HTTP Request/Response駭客跟我們想的不一樣 這篇文章主要針對 HTTP 基本的 Request/Response 介紹, 以及駭客會如何利用這些資訊還有基本的測試工具 Browser Developer Tools (F12) 可以利用瀏覽器的 F12 功能,舉 Chrome 為例 F12 >…
Web Security
有 Https 就安全了嗎?
有 Https 就安全了嗎? 由於2014年許多 SSL 的漏洞被發現,SSL被廣泛的應用在 HTTPS 的網路資料傳輸。這篇文章主要說明網站在佈署HTTPS可能會遇到的潛在風險,注意事項、如何線上自我檢測的簡單方法與佈署上建議參考。 HTTPS (SSL/TLS)注意事項 因此,對於網站使用SSL提供 HTTPS來說,有沒有什麼要檢查的列表呢? 加密的金鑰至少要128bits 長 SSL V2 因為已知的風險較多,必須要設定為取消。建議使用TLS 1.2 X.509 certificates金鑰長度至少要…
Browser Cache 的資訊安全測試
Browser Cache 的資訊安全測試 瀏覽器可以將瀏覽過的網頁資訊或是輸入過的資訊快取記錄, 問題是有些敏感性資料也會因此被快取記錄起來 間接造成資訊安全風險, 其他人可以利用 “Back”鍵或是 history可以看見之前所瀏覽的紀錄。 筆者前陣子到銀行開新帳戶,申請網路銀行時,第一次使用需要更改帳號密碼 於是銀行行員就導引筆者使用一台公用電腦,登入並且修改帳號密碼, 想像如果該電腦的瀏覽器是有快取的設定, 那麼該電腦就很容易造成帳號密碼外洩的管道。 因此,這篇文章主要介紹網站設定與測試所需要注意的地方。 如何測試 1. Back 最快與簡便的方式就是按瀏覽器的 “Back”,…