親子日記APP
|
免費申請
|
登入
mini box 迷你盒子
這裡是工程師的筆記資料.
部落格
相簿
APP日記
書籤
標籤:
security
的相關文章
瀏覽方式:
摘要列表
|
標題列表
|
全站 《security》 相關
iPhone 漏洞 (Pegasus 、Triangulation)
2023
12
29
17:02
兩年前的 Pegasus 飛馬間諜軟體, 以色列 NSO Group 開發 能夠讀取簡訊、跟蹤通話、收集密碼、追蹤位置、 iPhone 麥克風和攝像頭 不過攻擊的成本很高,多用來對付黨政軍重要人士... 一般民眾被駭的機率不高 據說有 5 萬人遭駭,18個記者、異議人士、維權人士、企業家,600多政府高官,包含法國總統馬克宏 https://en.wikipedia.org/wiki/Pegasus_(spyware) NSO Group 飛馬間諜軟體鑑識報告 A deep dive into an NSO zero-click iMessage exploit: Remote Code Execution 這篇是 google 研究員的詳細分析 ...
繼續閱讀»
分類:
security
/
留言(1)
Content-security-policy 範例
2022
11
17
11:08
CSP
content-security-policy
主要是用於阻擋 Cross-Site Scripting (XSS) 攻擊
可以要求瀏覽器是否允許那些網域的 css/js 可以使用、inline js/css 能否使用
看範例 Yahoo 股市的 CSP 完整 content-security-policy-report-only: connect-src 'sel...
繼續閱讀»
分類:
web開發
/
留言(0)
資安相關的搜尋網站/工具
2022
11
09
09:19
LeakIX https://leakix.net/ 這個比較恐怖,可以查到 server 上有哪些服務有漏洞 例如那些 server 有未加密的 elasticsearch 資料庫、phpinfo() 資訊洩漏、Apache httpd Status 資訊洩漏... shodan https://www.shodan.io/ 可以查詢網路上各主機的公開資訊 ONYPHE https://www.onyphe.io/ 搜尋 server 資訊 https://fofa.info/ 簡中,需登入 跟 shodan很像 IVRE https://ivre.rocks/ IVRE is an open-source framewor...
繼續閱讀»
分類:
網路服務
/
留言(0)
Apache Httpd SSL/TLS , SWEET32
2022
10
25
16:40
SWEET32生日攻擊 檢測方式: 用 nmap 掃描,若有問題 會有 warnings 提示: nmap --script ssl-enum-ciphers -p 443 "www.xxxx.com.tw" Starting Nmap 7.70 ( https://nmap.org ) at 2023-12-07 13:49 CST Nmap scan report for www.xxxx.com.tw (60.251.xx.x...
繼續閱讀»
分類:
security
/
留言(0)
Web Security:護國神山要求的網站安全設定 HSTS、XSS、Content-Security-Policy ...
2022
06
13
19:15
據說某護國神山會要求協力廠商達到一定程度資安標準 甚至針對協力廠商,給出資安掃描報告 (全球首個半導體資安標準SEMI E187出爐,台積電與工研院號召臺灣多家半導體與資安業者制定與推動,臺灣制定國際標準新突破) 針對網站,神山公司所要求常見資安問題 (常常容易被忽略的):
HSTS,HTTP Strict Transport Security 就是訪客輸入 http 網址時,瀏覽器會自動轉到 https 注意: 第一次瀏覽本網站時,瀏覽器收到 Strict-Transport-Security 這個 header 會記錄下來 往後再瀏覽本網站時,是瀏覽器自己將 http 轉成 https,而不是 server 端幫你轉為 https p...
繼續閱讀»
分類:
security
/
留言(1)
Apache log4j 漏洞,非常嚴重 世紀大漏洞
2021
12
21
15:11
Apache Log4j 漏洞編號 CVE-2021-44228
命名「 Log4Shell」
風險等級 10 分 (最嚴重的 10分)
最白話的方式解釋 log4j 漏洞: 從監視攝影機理解 Log4j 跟 Log4Shell 漏洞 (cymetrics.io) 那些軟體有 log4j 漏洞 幾乎有名有姓的網路公司、軟體公司都有此問題
如麥塊minecr...
繼續閱讀»
分類:
security
/
留言(0)
各國 IPv4 網段分配資料
2021
11
29
14:07
https://zh.wikipedia.org/wiki/各國IPv4位址分配列表
這裡可下載完整的各國 IP 分配表: (3MB+)
http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest
若要查詢某國家 IP 的範圍: 下載全部資料: $ wget http://ftp.apnic.net/apni...
繼續閱讀»
分類:
網路服務
/
留言(0)
7/15 twitter 多位名人帳號被貼詐騙訊息
2020
08
05
09:00
7/15 多位名人的 twitter 帳號被駭,被貼上詐騙訊息
包含美國前總統歐巴馬(Barack Obama)、民主黨總統候選人拜登(Joe Biden)、亞馬遜老闆貝佐斯(Jeff Bezos)、特斯拉老闆馬斯克(Elon Musk)、微軟公司共同創辦人比爾蓋茲Bill Gates、股神巴菲特(Warren Buffett)....
嫌犯三人,17~22歲
大致犯案流程:
=> 駭入 ...
繼續閱讀»
分類:
security
/
留言(1)
SQL Injection: http header
2019
03
08
10:34
偽造 http header 內的資料來做 SQL injection
X Forwarded for SQL injection
大致就是
若有類似的查詢:
SELECT username, password FROM users-data WHERE username='".sanitize($_POST['username'])."'
AND pass...
繼續閱讀»
留言(1)
一句話木馬 簡單偵測
2018
12
06
11:52
各種 PHP【一句話木馬】
<?php eval($_POST[g]);?> <?php $aa = str_replace(x,"","axsxxsxexrxxt"); $aa($_POST["test"]); ?> 例如: <?php function fo(){ //do someth...
繼續閱讀»
分類:
php
/
留言(0)
上一頁
1
2
下一頁
HSTS,HTTP Strict Transport Security 就是訪客輸入 http 網址時,瀏覽器會自動轉到 https 注意: 第一次瀏覽本網站時,瀏覽器收到 Strict-Transport-Security 這個 header 會記錄下來 往後再瀏覽本網站時,是瀏覽器自己將 http 轉成 https,而不是 server 端幫你轉為 https p...