2009年12月3日 星期四

出賣你的人際關係,價值是啥?

此篇暨
你!出賣朋友嗎?
誰在看我的噗 (About Micro-Blogging)?
帳號密碼妙關聯,一般會員知多少
相關社群網站系列之延伸。

社群網站存在已久了,但始終發展有限,自從臉書融入 Apple 的 APP 與線上遊戲的概念後,加上社交影響力瞬間爆紅,據傳將在美上市了。最近,也進入臉書看看裡面可以玩哪些花樣,發現對於他人的人際關係可以一覽無遺,這裡還是得烏鴉一下了。

雖然目前社群網站對於「隱私」上已經是相對注重了,不像早期的社群網站有許多惡劣手法,如「你!出賣朋友嗎?」一文所提。但...現行的「隱私設定」在預設值上,個人認為還是過於寬鬆的,預設是會開放許多隱私與人際關係的;另外一點就是設定上過於複雜,一般使用者多數是無法了解設定作業的。

2009年11月22日 星期日

帳號密碼妙關聯,一般會員知多少

這篇文其實很早就想寫了,但總認為帳號密碼管理的殺手級應用,應該隔年就快出現了。但隔了一年又一年...@@,似乎遲遲不見相關應用。希望這篇文能引起大家對帳密管理重視與分級的觀念。

身為現在網路的一份子,你有多少組帳號密碼呢?E-Mail就好幾個,還有一堆會員帳號,不是嗎?很顯然的這裡面有很大的商機,但遲遲不見相關應用產品或技術。我大膽的說,帳密問題不解決,未來雲端將沒有安全性可言。

最近臉書夯很大,取用來做個解說吧!

上圖,大家應該頗熟悉這畫面,帳號是取用電子郵件名稱,我甲意,你的密碼是啥呢?有沒想過幾個劇本呢?
一、電子郵件名稱就是密碼?生日?[太好猜,社交一下很有機會]
二、密碼是123456。[弱密碼,隨便猜猜]
三、電子郵件信箱也是這邊登入的密碼。[這劇本非常奧妙,不少人都是用這吧]

2009年7月18日 星期六

誰在看我的噗 (About Micro-Blogging)?



微型部落格」在網路上已經熱鬧好一陣子了。你噗了嗎?噗!是噗浪還是叭噗咧!

這裡有介紹頗多的「微型部落格」本身經常會遇到的問題,這裡也有詳細介紹「twitter」所遭遇到的攻擊問題可以參考。OWASP 排行榜上的第一名看來並非浪的虛名。

這篇文將會從使用者的角度來看「微型部落格」所帶來的衝擊,在說明前還是要回顧一下「網站」發展的過程,回顧歷史才能展望未來。不過,這裡我還是要強調一件事:網站攻擊不是現在才有,它一直存在,只是當今其他問題(如蠕蟲、系統漏洞攻擊)大多獲得控制(如線上更新、入侵防禦設備),而你的網站卻一直沒有進步,當然成為標靶了。

2009年6月12日 星期五

我不是教你使詐

我不是教你詐,
是教你看清世事。
免得你被賣了,
還在幫人數鈔票!

我不是教你詐,
是教你認清人性。
不可因為他們的好,忘了他們的壞;
不要因為他們的惡,忘了他們的善。



劉墉(1949年2月-),原名劉鏞,號夢然。
有關「人生、處世散文」之著作有:
* 《人生的真相》1992年
* 《冷眼看人生》1993年
* 《我不是教你詐》1995年
* 《我不是教你詐②》1996年
* 《我不是教你詐③》1998年
* 《你不可不知的人性》、《面對人生的美麗與哀愁》1999年
* 《你不可不知的人性②》2000年
* 《我不是教你詐④》2001年
* 《那條時光流轉的小巷》2002年
* 《人就這麼一輩子》2003年
* 《點滴在心的處世藝術》2004年
* 《花痴日記》2005年
* 《以詐止詐》2006年
* 《我不是教你詐⑤》2007年

第一次看《我不是教你詐》一書,是在學生時代,那時也剛好是第一本書出刊的時候,看到室友向圖書館借的書,也就一同分享了,看完只是覺得...好黑暗,果然大家都說「學生時代交的朋友,通常能夠永久」,畢竟學生時代還是單純的,且彼此認知與學習環境也相似,因此,對於「人性」仍然是茫懂。後來又接觸了另外一本書《厚黑學》,當時只是覺得不可思議,甚至,感到有些不屑,因為這跟所學完全不同,也是完全不同的思考邏輯,況且,哪時我只堅信「仁者無敵」,唉...當時年紀小。

2009年5月23日 星期六

滲透測試之全民公測 (Open Penetration Test)

滲透測試 (Penetration Test),直到目前為止仍沒有一個標準的定義。比較大的共識應該是:以駭客的角度,由外部對目標網路環境進行滲透,找出任何可進行利用之弱點、漏洞或錯誤...等,並將結果回報。

隨著地下經濟的發展與資安觀念的不斷演變,滲透測試也面臨一些角色的轉變。早期滲透測試主要找系統面的漏洞居多,一方面是當時網站還屬靜態居多,且防火牆觀念並不發達,所以主要都是蠕蟲氾濫的系統漏洞問題,滲透測試的攻擊目標往往也都在這方面。現今,網站變動態網頁居多了,IPS&FW也建置部署了,系統自動更新機制也頗完善,系統漏洞已經不易直接攻擊,面臨的幾乎都是網站的威脅,加上 Web2.0&3.0...,攻擊方式更複雜,所以滲透測試的目標也漸漸轉移到網站上。未來呢?系統應用程式的挑戰?雲端的挑戰?滲透測試也會有新的面貌出現的。

2009年2月17日 星期二

破解點閱綁架手法

看完「模擬實戰點閱綁架手法」一文,是否有心得感想呢?沒...挖勒!!

這裡寫些我的心得囉。既然整個「點閱綁架(Clickjacking)」的關鍵在"點選(Click)"動作,如果要靠防護設備或工具,如 NoScript 或 WRS ...等,提升瀏覽器安全性,但是都有萬一檔不住的問題,靠別人實在不可靠的。

所以在這裡提供靠自己的解決方案:
1.善用「複製連結」方式
 別忘了滑鼠的右鍵(對慣用右手的人),如後面數個瀏覽器的附圖可參考。然後貼到瀏覽器的網址列上,這樣還可以檢查及確定要連往的網站。
2.還有「標記(Mark)->複製(Copy)->貼上(Paste)」一式
與前項有異曲同工之妙。

2009年2月2日 星期一

模擬實戰點閱綁架手法(Challenge to Clickjacking)

啥是點閱綁架(Clickjacking)呢?
用講的太慢啦...直接來親身體驗最快。
這有個實作的體驗網站,可以點選這裡。畫面如下:

2009年1月14日 星期三

雅虎搜尋引擎遭掛馬利用!注意!

平常用 Yahoo 搜尋引擎的人要特別注意了。搜尋結果會出現帶有 XSS 攻擊的連結,若是連結目標網站存在 XSS 漏洞,會導致瀏覽者的瀏覽器軟體遭受攻擊,系統有被植入惡意程式的風險。這是網頁掛馬手法的翻新利用。該惡意連結與先前<駭客集團於新年假期展開罕見之大規模SQL Injection攻擊>一文的惡意連結相同。

2009年1月12日 星期一

「個人資料」的某些情境探討 (About Scenario of Personal Data Leakage)

個人資料外洩的問題,大家都知道很嚴重,但都搞不清楚怎回事。多數人都認為是別人的問題,很多時候都是自己把個資送出去的。
保護個人資料,「你」也有責任,且「大家」的責任更重。
可以參考「聯合徵信中心」網站的「資訊新時代 個人資料保護須知」一文。
微軟網站也有一些建議:進階技巧︰ 保護個人資料
我這裡思考了幾個情境,希望能大家能注意,這些情境不是自己做好資安防護就能解決的,畢竟很多狀況是你無法完全掌握的。