網路上有些文章會教學員在安裝完 SQL Server 後,一併打開 TCP Port 1433,但若主機有對 Internet,且系統和 SQL Server 同一台,這反而是個很危險的行為。
[Security] 雜湊不是加密,雜湊不是加密,雜湊不是加密。
在標題上連續寫三次,實在是因為太多人把雜湊當加密看待,不只是錯得離譜,還有可能會害到客戶。
[SQL Server][Security] 你認為偷懶的方法卻是最安全的方法
昨天有個自稱 ASP.NET Web Form 界最強的大作者,寫了一篇文章,裡面說使用 Windows 驗證連線資料庫是最不建議的作法,但這只是凸顯該大作者一點都不懂資訊安全的其中一個點而己,殊不知他認為的最不建議的作法,卻是 Microsoft 官方最建議的作法。
[ASP.NET][Security] Covert Redirect Vulnerability
- 5296
- 0
- ASP.NET - Web API
Covert Redirect 是由新加坡南洋科技大學的博士生王靜 (Jing Wang) 所發現的,它是一個在 OAuth 2.0 與 Open ID 驗證之間的一個弱點 (vulnerability),有使用過 OAuth 協定的開發人員應該會有印象,就是 Web 應用要使用 OAuth 2.0 做驗證與授權時,都要給它一個 redirect_uri 的參數,作為接取 code 以作為二次驗證的網址,Covert Redirect 弱點就是利用這個機會來進行攻擊...
[Windows Azure][IT鐵人賽系列] Day 29 - Cloud Security
- 3260
- 0
- Cloud Computing
本文將會對雲端的安全議題做一概覽性的介紹,因為雲端運算會涉及的安全議題多且廣,所以無法太細部的介紹,如果對某些議題有興趣,可參考相關的資訊安全書籍。
[Windows Azure][IT鐵人賽系列] Day 26 - SQL Azure Security Management
- 3081
- 0
- Cloud Computing
SQL Azure的安全性可以分為兩個部份,一個是防火牆設定,另一個則是帳戶的管理與授權設定。
[Security] HTTP 動詞竄改弱點 (HTTP Verb Tampering)
這是今天有位朋友在 MSN 上問的一個問題,因為我也是第一次看到這個名詞,所以我也上網查了一下,在 Arshan Dabirsiaghi 於 2008 年所發表的 "Bypassing Web Authentication and Authorization with HTTP Verb Tampering" 論文中提到這樣的弱點,但早在 2004 年 Kernelpanik Lab 就已經有研究報告提出這個弱點,主要的原因是在 Web Server 或 Web Application 或 HTTP Endpoint 中,沒有針對 HTTP 動詞 (verb) 去做存取控制所致。
[ASP.NET] ASP.NET 零時差攻擊 – POET 原理與防禦措施
- 15281
- 0
- ASP.NET - Web Forms and Core Development
- 2010-09-29
2010/9/18,由Scott Guthrie在blog上發表的一篇Important: ASP.NET Security Vulnerability的文章,點燃了ASP.NET應用程式的安全防護戰爭,因為受影響的範圍遍及ASP.NET 1.0-4.0所有的應用程式,讓使用ASP.NET開發應用程式的開發人員無一不陷入資訊安全的恐懼之中,在9/18日起的幾天內,許多與ASP.NET技術有關的blog都發出了這個安全性警告,因為這個漏洞在公布的同時,攻擊程式就已經在網路上出現了,這是資安所稱的零時差攻擊(Zero-Attack),零時差攻擊最大的特色就是在系統被修補之前,就有很高的機率被攻擊程式所攻擊(甚至攻陷),因此這個漏洞會在這麼短的時間內受到關注,是有其原因的。
- 1