網站安全 — Logging 系統與使用者使用記錄 Logging 對於資訊安全系統來說是很重要的, 除了可以知道系統的使用狀況,更可以做系統的稽核 同時,也可以針對異常的使用行為追蹤與預防 這邊文章主要要探討什麼應該要記錄、什麼不應該被記錄,測試的注意項目 記錄檔的設計 設計記錄檔的時候必須考量下列問題: 記錄檔是否包含敏感性資訊 是否儲存在特定伺服器 是否有可能被誤用為 DoS攻擊 記錄檔按多久循環保存 記錄檔案多久被審查一次 記錄檔案如何被備份 記錄檔案紀錄的資訊是否會事先被驗證字元長度、合法字元等…
Hacking
Clickjacking Attack 偽裝的網頁
Clickjacking Attack 偽裝的網頁 這篇文章主要介紹一種特別的攻擊手法 clickJacking 什麼是 ClickJacking? 攻擊的技術手法 網站防護的建議 什麼是 ClickJacking ClickJacking 的主要目的是要達到讓受害者執行 Authenticated actions BUT unintentional actions 這是什麼狀況呢? 舉例來說,有兩張複寫紙,…
File Upload 的資訊安全風險
File Upload 的資訊安全風險 許多的網站都會提供檔案上傳的功能, 特別是社交網站,例如照片分享、例如多媒體影片分享等 檔案上傳如果沒有做好相關的檢查,很容易讓駭客做其他程式攻擊的使用 這裡舉幾個例子: Case 1. 惡意程式碼的上傳 駭客透過特別寫好的 Malicious.php,上傳時, 透過修改 HTTP Post 中 MIME的檔案型態, 上傳至網站,該網站的檔案位置為 website…