DEVCORE - 所有的文章 - 共有 6 篇文章 搜尋時間 0.014 秒

Android WebView 為你的使用者打開了漏洞之門你知道嗎?

2014-11-09 22:02:11 by DEVCORE @ 硬是要學 [引用來源]

[Credit: Chris Goldberg(flickr)] 為了解決在應用程式中顯示網頁的需求,開發者一般會使用到由系統提供的 WebView 元件。而由於 JavaScript 被廣泛應用在網頁上,開發者通常也會把 WebView 處理 JavaScript 的功能打開,好讓大部分網頁能正常運作。但就在開啟這個像是必不可少的 JavaScript 功能時,背後一些由於...... [閱讀更多]

設備不良設定帶來的安全風險:以 WAF 為例

2014-07-21 13:41:11 by DEVCORE @ 硬是要學 [引用來源]

過去談到網站安全,通常會使用防火牆或 IDS 進行防護。但近年來網站安全議題都是以網頁應用程式的漏洞居多,無法單靠防火牆阻擋。以 OWASP Top 10 2013 的第一名 Injection 而言,多半是程式撰寫方法不嚴謹所造成,因此才有了網頁應用程式防火牆 (Web Application Firewall, WAF) 的出現。 有了 WAF 就是萬靈丹了嗎?就算有各種...... [閱讀更多]

[資安技術] 如何正確的取得使用者 IP?

2014-06-19 23:20:05 by DEVCORE @ 硬是要學 [引用來源]

很多網站都會有偵測使用者 IP 的功能,不管是判斷使用者來自哪邊,或者是記錄使用者的位置。但是你知道嗎?網路上大多數的教學全部都是「錯誤」的。正確的程式寫法可以確保知道訪客的 IP,但是錯誤的寫法卻可能讓網站管理者永遠不知道犯罪者的來源。 這次我們單就偵測 IP 的議題來探討各種錯誤的寫法。 你知道網路上的教學是不安全的嗎? 我們先來看一下網路上的教學,讓我們 Google ...... [閱讀更多]

[資安技術] DNS Zone Transfer 世界大揭秘

2014-06-17 11:50:04 by DEVCORE @ 硬是要學 [引用來源]

還記得在上一篇文章 Zone Transfer CVE-1999-0532 - 古老的 DNS 資安議題中我們曾提到,若對全世界的網站進行 zone transfer 檢測恐怕會有更多驚人的案例嗎?正好 Alexa 提供了全球排名前一百萬名的網站資料,我們就以這份資料為基礎來做一些統計吧! 有問題的 Domain 總數與比例 79133,約佔所有受測目標的 8.0...... [閱讀更多]

[資安技術] HTTP Session 攻擊與防護

2014-06-06 00:54:17 by DEVCORE @ 硬是要學 [引用來源]

大家還記得四月份的 OpenSSL Heartbleed 事件嗎?當時除了網站本身以外,受害最嚴重的就屬 VPN Server 了。國內外不少駭客不眠不休利用 Heartbleed 漏洞竊取 VPN Server 的管理者 Session Cookie,運氣好的話就可以直接登入大企業的內網。 但是,其實這樣的風險是可以避免的,今天我們以開發者的角度來談談 Session 的攻擊...... [閱讀更多]

使用第三方套件所要擔負的資安風險

2014-05-28 22:42:36 by DEVCORE @ 硬是要學 [引用來源]

使用第三方套件節省開發時間,已經是整個資訊產業的慣例。但是很多管理者可能不知道,使用第三方套件到底需要擔負多大的資安風險。你確定你用的套件是安全無虞的嗎?是否有經過嚴謹的安全測試?若有安全漏洞引爆,是否有廠商可以負責維護修補?廠商開發的程式碼品質是否穩定?這些都是在使用之前必須要考慮的。 在服務眾多客戶之後,我們深知這些問題的嚴重性。以下我們將就幾個經典的案例來說明使用第三方套...... [閱讀更多]