Zone Transfer 是一項常見的 DNS 設定,也是目前常見的 DNS 資安問題之一。企業在自行架設 DNS 服務之餘往往忽略了 DNS 服務有許多需注意的資安環節。本篇將為大家介紹 Zone Transfer 的檢測方式以及實質影響。
本次的案例剖析,我們來看看 PHP 官方網站。PHP 網站這幾天被揭露嚴重安全漏洞,導致攻擊者可直接讀取網站原始碼。雖說官方表示這是 feature 不是 bug,但對我們開發者而言是個非常好的借鏡!
CVE-2014-0166 是 WordPress 上面驗證登入 cookie 的弱點,攻擊者可以暴力偽造出合法 cookie,藉此獲得 WordPress 最高權限,進而拿到 shell 取得系統操作權。
OpenSSL CVE-2014-0160 Heartbleed 漏洞你聽過嗎?你知道攻擊是怎麼發生的嗎?我們整理了一些大眾向我們詢問的問題,像是攻擊方式、防禦方式等。號稱本年度最嚴重的漏洞,已經不容你再度錯過。
OpenSSL 出現極嚴重漏洞 CVE-2014-0160,被稱為 Heartbleed。究竟是什麼漏洞嚴重到要稱為「心臟出血」呢?我的伺服器也跟著出血了嗎?越重要的函式庫越可能含有意想不到的嚴重漏洞,讓我們來看看這次 OpenSSL 出了什麼包!
Content-Security-Policy 主要目的是用來防止 Cross-Site Scripting (XSS) 跟網頁樣式置換,本文將介紹 Content-Security-Policy 的使用方式、實際使用案例、常見誤用案例。
你收過釣魚信件嗎?電子郵件已經是目前常見的攻擊管道,除了惡意郵件、病毒信、釣魚信等,更有社交工程等攻擊手法。本文將分析一個簡單的 Google 帳號釣魚案例,希望大家能多防範此類攻擊!
使用第三方套件節省開發時間,已經是整個資訊產業的慣例。但很多人可能不知道,使用第三方套件到底需要擔負多大的資安風險。你確定你用的套件是安全無虞的嗎?是否有經過嚴謹的安全測試?若有安全漏洞引爆,是否有廠商可以負責維護修補?這些都是在使用之前必須要考慮的。本文將以案例探討第三方套件的安全性,並且提出企業該有的應對措施。
企業主與開發人員越來越重視資安卻常不知該如何著手,戴夫寇爾將於本文多項資安相關的 HTTP headers,以低成本方式強化網站安全性。
廣告網站為了增加廣告曝光度以及點擊率,使用各種複雜多變的手法顯示廣告。戴夫寇爾將於本文分析奇優廣告 Qiyou 是如何利用 JavaScript 控制滑鼠事件顯示廣告。