6個”檔案上傳”功能的資訊安全風險與防護 有些網站會提供檔案上傳的功能,例如 DropBox、社交網站提供照片上傳或是部落格網站提供檔案上傳分享等功能。 駭客可以透過檔案上傳的方式執行惡性程式或是產生非預期的結果。因此,檔案上傳的安全防護不亞於帳號密碼的保護措施。 這篇文章主要討論這些”檔案上傳”的網站,需要注意哪些資訊安全風險與防護的建議。 我們會舉 6 個檔案上傳相關安全風險的原因、程式範例討論與安全防護必須要注意的建議。 風險1: 檔案路徑 file path injection 又稱為 path traversal。這樣的攻擊主要是透過檔案路徑的搜尋,間接存取其他網站的資源。 當URL 網址的路徑內包含 ../ 就表示該網站有潛在的風險…
Hacking
How to detect known Vulnerability of Java or C#?
How to detect known Vulnerability of Java or C#? The objective of the article is share one tool that can…
GHOST Vulnerability (CVE-2015-0235)
GHOST Vulnerability (CVE-2015-0235) 這篇文章主要說明一個 1月底才發現的 Linux 嚴重的資訊安全風險,這個風險透過 GetHostName 的Buffer Overview 導致 Linux Server 被入侵。 由於幾乎有的 Linux 主機都收到這個風險的影響,因此建議盡快更新 Linux 版本。這篇文章說明: 這個風險是什麼…