WAF ( Web Application Firewall, Web 應用程式防火牆 ) 這個名詞越來越夯了,因為 Web 應用程式越來越普及,相對的 Web 安全性的議題也越來越受重視,在市面上已經有不少 WAF 相關防護工具,免費的、付費的、Linux 平台的、Windows 平台的都有,今天我就來介紹一套由微軟提供的入門級 WAF 工具:UrlScan Security Tool ( 這連結是介紹 UrlScan 2.5 的功能,但目前最新版是 UrlScan 3.1 版)。
... 繼續閱讀 ...
今天從資安人雜誌的電子報中發現一則駭人聽聞的熱門新聞:『戰國策4,270筆資料外洩 Google全都露』。我上網研究了一下,果然還有許多非 Google 的搜尋引擎還殘留著快取住(Cached)完整的客戶資料與鉅細靡遺的訂單資訊,包括公司資訊、連絡人、電話、地址、身份證字號、購買了什麼服務、何時到期、折扣、帳號、密碼、.... 簡直什麼死人骨頭都在上面,這實在是太恐怖了,真無法想像這些資料落入詐騙集團手中後,這些客戶是何下場。
... 繼續閱讀 ...
前幾天我才寫 SQL Server 2005 SP3 已出爐(Released),今天就看到另一個 SQL Server 的重大弱點公布,而且影響的 SQL Server 版本遍及 SQL Server 7.0 , SQL Server 2000 到 SQL Server 2005 等,只有以下幾種版本能倖免於難:
... 繼續閱讀 ...
現在越來越多客戶會要求要上線的網站必須提供安全性掃瞄報告,之前我曾經介紹過一套 RatProxy 工具,感覺是不錯,掃瞄的結果也十分的詳細(..繁瑣..),也因為缺乏 UI 其實使用上蠻不方便的。正好我們最近一個上線的網站又被要求做安全性檢測,而這次是由客戶主動要求要用 Paros 掃瞄工具進行檢測。
... 繼續閱讀 ...
昨天到客戶那邊開會,他們說最近都有人寄送惡意郵件到他們公司大部分人的信箱,只要郵件中的連結點下去電腦就會被值入木馬,而且他們所有 Windows Update 都做了,我才覺得可能 IE7 有零時差攻擊(Zero day attack)。
... 繼續閱讀 ...
我之前參加微軟 MSDN 研討會時曾經拿到一本微軟贈送的書籍,書名叫做 "The Security Development Lifecycle" (ISBN: 9780735622142),拿回來看過之後,雖然覺得真的要在公司內導入 SDL 的確不太容易,但是書中所介紹的一些安全觀念、流程、工具都蠻不錯的,我覺得每一位開發人員都應該嘗試著瞭解一下 SDL 這個東西,畢竟建立基本觀念有益無害,況且真的是好東西。
... 繼續閱讀 ...
我個人有習慣收集一些網路上別人整理的速查表,因為程式開發的細節真的太多了,要能全部背起來不太可能,也沒什麼意義,甚至於有人說程式設計就是一件查詢、複製、貼上的工作而已。對我來說,寫程式首重觀念與經驗,有了完整而正確的觀念,就算記不得要怎麼寫,查詢一下就馬上能寫了;而有了經驗,對於一些難解的 Bug 自然能夠迅速解開。
... 繼續閱讀 ...
我兩個星期前跑去參加 2008 OWASP 亞洲年會 有學到一些關於資安的新知與新型的攻擊手法,而幾天前主辦單位已經開放部分簡報檔下載了,建議有興趣的人可以下載回來看看。
... 繼續閱讀 ...
DNS (Domain Name System) 是一個年代久遠且相當重要的網路服務之一,詳細的運作行細節我不談,請自行到 域名服務器(Wikipedia) 學習相關知識。簡單的說,DNS 通常都會實做快取(Cache)功能,若 DNS 收到來自惡意假造的 DNS 封包,導致將錯誤的 Domain Name v.s. IP 對應資料快取在 DNS Server 中,就會讓使用這台 DNS Server 的使用者連結到錯誤的 IP,這將會是個十分嚴重的安全性漏洞!而這樣的安全性漏洞就稱之為 DNS cache poisoning。
... 繼續閱讀 ...