在多年以前 SSL 第二版 (v2) 就已經被證實有編碼加密方面的瑕疵,因此駭客很輕易的就能對 SSL v2 加密過的封包進行反解,或可能會透過中間人攻擊(Man-in-the-middle attack)手法加害於你的網站用戶,因此大多數的資安掃瞄軟體皆會建議在伺服器上關閉 SSL v2 的協定,以確保用戶端透過 SSL ( HTTPS ) 連上網站伺服器時是安全的連線。
... 繼續閱讀 ...
微軟在 2009/6/22 確認了一個從 17 年前 Windows 作業系統以來直到目前都還存在的一個安全性弱點,他能讓不受信任或無權限的使用者輕易的進入系統核心(system kernel)並取得該系統最大權限,目前尚無任何補丁(Patch)可以修正這個問題,但還是有方法可以強化你系統的安全性。
... 繼續閱讀 ...
Cookie hijacking 是個很常見的 XSS 攻擊手法,大多是利用網站既有的 XSS 漏洞並透過 JavaScript 取得 documnet.cookie 資料,而 documnet.cookie 就包含所有你在該網頁所有可用的 Cookie 資料,但若你的網站程式在設定 Cookie 的時候有特別加上 HttpOnly 屬性,就可以進一步避免該頁的 Cookie 被 JavaScript 存取,也可保護使用者的 Cookie 不會偷走。
... 繼續閱讀 ...
雖然我之前已經寫過一篇【 推薦使用 Microsoft Anti-Cross Site Scripting Library V3.0 】文章,而且這次 Anti-XSS Library v3.1 也只有小幅新增功能,但這次新增的兩個方法(Methods)卻是我盼望許久的功能,終於被我給等到了。我覺得任何開發 ASP.NET Web 應用程式的人都應該注意並使用這一套強大的 Anti-XSS Library,絕對有助於提升你現有 Web 應用程式的安全性。
... 繼續閱讀 ...
今天才正苦惱不知道要寫什麼文章才好,想不到就有位仁兄寫了篇文章專章批判我的 [機會教育:從中華民國總統府網站被發現 XSS 漏洞講起] 文章寫的不夠專業且混淆視聽。我之前就說了這是場「機會教育」,所以我決定另寫一篇文章專門用來回覆此人的種種觀點以及謬誤之處,歡迎各位批評指教,這是場對專業技術的辯論,不涉及人身攻擊,對於該文章所用的情緒性字眼我將不予理會。
... 繼續閱讀 ...
昨晚從黑暗執行緒那邊得知中華民國總統府網站已經淪陷了,看到總統府新聞稿一直在跳 Sorry Sorry 舞蹈,雖然只是網友惡搞,但估計這個 Cross-Site Script (XSS) 弱點可能會遭受駭客利用,騙那些好奇的鄉民點選觀看,也許背地裡會潛藏木馬或病毒在其中,各位千萬要小心啊!
... 繼續閱讀 ...
市佔率高達 99% 的 Adobe Flash Player 再次出現「重大」安全弱點,這可不是危言聳聽,國外有人評論這次可能算是 Web 界最大的一次資安漏洞,雖然 Adobe 早在 2009/7/30 釋出更新,但根據資安公司 Trusteer 評估全世界大約還有 80% 的使用者尚未套用此更新,只要你上了惡意網站很可能立即被植入木馬。更危險的是,這個漏洞也是「跨平台」的,包括 Windows, Macintosh, UNIX-like 作業系統全部遭殃!
... 繼續閱讀 ...
台灣微軟昨天發佈兩個緊急安全更新補充程式編號 MS09-034 (重大) 與 MS09-035 (中度) 與 安全性摘要報告 973882,並強烈呼籲所有用戶應立即更新電腦,以避免電腦遭受攻擊,各位可以透過 Windows Update 自動更新 或透過以下網址下載安全更新補充程式。
... 繼續閱讀 ...