這個答案:無法辦到,安全性因素。 沒用過還真沒注意到這個部分,以為可以用 JavaScript 把前處理的內容替換上後上傳。結果一用方法強制套上去就噴錯誤警告! 這篇「How to set a value to a file input in HTML?」問答也滿不錯的。 想像一下如果 JavaSc …
分類彙整: 資訊安全
[資安] 黑白箱測試工具
承上篇,筆記一下針對有高規格資安審查條件的案件,可以採用的測試工具。 白箱是指原始碼的掃描,由內部直接對原始碼進行掃描尋找漏洞。黑箱則是從使用面向做各種滲透測試。 好野人高級版: 白箱工具:Checkmarx 黑箱工具:HP WebInspect 自立自強縫中求生版: 白箱工具:OWASP Sona …
[VPS] 白名單限制的防火牆規則下需設定開啟的對外連線
因案件處理到一個資安控管嚴密的主機,原以為可以直接要求開啟「外對內」與「內對外」的 HTTP 80, HTTPS 443 設定,結果說內對外不能全開,只能單獨指定開起。 囧~ 撇開 DNS 查詢的 53 Port 必開外,其他服務大多走 HTTP, HTTPS ,尤其是 Ubuntu 套件管理這塊。 …
[WordPress] CDN 的新選擇 Google Cloud Storage
這篇也不是要說什麼其他家諸如 KeyCDN, Cloudflare 這類不夠好的等等,而是我認為 GCS 在 WordPress 上真的可以比較簡易一點商用了。 對比現在使用的 AWS S3 , GCS 的操作上很直覺跟方便,現在要套上 WordPress 有這套外掛「WP-Stateless – …
[金流] 網頁統一支付介面 – Payment Request API
剛看到這篇技術文章,這個統一支付介面我想是瀏覽器後面打算推進的技術,試圖讓付款方式再簡單、統一,不用每個購物網站都打一遍信用卡資訊了! 只是方便歸方便,如何妥善保存這些資訊不要跟著太容易方便竊取也是很重要的一環。 目前看過最新版有指紋辨識的 Macbook Pro 透過生理解鎖去授權用在這上面還算可 …
[Hacker] 以 WordPress 為例,使用指令從網站存取紀錄追查攻擊
這篇寫得滿寫實的,的確是在用指令去做記錄檔(Log)的關鍵字比對最快。 簡單來說我的流程是: 未知服務何處為開口時的情境 追查最近發生的「敏感」 POST 請求 根據請求 IP 再朔源發生時間點前後記錄 確定受害目標 已知哪部分受駭 追查特定受駭檔案在記錄檔中的請求 朔源發生時間前後 取代受駭檔案為 …
[案例] 快防禦,別讓 LINE 行銷攻破你網站
業務關係,幫國內某知名醫美代管網站伺服器,就在上上週接到電話 「網站在下午五點多的時候掛掉將近十分鐘,麻煩協助處理。」 「哇,真假,我查一下。」…「疑,很正常耶!是有在做什麼行銷廣告活動嗎?」 「哦,我們正在跑 LINE@ 行銷!」 「請問是多少人的帳號呢?」 「不多拉,我想大概幾萬而已吧(!? …
[DDoS] 百度站長工具 Sitemap 主動推送功能暗藏惡意攻擊程式碼
前篇「你知道你正在攻擊明鏡時報的網站嗎?」在發現問題時還沒有深度追查是哪隻程式在作用,純粹因為並不是每次都會觸發執行攻擊明鏡時報網站以為是跟在廣告上。 但想了想越覺得不對,Google 應該不會爆這種低級錯誤才是,如果真的是的話可還真大條!整個把自己廣告龍頭招牌給大打一巴掌。衝著有可能打 Googl …
[DDoS] 你知道你正在攻擊明鏡時報的網站嗎?
更新:百度站長工具 Sitemap 主動推送功能暗藏惡意攻擊程式碼 最近在開發網站的時候觀察到一個突然的大量請求從網站發生,一開始沒注意,剛剛又發生了就順手檢查,一檢查不得了,原來我電腦正在攻擊明鏡時報! 攻擊碼如下: if ((/chrome/([d]+)/gi.exec(window.navig …
[SSL] 使用 Certbot 輕鬆部署網站 HTTPS 憑證
早期使用一開始還要去把 Let’s Encrypt 的 Github 專案給 clone 下來跑一堆流程,現在使用這個「憑證幫手」Certbot 就可以了! 進到網站畫面,選好使用的伺服器應用與作業系統,按照網頁下方指示操作,一步一步來,搞定~ 不過 Nginx 那部分的操作沒有看到範例,這裡補一下 …