點出在 .NET 實做 AES 加解密演算法的問題,駭客透過這個弱點即可在短時間內猜出你網站的加密金鑰進而入侵你的網站系統,在 ASP.NET 裡使用到加解密的地方非常多,像是 Forms Authentication 與 ViewState 都是非常常見的功能,加密金鑰 (MachineKey) 被猜到之後就可以讓駭客用任意身份使用你的網站或任意竄改 ViewState 中的狀態資訊,嚴重性非同小可,各位一定要即時因應。

... 繼續閱讀 ...

檢查上傳檔案副檔名真的有效嗎?分析 IIS6 副檔名解析弱點!!

📅 2010/07/01 23:55 📁 IIS, PHP, Security

製作網站難免會做到關於檔案上傳的功能,如果為了安全考量可能會限制其特定副檔名才能上傳,以免使用者上傳了不該上傳的檔案類型(例如 *.exe 執行檔),不過光是檢查檔案結尾的副檔名真的就安全了嗎?那可不一定!如果你現在還在使用 IIS6 的話,那你可能要小心了,因為最近知名3C連鎖賣場燦坤傳出資料外洩的案件就是因為這個弱點所致。

... 繼續閱讀 ...