軟體品管

6個”檔案上傳”功能的資訊安全風險與防護

6個”檔案上傳”功能的資訊安全風險與防護 有些網站會提供檔案上傳的功能,例如 DropBox、社交網站提供照片上傳或是部落格網站提供檔案上傳分享等功能。 駭客可以透過檔案上傳的方式執行惡性程式或是產生非預期的結果。因此,檔案上傳的安全防護不亞於帳號密碼的保護措施。 這篇文章主要討論這些”檔案上傳”的網站,需要注意哪些資訊安全風險與防護的建議。 我們會舉 6 個檔案上傳相關安全風險的原因、程式範例討論與安全防護必須要注意的建議。   風險1: 檔案路徑 file path injection 又稱為 path traversal。這樣的攻擊主要是透過檔案路徑的搜尋,間接存取其他網站的資源。 當URL 網址的路徑內包含  ../ 就表示該網站有潛在的風險…

Read More

當使用者回報網站有問題的時候?

當使用者回報網站有問題的時候? [wysija_form id=”2″] 這篇文章主要說明當使用者回報網站連線有問題的時候,有哪些方法與工具可以讓使用者做基本的測試? 我們會介紹兩個簡單而且免費的雲端服務。 收集使用者瀏覽器基本資訊 只要使用者連上這個網站,這個網站就會自動的將使用者瀏覽器的相關設定與資訊顯示在網頁上 另外,還可以將該網頁所偵測到的瀏覽器相關資訊用 Email 寄送給技術人員。 因此,網站技術人員就可以根據這些資訊,做初步的除錯。 https://www.whatismybrowser.com/          網路連線品質 http://www.speedtest.net/ 接著,可以查詢的是網路連線品質的狀況, 這個網站可以測試該使用者所在電腦位置與遠端電腦連線之間,所能達到的網路速度…

Read More