Rails 動態樣板路徑的風險
Shaolin
2015-07-24OWASP 是說,如果你的樣板路徑是動態產生的,而且使用者可以控制那個樣板路徑,那麼使用者就可以讀取到任意樣板,包含管理介面的樣板。這樣的描述感覺還好,但就我們的發現,這其實是更嚴重的直接存取物件問題(Insecure Direct Object References),甚至有機會造成遠端命令執行(Remote Code Execution),怎麼說呢?我們直接看下去。
所有文章
第 7 頁,共 9 頁
技術專欄
#Rails #Vulnerability #RCE #IDOR
技術專欄
#Cookie #Session #Defense #Vulreport
談 Cookie 認證安全-以宏碁雲端售票為例
Shaolin
2015-01-30由於 Cookie 存在瀏覽器端,有被竄改的可能,所以如果網站使用 Cookie 認證就會有一些安全上的風險。本篇就以宏碁雲端售票為例,說明這種小疏忽可能會造成被盜用帳號的風險。
科普文章
#infoleak #Defense #HTTP Header #Cashflow
從寬宏售票談資安
Shaolin
2015-01-09在使用最近熱門的寬宏售票網站時,我們發現網頁原始碼存在一些疑似密碼的資訊。從這件事情出發,我們分別延伸探討了兩個工程師應該注意的議題:分別是金流串接常見的弱點以及駭客的心理。
技術專欄
#Mobile #Android #WebView #UXSS
Android WebView 為你的使用者打開了漏洞之門你知道嗎?
Anfa Sam
2014-10-13廣為 Android 開發者所使用的 WebView,在你打開了 JavaScript 功能的時候,背後一些由於系統漏洞而引發出來意想不到的風險卻有機會由此而生你知道嗎?我們在下面的文章為大家對這些風險漏洞做個整理。
技術專欄
#CVE #Shell #Vulnerability
Shellshock (Bash CVE-2014-6271) 威脅仍在擴大中,但無需過度恐慌
Shaolin
2014-09-30Shellshock 是今年來第二波掏金潮,相較於上次 Heartbleed 駭客們的刮刮樂遊戲需要拼運氣,這次的 Shellshock 只要一發現利用點,就能馬上擁有基本的系統操作權限
技術專欄
#IP Camera #CVE #Statistics #IoT
網路攝影機、DVR、NVR 的資安議題 - 你知道我在看你嗎?
Bowen Hsu
2014-09-24網路攝影機 (IP Camera) 與 NVR 是許多企業與家庭都會採購的設備,但鮮少有人關注此類設備的資安議題,殊不知此類設備從 2013 年起已逐漸成為駭客的獵物...
科普文章
#Defense #infoleak #SVN #OpenSSL #IoT
被遺忘的資訊洩漏-重點回顧
Shaolin
2014-08-26資訊洩漏是十幾年前就被一提再提的議題,在資訊安全領域中也是最最最基本該注意的事情,然而至今很多網站都還是忽略它,甚至連一些熱門網站都仍有資訊洩漏問題。來看看資訊洩漏到底影響什麼...
技術專欄
#Mobile #Android #iOS #SSL #MITM
手機應用程式開發上被忽略的 SSL 處理
Anfa Sam
2014-08-15在手機應用程式上,使用 HTTPS 連線來保護敏感訊息的傳遞是甚為重要的一環。但許多手機應用程式開發商在這個部分並沒有妥善處理好,以下我們就幾個常見的成因做基本的探討。
技術專欄
#WAF #Proxy #HTTP Header #Defense
設備不良設定帶來的安全風險:以 WAF 為例
Ding
2014-07-18有了 WAF 設備就是萬靈丹了嗎?若沒有資安人員妥善的針對需求設定、調整架構,很可能反而因為資安設備而帶來風險。本文將以 WAF 為例,探討不良設定的設備帶來的危害。
