Browse by Tags

多想兩分鐘，你可以不用 validateRequest="false"(WebForm版)

接續 前一篇 不關閉validateRequest下允許傳送XML內容的議題，有人問起，我才想到該文只示範了AJAX做法，壓根忘了提WebForm環境下應如何處理。 以下是我會採用的處理方式。原理上還是透過encodeURIComponent()及HttpUtility.UrlDecode()分別在Client端與Server端加解碼，只是要額外動些手腳: 在網頁上放一個<asp:HiddenField>作為實際的傳值容器。 供使用者輸入的<textarea>或<input...

Posted 01 February 2012 10:14 PM 由 Jeffrey | with no comments

Filed under: ASP.NET, Security, ASP.NET保安

多想兩分鐘，你可以不用 validateRequest="false"

先來看以下的程式，網頁上放了一個<textarea>及<input type="button">，按鈕後以$.post()方式將<textarea>的內容送至ASP.NET Server端程式，在Page_Load中讀取Request["data"]並顯示出來，另外並透過$.ajaxSetup()指定error錯誤事件函數，捕捉並顯示伺服器端的錯誤資訊。 <%@ Page Language="C#"...

Posted 01 February 2012 08:21 AM 由 Jeffrey | 1 comment(s)

Filed under: ASP.NET, Security, jQuery

資安新聞筆記-開發網站前該知道的二三事

最近有兩則資安新聞引發我的注意: 金流平台坦承內控疏失導致交易資料外洩 CSDN承認部分用戶賬號面臨風險 要求修改密碼 資安這檔事是這樣的，平時只會覺得系統被設了一堆限制綁手綁腳，稽核單位訂下的規矩不勝其擾，防毒軟體防火牆是效能毒藥，這一切代價換來多少功效? 卻無人知曉，直到某天豬隊友忽然來報到，才後悔資安防範做得還是太少。 有鑑於對於資安重要性的體驗常來自"多麼痛的領悟"，多遇個幾次，還來不及大徹大悟前，往往命就先去了半條。(甚至歷史上也曾有因資安事件而死的悲慘案例: ...

Posted 23 December 2011 12:04 AM 由 Jeffrey | 5 comment(s)

Filed under: Security

豬隊友滾開，DigiNotar掰掰

幾天前聊到DigiNotar 遭駭客入侵 被盜發超過200張假憑證的事件，由於DigiNotar對於入侵過程及假憑證盜發細節多所保留，外界難以斷言是否有盜發憑證仍流落在外，於是Chrome、FireFox與Microsoft一致決定採取"寧可錯殺一百、不可錯放一個"的霹靂手段--直接撤銷DigiNotar CA 根憑證，凡是DigiNotar簽發的憑證，不管真假一律封殺。 繼Chrome、FireFox陸續推出撤銷DigiNotar根憑證的新版本後，微軟也在9/7釋出了 KB2607712更新...

Posted 09 September 2011 12:04 AM 由 Jeffrey | 3 comment(s)

Filed under: Security

又見豬一樣的隊友

五個月前，剛發生過Comodo憑證經銷商 被駭客入侵盜發SSL憑證 的事件，類似事件最近再度上演: 網路出現Google假憑證 DigiNotar證實遭入侵 200多個假憑證外流 上回是義大利憑證經銷商出包，這回則是位於荷蘭的DigiNotar CA捅簍子，而且感覺過程挺黑的: 8/28伊朗網友在Gmail論壇發表自己的Chrome對一張7/10簽發的Google SSL憑證發出警告，DigiNotar在8/29事件爆發後立即撤銷了這張假憑證，並在隨後才坦承，曾在7/19發現被駭客入侵，盜發了超過200張憑證...

Posted 05 September 2011 12:40 AM 由 Jeffrey | 1 comment(s)

Filed under: Security

驚見SQL Injection攻擊大海嘯-LizaMoon

資安廠商Websense在3/29發佈了 一則消息 ，一個被命名為LizaMoon的SQL Injection攻擊正在席捲全球，已有許多網站遭受攻擊，網頁內容中被塞了<script src=”httq: // lizamoon . com / ur . php”>疑似掛馬連結， 透過Google查詢lizamoon. com關鍵字，被稙入惡意連結的URL數在兩天內由28,000個急速增加到380,000個(2011/03/31 22:00 UTC+8時的資料)，有如海嘯狂掃( Websense說...

Posted 01 April 2011 01:15 AM 由 Jeffrey | 5 comment(s)

Filed under: Security

資安表示: 不怕神一樣的對手...

接連看到三則資安新聞: MySQL官網遭SQL Injection攻擊 管理員帳密被破解 Comodo憑證遭盜用 Google/ 微軟/ Yahoo可能成攻擊目標 資安八卦鏡: 被狠狠羞辱的資安大神 SQL Injection是老梗中的老梗，在資安界歷久彌新，但連資料庫MySQL的官方網站捅出這種簍子還真是諷刺。這也再次驗證: 不管你寫的是ASP、PHP還是JSP，連的是SQL、MySQL、Oracle、或是什麼怪DB，只要一個不小心，人人都可能變成 害網站裸奔 的北七。(再次呼龥，如果你的工作是寫與DB有關的程式...

Posted 30 March 2011 10:28 PM 由 Jeffrey | 7 comment(s)

Filed under: Security

換裝reCAPTCHA

自從 三年多前 加裝了TrimothyHUmphrey’s CAPTCHA，一直以來抵抗垃圾留言效果還不錯，但最近似乎有被攻破的嫌疑，隔一陣子會密集冒出好幾則無意義的洋文垃圾留言: 最近兩次都是一口氣被塞了10則以上，刪留言刪到火氣都上來了。心一橫，決定換上口碑不錯的 reCAPTCHA ，看看是否防禦效果會更好些。(延伸閱讀: 介紹好用工具：reCAPTCHA (免費的 CAPTCHA 驗證服務) by 保哥 ) 說來reCAPTCHA是個有趣的點子，特別挑選OCR程式無法識別的紙本掃瞄內容當考題...

Posted 15 March 2011 01:35 AM 由 Jeffrey | 2 comment(s)

Filed under: ASP.NET, Security

【茶包射手日記】ASP.NET寫Log檔的多執行緒問題

小熊子 提供日常生活茶包一枚，某機上盒設備偶然在液晶電視彈出以下訊息: 看起來是ASP.NET程式錯誤，雖然接到電視時畫面周圍被截，但仍看得出是同時寫入Log檔的多條執行緒在打架所致。頓時有熟悉的感覺: 啊! 這茶包我也嚐過。 由錯誤訊息所 暗示 的片段程式碼(錯誤示範! 正式台web.config應啟用customErrors，避免錯誤細節及程式碼被閒雜人等掌握)，推敲原來的程式碼如下: public static void WriteLog( string sErrMsg) { StreamWriter...

Posted 29 January 2011 09:37 AM 由 Jeffrey | 3 comment(s)

Filed under: ASP.NET, Security, ASP.NET保安

ASP.NET保安系列 - 常被遺忘的伺服器端驗證

【ASP.NET保安系列前言】 我一直對資安十分敏感，而剛好身為一位網站開發人員，自然對系統架構的安全格外關注，過去已寫過不少文章討論網站設計上的安全議題。例如: ASP.NET防駭指南 、 你的網站在裸奔嗎? 、 游擊式的SQL Injection攻擊 、 瀏覽器XSS防身術比武大會 、 隱含殺機的GET式AJAX資料更新 ...  很遺憾地，常有題材可以討論，意味著因程式寫法疏失產生資安風險的問題沒消失過，而隨著技術推陳出新，又會有新陷阱冒出來。結論是，身為網站開發人員，永遠鬆懈不得...

Posted 28 January 2011 07:17 AM 由 Jeffrey | 4 comment(s)

Filed under: ASP.NET, Security, ASP.NET保安

發現MSN帳號密碼詐騙網站一枚

久未連絡的 好傻好天真型 前同事發送MSN簡訊如下：(為防止大家誤點，我在URL中加入雜訊) 我真的好傻好天真 說 (昨天 9:18 下午): *httq: // www. lgoinlive. com / 我的部落格加我好友喔^.^ 直覺上判別這是網路詐騙，但還是好奇點入查看: 原來是故意註冊 lgoin live DNS以混淆Windows Live登入網站，再把畫面弄得跟正式網頁一樣，以誘騙小肥羊在上面輸入自己真實的Windows Live帳號密碼，接著就可用受害者身份登入取得連絡人清單，再一一發送詐騙MSN訊息給小肥羊的親友...

Posted 08 November 2010 12:26 PM 由 Jeffrey | 7 comment(s)

Filed under: Security

莫等待，莫依賴，快把ASP.NET安全更新裝起來!

ASP.NET安全弱點 的安全更新程式已 在9/28釋出 ，也如ScottGu所預告，很快被加進Windows Update自動更新機制中! (Windows Update會依OS及.NET版本決定更新程式，快點去檢查更新並安裝吧!) 請大家儘速對所有ASP.NET主機進行安全更新， 愈快愈好 !! 看了 Scott的公告 ，我整理幾點注意事項如下: 由於此一資安漏洞已被公開，所以很有可能有人已製作了駭客程式，準備攻擊沒有修補漏洞的ASP.NET主機。 如果不想讓你的ASP.NET網站變成待宰羔羊...

Posted 01 October 2010 07:58 PM 由 Jeffrey | with no comments

Filed under: ASP.NET, Security

【重要消息】ASP.NET安全弱點更新程式出爐了!

關於上週發佈的 ASP.NET安全弱點 ，MS已 釋出 安全更新了!! (向爆肝的程式開發人員致意~) 各.NET版本的安全更新目前已可由Microsoft Download Center 下載 : .NET 1.1 Security Update for Microsoft .NET Framework 1.1 Service Pack 1 and Windows Server 2003 Service Pack 2 (32-bit) Security Update for Microsoft...

Posted 29 September 2010 07:00 AM 由 Jeffrey | 4 comment(s)

Filed under: ASP.NET, Security

【重要提醒】請全面檢視並修改web.config customErrors!

兩天前微軟公佈了 Microsoft Security Advisory (2416728) - Vulnerability in ASP.NET Could Allow Information Disclosure 安全漏洞，ScottGu也在部落格文章: Important: ASP.NET Security Vulnerability ，警告此一弱點的嚴重性。關於此弱點的細節，保哥在 這篇網誌 提供了詳細的說明。 這個弱點具有極高威脅性，由於目前還沒有修補程式，因此可能引發 零時差攻擊 。建議大家即刻全面體檢所有上線ASP...

Posted 20 September 2010 07:36 AM 由 Jeffrey | 6 comment(s)

Filed under: ASP.NET, Security

TIPS-將Manifest內嵌至EXE檔案

照著 MSDN Create and Embed an Application Manifest (UAC) 一文的說明，為.NET程式附加.manifest檔案註記為需管理者權限執行，並在Visual Studio專案屬性的Post Build Event中加入 mt.exe -manifest "$(ProjectDir)$(TargetName).exe.manifest" -updateresource:"$(TargetDir)$(TargetName).exe;#1"...

Posted 31 August 2010 07:30 PM 由 Jeffrey | with no comments

Filed under: Security, .NET, Visual Studio

搜尋