Clik here to view.
Google 帳號釣魚案例
最近身邊的朋友不斷的收到 Gmail 中 Google 的警告:駭客間的戰爭已經不只是個人對個人,而已經擴大成國家對國家。一個國家為了獲取他國的機密文件、情報、個人資料等,都會想盡各種辦法入侵帳號、寄送惡意郵件、釣魚盜取密碼等。而身為受害者的我們能做什麼呢?Google 官方提出的建議是:加強密碼安全、注意登入 IP...
View ArticleClik here to view.
Content-Security-Policy - HTTP Headers 的資安議題 (2)
Content-Security-Policy還記得在上一篇 HTTP headers 的資安議題 (1)文章中,我們提到了多種資安相關的 HTTP headers 嗎?接下來的幾篇文章我們會介紹幾個專門對付 XSS 的 HTTP headers,首先就由 Content-Security-Policy 打頭陣。Content-Security-Policy(以下簡稱 CSP)是從 2010...
View ArticleClik here to view.
OpenSSL CVE-2014-0160 Heartbleed 嚴重漏洞
OpenSSL CVE-2014-0160 嚴重漏洞OpenSSL 今天公告了一個極度嚴重的漏洞(CVE-2014-0160),被稱為「Heartbleed」,而他確實也如同心臟噴出血般嚴重。這個漏洞能讓攻擊者從伺服器記憶體中讀取 64 KB 的資料,利用傳送 heartbeat 的封包給伺服器,在封包中控制變數導致 memcpy...
View ArticleClik here to view.
OpenSSL Heartbleed 全球駭客的殺戮祭典,你參與了嗎?
你跟上了 OpenSSL Heartbleed 的祭典了嗎?如果還沒有,別忘記詳細閱讀一下我們的前文「OpenSSL CVE-2014-0160 Heartbleed 嚴重漏洞」。這幾天不少企業、民眾都不斷來詢問我們相對應的解決方案:Heartbleed 跟我有關嗎?我該怎麼知道?我該怎麼更新 OpenSSL?我如果不能更新,要怎麼防止攻擊?Heartbleed...
View ArticleClik here to view.
CVE-2014-0166 WordPress 偽造 Cookie 弱點
前言在一陣 OpenSSL Heartbleed 淘金潮中,又有一個技術門檻低、後果嚴重、也同樣需要些運氣的漏洞被揭發-CVE-2014-0166。CVE-2014-0166 是 WordPress 上面驗證登入 cookie 的弱點,攻擊者可以暴力偽造出合法 cookie,藉此獲得 WordPress 最高權限,進而拿到 shell 取得系統操作權。...
View ArticleClik here to view.
PHP 官網原始碼讀取案例
不安全的引用物件 (Insecure Direct Object Reference)是個非常常見的資安漏洞,在 OWASP公布的十大網站應用程式安全漏洞中高居第四名。通常發生在網站應用程式上沒有針對輸入的參數做好檢查,就把參數丟入 include 或 readfile 等函數當中引用,使得攻擊者可以藉此存取任意文件的原始碼。今天這個案例就發生在 PHP 的官方網站...
View ArticleClik here to view.
Zone Transfer CVE-1999-0532 - 古老的 DNS 資安議題
前言DNS是在 1983 年由 Paul Mockapetris 所發明,相關規範分別在 RFC 1034以及 RFC 1035。其主要作用是用來記憶 IP 位址與英文之間的對應關係,讓人類可以用較簡單的方式記得主機名稱。目前一般民眾大多使用 ISP 或國際知名公司提供的 DNS server,如中華的 168.95.1.1 或是 Google 的 8.8.8.8...
View ArticleClik here to view.
搶搭核四與服貿熱潮的潛在詐騙網站
vote.tw.am最近很多人都收到了一個看起來很像釣魚網站的核四投票站台簡訊,如下圖:我們也收到了,但是剛吃飽飯實在很想睡覺,不太想理他,於是就忍不住趴下睡覺,竟然做了個夢…..站台內容在夢中手滑打開了網頁,內容長得像這個樣子:看了真是非常的義憤填膺!馬上就想投下神聖的一票!但是忽然聽到周公指示說網站底下有奇怪的目錄,照著神諭一試,發現有 .svn 目錄跟 entries...
View ArticleClik here to view.
LINE 免費貼圖釣魚訊息分析
晚上突然接到社群朋友傳 LINE 的訊息過來,定睛一看並不單純。這網址看起來就是釣魚網站啊?怎麼會這樣呢?難道是朋友在測試我們的警覺心夠不夠嗎?讓我們看下去這個釣魚網頁怎麼玩。此 LINE 釣魚訊息說只要幫忙轉發 15 次訊息,就會贈送貼圖。先不論 LINE...
View ArticleClik here to view.
HTTP Session 攻擊與防護
前言大家還記得四月份的 OpenSSL Heartbleed事件嗎?當時除了網站本身以外,受害最嚴重的就屬 VPN Server 了。國內外不少駭客不眠不休利用 Heartbleed 漏洞竊取 VPN Server 的管理者 Session Cookie,運氣好的話就可以直接登入大企業的內網。但是,其實這樣的風險是可以避免的,今天我們以開發者的角度來談談 Session 的攻擊與防護。什麼是...
View ArticleClik here to view.
OpenSSL 再爆嚴重漏洞,部分重要網站仍在風險中!
(本篇最後更新時間:2014.6.9 15:40 pm)OpenSSL 團隊於 6/5 修補了六項安全漏洞,SANS在這篇文章中整理了這幾個漏洞的摘要,這裡截圖表格如下:其中 CVE-2014-0224、CVE-2014-0195 兩項被列為 Critical,我們分別來看看這兩個弱點到底造成了什麼危害。CVE-2014-0224 (CCS Injection...
View ArticleClik here to view.
HttpOnly - HTTP Headers 的資安議題 (3)
上次我們提到了 Content-Security-Pilicy,這次我們來聊聊同樣是為了防禦 XSS 而生的另一個技術。HttpOnly 簡介Cookie 的概念雖然早在 1994 年就由 Netscape 的工程師 Montulli 提出,但當時仍未有完善的防護機制,像是 HttpOnly、Secure 等規範都是後來陸續被提出,直到 2011 年 4 月才在 RFC 6265中正式定案。而其中的...
View ArticleClik here to view.
Zone Transfer Statistics of Alexa Top 1 Million
Zone Transfer 世界大揭秘還記得在上一篇文章 Zone Transfer CVE-1999-0532 - 古老的 DNS 資安議題中我們曾提到,若對全世界的網站進行 zone transfer 檢測恐怕會有更多驚人的案例嗎?正好 Alexa 提供了全球排名前一百萬名的網站資料,我們就以這份資料為基礎來做一些統計吧!有問題的 domain 總數與比例79133,約佔所有受測目標的...
View ArticleClik here to view.
如何正確的取得使用者 IP?
很多網站都會有偵測使用者 IP 的功能,不管是判斷使用者來自哪邊,或者是記錄使用者的位置。但是你知道嗎?網路上大多數的教學全部都是「錯誤」的。正確的程式寫法可以確保知道訪客的 IP,但是錯誤的寫法卻可能讓網站管理者永遠不知道犯罪者的來源。這次我們單就偵測 IP 的議題來探討各種錯誤的寫法。你知道網路上的教學是不安全的嗎?我們先來看一下網路上的教學,讓我們 Google 找一下「PHP 取得...
View ArticleClik here to view.
Apple ID 釣魚郵件案例
今天又有不怕死的人寄來釣魚信了,這次是騙取 Apple ID。讓我們來看看這封信,其中內容有非常多破綻,也已經被 Gmail 直接定為 Spam...
View ArticleClik here to view.
設備不良設定帶來的安全風險:以 WAF 為例
過去談到網站安全,通常會使用防火牆或 IDS 進行防護。但近年來網站安全議題都是以網頁應用程式的漏洞居多,無法單靠防火牆阻擋。以 OWASP Top 10 2013 的第一名 Injection 而言,多半是程式撰寫方法不嚴謹所造成,因此才有了網頁應用程式防火牆 (Web Application Firewall, WAF) 的出現。有了 WAF...
View ArticleClik here to view.
手機應用程式開發上被忽略的 SSL 處理
在網路上傳輸敏感資訊時,通常會使用 HTTPS 協定,讓客戶端與伺服器端對資料進行 SSL 加密處理,以降低資料在傳輸過程中被監聽或中間人攻擊的風險。HTTPS 的重要性逐漸被重視,Google 除了預設開啟 HTTPS 之外,未來更會將 HTTPS 的網站搜尋排名加分。但為了確保傳輸的安全,過程中客戶端會核對伺服器的憑證鏈 (certificate chain)...
View ArticleClik here to view.
被遺忘的資訊洩漏-重點回顧
前言在今年駭客年會企業場,我們分享了一場『被遺忘的資訊洩漏』。資訊洩漏是十幾年前就被一提再提的議題,在資訊安全領域中也是最最最基本該注意的事情,然而至今很多網站都還是忽略它,甚至連一些熱門網站都仍有資訊洩漏問題。議程中我們舉了大量的例子證明資訊洩漏其實可以很嚴重,希望能幫大家複習一下,如果網站沒有注意這些,會造成什麼樣的後果。議程投影片如下所示,就讓我們來總結一下吧!DEVCORE...
View ArticleClik here to view.
網路攝影機、DVR、NVR 的資安議題 - 你知道我在看你嗎?
網路攝影機的普及率在近幾年來持續攀升,除了老人與幼兒居家照護、企業室內監控等需求迅速增加之外,結合手機應用程式讓人可隨時隨地觀看影像的方便性也成為普及的原因。當大家還以為黑帽駭客的目標仍然是網站、個人電腦時,已經有許多攻擊者悄悄地將目標轉向了各種物連網設備,例如 NAS、Wireless AP、Printer...
View ArticleClik here to view.
Shellshock (Bash CVE-2014-6271) 威脅仍在擴大中,但無需過度恐慌
自 9/24 以來,不少資訊圈朋友日以繼夜的忙碌,這都多虧了藏在 Bash 裡 22 年的安全漏洞-Shellshock (Bash CVE-2014-6271)。對於惡意攻擊者而言,這是今年來第二波淘金潮,相較於上次 Heartbleed駭客們的刮刮樂遊戲需要拼運氣,這次的 Shellshock 只要一發現利用點,就能馬上擁有基本的系統操作權限,也難怪 NVD給予 Shellshock 最嚴重的...
View Article