[已結束] DEVCORE 徵求行政出納人才 （2015.9.16 已結束徵才）戴夫寇爾即將要邁入第四個年頭，在過去的歲月中，我們推廣資安的重要性、強調安全開發。我們堅持提供最高品質的滲透測試服務，協助企業找出隱藏的資安... 2015-08-19 01:00:00 | 阅读: 27 | 收藏 | devco.re 我們 相關 測試 員工 履歷

Rails 動態樣板路徑的風險 前言從安全開發的角度來看，Ruby on Rails 是一套很友善的框架。它從框架層避免了很多過去網站常出現的安全問題，例如使用 ORM 避免大部分的 SQL injecti... 2015-07-24 01:00:00 | 阅读: 25 | 收藏 | devco.re rails 開發 路徑 樣板 我們

談 Cookie 認證安全－以宏碁雲端售票為例 前言Cookie 是開發網頁應用程式很常利用的東西，它是為了解決 HTTP stateless 特性但又需要有互動而產生的。開發者想把什麼資訊暫存在用戶瀏覽器都可以透過 Co... 2015-01-30 01:00:00 | 阅读: 29 | 收藏 | devco.re 身分 身分證 字號 網站 這個

從寬宏售票談資安 戴夫寇爾部落格停載了快兩個月，非常抱歉，讓各位常常催稿的朋友們久等了 <(_ _)>今天就乘著全臺瘋買票的浪頭，來談談一些常被忽略的資訊安全小概念吧！江蕙引退演唱會一票... 2015-01-09 01:00:00 | 阅读: 26 | 收藏 | devco.re 網站 金流 商務 電子

Android WebView 為你的使用者打開了漏洞之門你知道嗎？ 為了解決在應用程式中顯示網頁的需求，開發者一般會使用到由系統提供的 WebView 元件。而由於 JavaScript 被廣泛應用在網頁上，開發者通常也會把 WebView 處理... 2014-10-13 01:00:00 | 阅读: 29 | 收藏 | devco.re 系統 開發 網頁 風險 開發者

Shellshock (Bash CVE-2014-6271) 威脅仍在擴大中，但無需過度恐慌 自 9/24 以來，不少資訊圈朋友日以繼夜的忙碌，這都多虧了藏在 Bash 裡 22 年的安全漏洞－Shellshock (Bash CVE-2014-6271)。對於惡意攻擊者... 2014-09-30 01:00:00 | 阅读: 31 | 收藏 | devco.re 系統 攻擊 伺服器 伺服 shellshock

網路攝影機、DVR、NVR 的資安議題 - 你知道我在看你嗎？ 網路攝影機的普及率在近幾年來持續攀升，除了老人與幼兒居家照護、企業室內監控等需求迅速增加之外，結合手機應用程式讓人可隨時隨地觀看影像的方便性也成為普及的原因。當大家還以為黑帽駭客... 2014-09-24 01:00:00 | 阅读: 32 | 收藏 | devco.re 攻擊 密碼 廠商 帳號 產品

被遺忘的資訊洩漏－重點回顧 前言在今年駭客年會企業場，我們分享了一場『被遺忘的資訊洩漏』。資訊洩漏是十幾年前就被一提再提的議題，在資訊安全領域中也是最最最基本該注意的事情，然而至今很多網站都還是忽略它，... 2014-08-26 01:00:00 | 阅读: 29 | 收藏 | devco.re 我們 資訊 網站 攻擊 這樣

手機應用程式開發上被忽略的 SSL 處理 在網路上傳輸敏感資訊時，通常會使用 HTTPS 協定，讓客戶端與伺服器端對資料進行 SSL 加密處理，以降低資料在傳輸過程中被監聽或中間人攻擊的風險。HTTPS 的重要性逐漸被重... 2014-08-15 01:00:00 | 阅读: 30 | 收藏 | devco.re 憑證 處理 servertrust 開發 連線

設備不良設定帶來的安全風險：以 WAF 為例 過去談到網站安全，通常會使用防火牆或 IDS 進行防護。但近年來網站安全議題都是以網頁應用程式的漏洞居多，無法單靠防火牆阻擋。以 OWASP Top 10 2013 的第一名 I... 2014-07-18 01:00:00 | 阅读: 27 | 收藏 | devco.re 網站 存取 client 設定 xampp

Apple ID 釣魚郵件案例 今天又有不怕死的人寄來釣魚信了，這次是騙取 Apple ID。讓我們來看看這封信，其中內容有非常多破綻，也已經被 Gmail 直接定為 Spam 了，非常可憐。除了信件之外，釣魚... 2014-07-03 01:00:00 | 阅读: 26 | 收藏 | devco.re 釣魚 信件 bilsmg 網頁 攻擊

如何正確的取得使用者 IP？ 很多網站都會有偵測使用者 IP 的功能，不管是判斷使用者來自哪邊，或者是記錄使用者的位置。但是你知道嗎？網路上大多數的教學全部都是「錯誤」的。正確的程式寫法可以確保知道訪客的 I... 2014-06-19 01:00:00 | 阅读: 44 | 收藏 | devco.re 伺服 伺服器 代理 真實 proxy

Zone Transfer Statistics of Alexa Top 1 Million Zone Transfer 世界大揭秘還記得在上一篇文章 Zone Transfer CVE-1999-0532 - 古老的 DNS 資安議題中我們曾提到，若對全世界的網站進... 2014-06-13 01:00:00 | 阅读: 27 | 收藏 | devco.re tld 位址 資料 統計 subdomain

HttpOnly - HTTP Headers 的資安議題 (3) 上次我們提到了 Content-Security-Pilicy，這次我們來聊聊同樣是為了防禦 XSS 而生的另一個技術。HttpOnly 簡介Cookie 的概念雖然早在... 2014-06-11 01:00:00 | 阅读: 29 | 收藏 | devco.re 攻擊 存取 設定 我們 瀏覽器

OpenSSL 再爆嚴重漏洞，部分重要網站仍在風險中！ (本篇最後更新時間：2014.6.9 15:40 pm)OpenSSL 團隊於 6/5 修補了六項安全漏洞，SANS 在這篇文章中整理了這幾個漏洞的摘要，這裡截圖表格如下：... 2014-06-09 01:00:00 | 阅读: 79 | 收藏 | devco.re 服務 弱點 攻擊 伺服器 伺服

HTTP Session 攻擊與防護 前言大家還記得四月份的 OpenSSL Heartbleed 事件嗎？當時除了網站本身以外，受害最嚴重的就屬 VPN Server 了。國內外不少駭客不眠不休利用 Heart... 2014-06-03 01:00:00 | 阅读: 34 | 收藏 | devco.re 網站 攻擊 會員 攻擊者 竊取

LINE 免費貼圖釣魚訊息分析 晚上突然接到社群朋友傳 LINE 的訊息過來，定睛一看並不單純。這網址看起來就是釣魚網站啊？怎麼會這樣呢？難道是朋友在測試我們的警覺心夠不夠嗎？讓我們看下去這個釣魚網頁怎麼玩。... 2014-05-12 01:00:00 | 阅读: 25 | 收藏 | devco.re 密碼 訊息 貼圖 帳號 我們

搶搭核四與服貿熱潮的潛在詐騙網站 vote.tw.am最近很多人都收到了一個看起來很像釣魚網站的核四投票站台簡訊，如下圖：我們也收到了，但是剛吃飽飯實在很想睡覺，不太想理他，於是就忍不住趴下睡覺，竟然... 2014-05-07 01:00:00 | 阅读: 22 | 收藏 | devco.re 內容 我們 網站 這個 tw

Zone Transfer CVE-1999-0532 - 古老的 DNS 資安議題 前言DNS 是在 1983 年由 Paul Mockapetris 所發明，相關規範分別在 RFC 1034 以及 RFC 1035。其主要作用是用來記憶 IP 位址與英文之... 2014-05-05 01:00:00 | 阅读: 29 | 收藏 | devco.re 企業 我們 進行 測試

PHP 官網原始碼讀取案例 不安全的引用物件 (Insecure Direct Object Reference) 是個非常常見的資安漏洞，在 OWASP 公布的十大網站應用程式安全漏洞 中高居第四名。通常... 2014-04-24 01:00:00 | 阅读: 26 | 收藏 | devco.re php 網站 參數 沒有 程式