親子日記APP
|
免費申請
|
登入
mini box 迷你盒子
這裡是工程師的筆記資料.
部落格
相簿
APP日記
書籤
目前分類:「
security
」的相關文章
瀏覽方式:
摘要列表
|
標題列表
iPhone 漏洞 (Pegasus 、Triangulation)
2023
12
29
17:02
兩年前的 Pegasus 飛馬間諜軟體, 以色列 NSO Group 開發 能夠讀取簡訊、跟蹤通話、收集密碼、追蹤位置、 iPhone 麥克風和攝像頭 不過攻擊的成本很高,多用來對付黨政軍重要人士... 一般民眾被駭的機率不高 據說有 5 萬人遭駭,18個記者、異議人士、維權人士、企業家,600多政府高官,包含法國總統馬克宏 https://en.wikipedia.org/wiki/Pegasus_(spyware) NSO Group 飛馬間諜軟體鑑識報告 A deep dive into an NSO zero-click iMessage exploit: Remote Code Execution 這篇是 google 研究員的詳細分析 ...
繼續閱讀»
分類:
security
/
留言(1)
筆記:SSL/TLS wildcard CSR 產生方式
2023
10
01
16:43
要製作 wildcard CSR 檔案 (Certificate Signing request,憑證簽署要求)
方式跟一般網址一樣
差別在 Common Name 要輸入 *.abcde.com
$ openssl genrsa -out abcde.com.key Generating RSA private key, 2048 bit long modulus .....+++ ...........
繼續閱讀»
分類:
security
/
留言(0)
Apache Httpd SSL/TLS , SWEET32
2022
10
25
16:40
SWEET32生日攻擊 檢測方式: 用 nmap 掃描,若有問題 會有 warnings 提示: nmap --script ssl-enum-ciphers -p 443 "www.xxxx.com.tw" Starting Nmap 7.70 ( https://nmap.org ) at 2023-12-07 13:49 CST Nmap scan report for www.xxxx.com.tw (60.251.xx.x...
繼續閱讀»
分類:
security
/
留言(0)
Web Security:護國神山要求的網站安全設定 HSTS、XSS、Content-Security-Policy ...
2022
06
13
19:15
據說某護國神山會要求協力廠商達到一定程度資安標準 甚至針對協力廠商,給出資安掃描報告 (全球首個半導體資安標準SEMI E187出爐,台積電與工研院號召臺灣多家半導體與資安業者制定與推動,臺灣制定國際標準新突破) 針對網站,神山公司所要求常見資安問題 (常常容易被忽略的):
HSTS,HTTP Strict Transport Security 就是訪客輸入 http 網址時,瀏覽器會自動轉到 https 注意: 第一次瀏覽本網站時,瀏覽器收到 Strict-Transport-Security 這個 header 會記錄下來 往後再瀏覽本網站時,是瀏覽器自己將 http 轉成 https,而不是 server 端幫你轉為 https p...
繼續閱讀»
分類:
security
/
留言(1)
Apache log4j 漏洞,非常嚴重 世紀大漏洞
2021
12
21
15:11
Apache Log4j 漏洞編號 CVE-2021-44228
命名「 Log4Shell」
風險等級 10 分 (最嚴重的 10分)
最白話的方式解釋 log4j 漏洞: 從監視攝影機理解 Log4j 跟 Log4Shell 漏洞 (cymetrics.io) 那些軟體有 log4j 漏洞 幾乎有名有姓的網路公司、軟體公司都有此問題
如麥塊minecr...
繼續閱讀»
分類:
security
/
留言(0)
網站安全/弱點、漏洞掃描工具
2021
01
12
15:14
幾款免費的網站弱點掃描軟體 sqlmap https://github.com/sqlmapproject/sqlmap 免費 命令列執行 (無視窗介面) python 撰寫,主要針對網站的 SQL Injection 問題掃描 這個是最常被使用的掃描工具,一些漏洞回報網站常可看到回報者使用這套程式掃到 SQL Injection 問題,如 HITCON ZeroDay
OpenDoor https://github.com/stanislav-web/OpenDoor 免費 命令列執行 (無視窗介面) python 撰寫, OpenDoor OWASP is console ...
繼續閱讀»
分類:
security
/
留言(0)
7/15 twitter 多位名人帳號被貼詐騙訊息
2020
08
05
09:00
7/15 多位名人的 twitter 帳號被駭,被貼上詐騙訊息
包含美國前總統歐巴馬(Barack Obama)、民主黨總統候選人拜登(Joe Biden)、亞馬遜老闆貝佐斯(Jeff Bezos)、特斯拉老闆馬斯克(Elon Musk)、微軟公司共同創辦人比爾蓋茲Bill Gates、股神巴菲特(Warren Buffett)....
嫌犯三人,17~22歲
大致犯案流程:
=> 駭入 ...
繼續閱讀»
分類:
security
/
留言(1)
CVE-2019-11043 PHP-FRM 遠端程式漏洞
2019
10
25
08:47
https://bugs.php.net/bug.php?id=78599
檢測方式: https://github.com/neex/phuip-fpizdam https://qiita.com/shimizukawasaki/items/39d68a7c658dfa50263d?from=timeline&isappinstalled=0
https://dylan903.coding.me/2019/10/23/php-fp...
繼續閱讀»
分類:
security
/
留言(0)
有關史諾登、國安、電腦安全相關的新聞....
2013
11
06
15:48
綜合最近一些有關史諾登、國安、電腦安全相關的新聞 連一堆總統、總理都逃不過被監聽.... 真是恐怖! 美傳監聽莫克 國安局:歐巴馬不知情 2013-10-28 【陳家齊 周佩萱╱綜合外電報導】德國《明鏡周刊》26日報導,美國國家安全局(NSA)早在2002年就把德國總理莫克的手機電話納入「特別情蒐任務」的監聽名單,透過美國大使館的監聽站竊聽,直到今年6月歐巴馬訪問德國之前的數周,莫克仍在監聽名單中。德國《周日畫報》27日報導則指出,美國國安局在2010年就曾向歐巴馬簡報監控莫克的行動,但歐巴馬沒有叫停這項任務。 美NSA再爆 駭侵雅虎、Google近2億使用者 2013-10-30 〔編譯俞智敏/綜合報導〕華盛頓郵報十月三十日引述美國國家安全局(NSA)前包商雇員史諾頓提供...
繼續閱讀»
分類:
security
/
留言(1)
HSTS,HTTP Strict Transport Security 就是訪客輸入 http 網址時,瀏覽器會自動轉到 https 注意: 第一次瀏覽本網站時,瀏覽器收到 Strict-Transport-Security 這個 header 會記錄下來 往後再瀏覽本網站時,是瀏覽器自己將 http 轉成 https,而不是 server 端幫你轉為 https p...
OpenDoor https://github.com/stanislav-web/OpenDoor 免費 命令列執行 (無視窗介面) python 撰寫, OpenDoor OWASP is console ...