Clickjacking Attack 偽裝的網頁 這篇文章主要介紹一種特別的攻擊手法 clickJacking 什麼是 ClickJacking? 攻擊的技術手法 網站防護的建議 什麼是 ClickJacking ClickJacking 的主要目的是要達到讓受害者執行 Authenticated actions BUT unintentional actions 這是什麼狀況呢? 舉例來說,有兩張複寫紙,…
File Upload 的資訊安全風險
File Upload 的資訊安全風險 許多的網站都會提供檔案上傳的功能, 特別是社交網站,例如照片分享、例如多媒體影片分享等 檔案上傳如果沒有做好相關的檢查,很容易讓駭客做其他程式攻擊的使用 這裡舉幾個例子: Case 1. 惡意程式碼的上傳 駭客透過特別寫好的 Malicious.php,上傳時, 透過修改 HTTP Post 中 MIME的檔案型態, 上傳至網站,該網站的檔案位置為 website…
資料庫的交易鎖定 Locks
資料庫的交易鎖定 Locks 筆者第一年在某知名公司工作時,程式開發人員、資料庫與線上使用者, 討論到程式與資料庫讀取的設計時, 有一位資深工程師跳出來並且在黑板畫著說: “當有Transaction A 資料寫入 Table A 的時候,其他交易Transaction B就不能讀取Table A ,要一直等到Transaction A交易結束才可以讀取” (說著就把 Table A, Table B…