DEVCORE 新網站上線!
DEVCORE 的新網站上線了!非常感謝專業的 EVENDESIGN幫我們設計精美的網站!我們目前主要服務項目為滲透測試、資安教育訓練、資安事件處理、資安顧問服務,各項服務的詳細內容可參考...
View ArticleClik here to view.
奇優廣告 Qiyou 廣告手法剖析
歡迎來到我們的技術文章專欄!今天我們來談談「廣告顯示手法」。不少廣告商為了要增加廣告的曝光以及點擊率,會使用各種手法強迫使用者顯示廣告。例如彈出式視窗、內嵌廣告、強制跳轉等等。但這樣的手法有什麼好提的呢?今天有一個很特別的案例,讓我們來看看一個網站「1kkk.com 極速漫畫」。這是一個常見的網路漫畫網站,接著點擊進去漫畫頁面。 網站中充斥著煩人的廣告,並且突然一閃而過 Safari...
View ArticleClik here to view.
HTTP Headers 的資安議題 (1)
前言隨著駭客攻擊事件日益漸增,原本經常被大眾所忽視的網站資安問題,現在已經逐漸受到重視。但是,許多企業主或開發人員雖然很想強化網站的安全性,卻不知道該如何從何著手。企業主通常想到的改善方案是添購資安設備,希望可以一勞永逸。我們姑且先不談「資訊界沒有永遠的安全」這件事,企業光是要買到有效的資安設備就是一件令人頭痛的事情,不但要花許多時間聽取廠商的簡報,耗費大筆的經費採購,購買之後還要請員工或原廠技術人...
View ArticleClik here to view.
使用第三方套件所要擔負的資安風險
使用第三方套件節省開發時間,已經是整個資訊產業的慣例。但是很多管理者可能不知道,使用第三方套件到底需要擔負多大的資安風險。你確定你用的套件是安全無虞的嗎?是否有經過嚴謹的安全測試?若有安全漏洞引爆,是否有廠商可以負責維護修補?廠商開發的程式碼品質是否穩定?這些都是在使用之前必須要考慮的。在服務眾多客戶之後,我們深知這些問題的嚴重性。以下我們將就幾個經典的案例來說明使用第三方套件所要擔負的風險,並且分...
View ArticleClik here to view.
Google 帳號釣魚案例
最近身邊的朋友不斷的收到 Gmail 中 Google 的警告:駭客間的戰爭已經不只是個人對個人,而已經擴大成國家對國家。一個國家為了獲取他國的機密文件、情報、個人資料等,都會想盡各種辦法入侵帳號、寄送惡意郵件、釣魚盜取密碼等。而身為受害者的我們能做什麼呢?Google 官方提出的建議是:加強密碼安全、注意登入 IP...
View ArticleClik here to view.
Content-Security-Policy - HTTP Headers 的資安議題 (2)
Content-Security-Policy還記得在上一篇 HTTP headers 的資安議題 (1)文章中,我們提到了多種資安相關的 HTTP headers 嗎?接下來的幾篇文章我們會介紹幾個專門對付 XSS 的 HTTP headers,首先就由 Content-Security-Policy 打頭陣。Content-Security-Policy(以下簡稱 CSP)是從 2010...
View ArticleClik here to view.
OpenSSL CVE-2014-0160 Heartbleed 嚴重漏洞
OpenSSL CVE-2014-0160 嚴重漏洞OpenSSL 今天公告了一個極度嚴重的漏洞(CVE-2014-0160),被稱為「Heartbleed」,而他確實也如同心臟噴出血般嚴重。這個漏洞能讓攻擊者從伺服器記憶體中讀取 64 KB 的資料,利用傳送 heartbeat 的封包給伺服器,在封包中控制變數導致 memcpy...
View ArticleClik here to view.
OpenSSL Heartbleed 全球駭客的殺戮祭典,你參與了嗎?
你跟上了 OpenSSL Heartbleed 的祭典了嗎?如果還沒有,別忘記詳細閱讀一下我們的前文「OpenSSL CVE-2014-0160 Heartbleed 嚴重漏洞」。這幾天不少企業、民眾都不斷來詢問我們相對應的解決方案:Heartbleed 跟我有關嗎?我該怎麼知道?我該怎麼更新 OpenSSL?我如果不能更新,要怎麼防止攻擊?Heartbleed...
View ArticleClik here to view.
CVE-2014-0166 WordPress 偽造 Cookie 弱點
前言在一陣 OpenSSL Heartbleed 淘金潮中,又有一個技術門檻低、後果嚴重、也同樣需要些運氣的漏洞被揭發-CVE-2014-0166。CVE-2014-0166 是 WordPress 上面驗證登入 cookie 的弱點,攻擊者可以暴力偽造出合法 cookie,藉此獲得 WordPress 最高權限,進而拿到 shell 取得系統操作權。...
View ArticleClik here to view.
PHP 官網原始碼讀取案例
不安全的引用物件 (Insecure Direct Object Reference)是個非常常見的資安漏洞,在 OWASP公布的十大網站應用程式安全漏洞中高居第四名。通常發生在網站應用程式上沒有針對輸入的參數做好檢查,就把參數丟入 include 或 readfile 等函數當中引用,使得攻擊者可以藉此存取任意文件的原始碼。今天這個案例就發生在 PHP 的官方網站...
View ArticleClik here to view.
Zone Transfer CVE-1999-0532 - 古老的 DNS 資安議題
前言DNS是在 1983 年由 Paul Mockapetris 所發明,相關規範分別在 RFC 1034以及 RFC 1035。其主要作用是用來記憶 IP 位址與英文之間的對應關係,讓人類可以用較簡單的方式記得主機名稱。目前一般民眾大多使用 ISP 或國際知名公司提供的 DNS server,如中華的 168.95.1.1 或是 Google 的 8.8.8.8...
View ArticleClik here to view.
搶搭核四與服貿熱潮的潛在詐騙網站
vote.tw.am最近很多人都收到了一個看起來很像釣魚網站的核四投票站台簡訊,如下圖:我們也收到了,但是剛吃飽飯實在很想睡覺,不太想理他,於是就忍不住趴下睡覺,竟然做了個夢…..站台內容在夢中手滑打開了網頁,內容長得像這個樣子:看了真是非常的義憤填膺!馬上就想投下神聖的一票!但是忽然聽到周公指示說網站底下有奇怪的目錄,照著神諭一試,發現有 .svn 目錄跟 entries...
View ArticleClik here to view.
LINE 免費貼圖釣魚訊息分析
晚上突然接到社群朋友傳 LINE 的訊息過來,定睛一看並不單純。這網址看起來就是釣魚網站啊?怎麼會這樣呢?難道是朋友在測試我們的警覺心夠不夠嗎?讓我們看下去這個釣魚網頁怎麼玩。此 LINE 釣魚訊息說只要幫忙轉發 15 次訊息,就會贈送貼圖。先不論 LINE...
View ArticleClik here to view.
HTTP Session 攻擊與防護
前言大家還記得四月份的 OpenSSL Heartbleed事件嗎?當時除了網站本身以外,受害最嚴重的就屬 VPN Server 了。國內外不少駭客不眠不休利用 Heartbleed 漏洞竊取 VPN Server 的管理者 Session Cookie,運氣好的話就可以直接登入大企業的內網。但是,其實這樣的風險是可以避免的,今天我們以開發者的角度來談談 Session 的攻擊與防護。什麼是...
View ArticleClik here to view.
OpenSSL 再爆嚴重漏洞,部分重要網站仍在風險中!
(本篇最後更新時間:2014.6.9 15:40 pm)OpenSSL 團隊於 6/5 修補了六項安全漏洞,SANS在這篇文章中整理了這幾個漏洞的摘要,這裡截圖表格如下:其中 CVE-2014-0224、CVE-2014-0195 兩項被列為 Critical,我們分別來看看這兩個弱點到底造成了什麼危害。CVE-2014-0224 (CCS Injection...
View ArticleClik here to view.
HttpOnly - HTTP Headers 的資安議題 (3)
上次我們提到了 Content-Security-Pilicy,這次我們來聊聊同樣是為了防禦 XSS 而生的另一個技術。HttpOnly 簡介Cookie 的概念雖然早在 1994 年就由 Netscape 的工程師 Montulli 提出,但當時仍未有完善的防護機制,像是 HttpOnly、Secure 等規範都是後來陸續被提出,直到 2011 年 4 月才在 RFC 6265中正式定案。而其中的...
View ArticleClik here to view.
Zone Transfer Statistics of Alexa Top 1 Million
Zone Transfer 世界大揭秘還記得在上一篇文章 Zone Transfer CVE-1999-0532 - 古老的 DNS 資安議題中我們曾提到,若對全世界的網站進行 zone transfer 檢測恐怕會有更多驚人的案例嗎?正好 Alexa 提供了全球排名前一百萬名的網站資料,我們就以這份資料為基礎來做一些統計吧!有問題的 domain 總數與比例79133,約佔所有受測目標的...
View ArticleClik here to view.
如何正確的取得使用者 IP?
很多網站都會有偵測使用者 IP 的功能,不管是判斷使用者來自哪邊,或者是記錄使用者的位置。但是你知道嗎?網路上大多數的教學全部都是「錯誤」的。正確的程式寫法可以確保知道訪客的 IP,但是錯誤的寫法卻可能讓網站管理者永遠不知道犯罪者的來源。這次我們單就偵測 IP 的議題來探討各種錯誤的寫法。你知道網路上的教學是不安全的嗎?我們先來看一下網路上的教學,讓我們 Google 找一下「PHP 取得...
View ArticleClik here to view.
Apple ID 釣魚郵件案例
今天又有不怕死的人寄來釣魚信了,這次是騙取 Apple ID。讓我們來看看這封信,其中內容有非常多破綻,也已經被 Gmail 直接定為 Spam...
View ArticleClik here to view.
設備不良設定帶來的安全風險:以 WAF 為例
過去談到網站安全,通常會使用防火牆或 IDS 進行防護。但近年來網站安全議題都是以網頁應用程式的漏洞居多,無法單靠防火牆阻擋。以 OWASP Top 10 2013 的第一名 Injection 而言,多半是程式撰寫方法不嚴謹所造成,因此才有了網頁應用程式防火牆 (Web Application Firewall, WAF) 的出現。有了 WAF...
View Article