6個”檔案上傳”功能的資訊安全風險與防護

6個”檔案上傳”功能的資訊安全風險與防護 有些網站會提供檔案上傳的功能,例如 DropBox、社交網站提供照片上傳或是部落格網站提供檔案上傳分享等功能。 駭客可以透過檔案上傳的方式執行惡性程式或是產生非預期的結果。因此,檔案上傳的安全防護不亞於帳號密碼的保護措施。 這篇文章主要討論這些”檔案上傳”的網站,需要注意哪些資訊安全風險與防護的建議。 我們會舉 6 個檔案上傳相關安全風險的原因、程式範例討論與安全防護必須要注意的建議。   風險1: 檔案路徑 file path injection 又稱為 path traversal。這樣的攻擊主要是透過檔案路徑的搜尋,間接存取其他網站的資源。 當URL 網址的路徑內包含  ../ 就表示該網站有潛在的風險…

Read More

密碼字典檔

密碼字典檔 這篇文章主要介紹幾個網路的資源,提供大量的密碼字典檔 也藉此說明密碼強度的重要性。因為一個容易記或是平凡的密碼 很容易透過類似這樣的字典檔被駭客透過這樣的方式或許相關資訊。 另外,也可以看看自己常設定的密碼是否有在這樣的密碼檔案裡面。   字典檔 這個檔案超過 4G ,有許多語言十分完整的字典 https://crackstation.net/buy-crackstation-wordlist-password-cracking-dictionary.htm https://crackstation.net/buy-crackstation-wordlist-password-cracking-dictionary.htm http://bit.ly/KrTcHF https://xato.net/passwords/ten-million-passwords/ https://raw.githubusercontent.com/discourse/discourse/master/lib/common_passwords/passwords.txt   另外,如果要下載小型的字典檔, http://download.openwall.net/pub/wordlists/ http://downloads.skullsecurity.org/passwords/rockyou.txt.bz2  …

Read More