2024-11-13
如何在 CloudFlare Page 設定 A+ 等級的 HTTP Headers
在重視資訊安全的年代,網站的 HTTP Headers 設定不容忽視,本文將介紹如何在 CloudFlare Page 設定 A+ 等級的 HTTP Headers 🐸
#CyberSecurity 所有符合的文章
顯示全部 0/0 篇文章
2024-07-26
Google CyberSecurity Professional Certificate
筆記參與 Google CyberSecurity Professional Certificate 完成課程與取得證照的學習心得。
2023-12-12
Alice, Bob, Charlie, and More 😀
Explore the fascinating world of cryptographic characters. From Alice and Bob to Eve and Mallory, learn the roles and significance of these characters in simplifying complex security concepts.
2023-10-01
應用軟體或系統開發服務 - 採購之共通性資通安全基本要求參考一覽表
彙整公共工程委員會的解釋函,關於各類資訊(服務)採購之共通性資通安全基本要求參考一覽表,綜合整理應用軟體或系統開發服務相關的資安基本要求,在 RFP 與契約訂定上的參考。
2023-07-09
Web應用程式安全參考指引筆記 (Web Application Security Guide)
筆記國家資通安全研究院「106年Web應用程式安全參考指引(修訂)v2.1_1101231」關於 ASP.NET 的資安開發指引,並加上開發實務上的心得與經驗。
2022-12-10
ASP.NET MVC 使用 Entity Framework Code First
筆記如何使用 Entity Framework 在 ASP.NET MVC 專案下使用 Code First 進行開發。
2022-11-20
Web 資安漏洞大可不必 - Broken Access Control 攻防之道
系列文章介紹 Web 常見的資安漏洞,說明漏洞的實作方式以及在 .NET 環境該如何防禦的最佳實務。本次介紹的內容為 Broken Access Control 無效的存取控制。
2022-11-20
Web 資安漏洞大可不必 - 第三方元件 攻防之道
系列文章介紹 Web 常見的資安漏洞,說明漏洞的實作方式以及在 .NET 環境該如何防禦的最佳實務。本次介紹的內容為 Request Forgery,包含 CSRF 以及 SSRF。
2022-11-20
Web 資安漏洞大可不必 - Request Forgery 攻防之道
系列文章介紹 Web 常見的資安漏洞,說明漏洞的實作方式以及在 .NET 環境該如何防禦的最佳實務。本次介紹的內容為 Request Forgery,包含 CSRF 以及 SSRF。
2022-11-20
Web 資安漏洞大可不必 - Injection 攻防之道
系列文章介紹 Web 常見的資安漏洞,說明漏洞的實作方式以及在 .NET 環境該如何防禦的最佳實務。本次介紹的內容為 Injection 包含 SQL Injection 以及 XSS。
2022-07-22
Cyber Security Logs Analytics
筆記如何使用鑑識工具操作與進行證據追蹤分析 😮 但其實就是基本的 Email, IIS Logs 以及 Windows Events 分析,以及綜合上述的 Logs 資訊來判斷作業系統是否有遭受到惡意入侵 😉
2022-06-21
確認 Windows Server 所支援的 TLS 版本 (OpenSSL, Nmap & curl)
筆記如何使用 OpenSSL, Nmap 以及 curl 確認 Windows Server 目前機碼設定所支援的 TLS 版本,以符合資安稽核的要求 😀
2022-05-31
Certificate CertUtil & OpenSSL
說明如何使用 Windows 內建的 CertUtil 工具來檢視 .pfx 格式的憑證檔案,在更新 HTTPS 憑證時能夠派上用場;說明 OpenSSL 來處理各式與憑證相關的需求 😎
2022-03-08
SQL Server 安全組態設定指南 (GCB & CIS)
SQL Server DBA 的資安設定指南,邁向熟練的資料庫管理師之路,筆記 SQL Server 如何遵循 GCB 以及 CIS 提供的安全組態設定與最佳安全實務設定,來減少資料庫受到的攻擊點以及提升資安防禦 🏓
2022-02-26
Center for Internet Security, CIS Benchmark & CIS Control
介紹 CIS Benchmark 與 CIS Control,藉由相關規範與最佳資安實務建議調整 IIS, SQL Server 與 Windows Server 減少潛在的資安風險 😎
2022-02-06
SSDLC 附表十《資通系統防護基準修正規定》DSCS 的精華湯 🥣
整理 **資通安全責任等級分級辦法**中的 DSCS 附表十《資通系統防護基準修正規定》,探討其中有趣的各種資訊,包含視覺化的呈現、構面與分類的列表以及卡片化的方式,呈現控制措施。不論是在參與政府專案開發或著針對 A 級、B 級以及 C 級的機關安全責任等級,落實不同的防護基準的時候
2022-01-29
實踐 SSDLC 深入附表十《資通系統防護基準修正規定》DSCS 的饗宴 🍱
Headfirst : Defense Standard of Cyber System,藉由深入探討**資通安全責任等級分級辦法**中的,探討需求、設計、開發、測試以及部署維運階段上,需要實踐的安全控制措施,並代入 ASP.NET 的程式設計與微軟生態系的維運經驗,思索實踐方式。
2021-11-30
Penetration Test 滲透測試筆記
筆記滲透測試的步驟與使用工具,彙整各式的滲透測試工具與方法,綜合而成能夠自我實作的滲透測試步驟,在請滲透測試專業公司進行之前,能夠先以最少的費用來得到報告。
2021-07-31
Windows 事件檢視器 安全性事件 Event ID 4625 (Eventvwr)
最近在 Windows 的事件檢視器中發現 4625 稽核失敗的事件,主要是關於「登入失敗。嘗試以不明的使用者名稱,或已知使用者名稱或錯誤密碼登入。」行為的稽核紀錄。特別以實驗環境模擬如何產生出 4625 事件,已增加對於此類事件的認識。
2021-07-21
SQL Server You Don't Need Database Owner (db_owner) Role
資料庫層級的授權不應該預設選擇 Database Owner,因為 Database Owner 所具有的 Permissions 過高,應該根據使用者的實際會使用到的權限授予,依循最小權限原則 (Least Privilege)。
2021-06-11
2021 年最熱門的密碼與它的雜湊 (Popular Passwords And Its Hash)
使用 .NET System.Web.Helpers 中的 Crypto 對 2021 年熱門密碼進行雜湊列表。
2021-02-26
ASP.NET MVC 5 實作更安全的檔案上傳功能 (ASP.NET MVC Safer File Upload Implements)
不當的檔案上傳功能,可能導致被植入後門程式(webshell)或者惡意的下載檔擴散影響至網站使用者,筆記 ASP.NET MVC 如何實作更安全的檔案上傳機制,同時也探討網頁伺服器可以在那些層面協助,讓網站應用程式更為安全 🐱💻
2021-01-11
資訊系統委外開發參考規範
筆記委外開發系統時,可以參考及需要注意的規範,整理包含資安研究院、國家資通安全會報等各式規範與指引,當中的 RFP 以及契約範本都可以作為委外上的參考資料。同時如果要顧及 SSDLC 所需要的安全檢查表也可以從中取得。
2020-10-30
如何識別與確認第三方軟體是否存在弱點 🛡️ (NIST NVC / CVE / CPE)
資安領域的發展將資安弱點以 CWE 的方式做分類,其中 OWASP TOP 10 則是精選最常見的弱點種類。而具體資安弱點則是以 CVE 的方式進行標準編號,並且以 CVSS 的方式對弱點進行評分其嚴重程度。而 NIST NVD 則另外提出 CPE 的觀念,將資訊資產項目予以編號標準化,別且連結 CPE 與 CVE 之間的關係,使安全工具自動化驗證弱點成為可能。 本篇主要說明資安領域如何以標準化的方式表示資安弱點,並嘗試蒐羅各種自助式的弱點檢測方案。
2020-10-10
IIS 網頁伺服器的安全設定 (IIS Security Configuration, GCB & CIS)
本次的筆記源自 Pluralsight - Securing IIS Websites、Pluralsight - Auditing IIS Web Servers for Security and Best Practices課程心得、CSI Bnechmark IIS、技服中心 Government Configuration Baseline 的實務設定及相關文章的綜合整理:關於 IIS 安全實務設定建議。 良好的 IIS 安全設定可以和 Application Security 互相輝映,同時也可以補充不足,本次筆記綜合課程的內容,並反思個人在 IIS 設定上的心得 😄
2020-10-09
應用程式風險分類 (Threats by Application Vulnerability Category)
筆記整理 MSDN 經典資安教材Improving Web Application Security: Threats and Countermeasures)中關於「應用程式風險分類」內容。
2020-10-09
安全軟體開發檢查清單 (Web Security Development Checklist)
綜合整理安全軟體開發上安全注意的**安全原則**、**實作細節**、**最佳設定**等項目檢查清單。
2020-09-27
ASP.NET MVC 5 預設的資安機制
本次的筆記源自於 ASP.NET: Security 課程的啟發,其中討論了關於 OWASP 中常見的弱點以及其在 ASP.NET MVC 中可能出現的方式。而實際上學習的心得發現 ASP.NET MVC 有相當程度的預設的安全機制,而瞭解這些機制與 OWASP 中常見的弱點,可以更有安全開發的意識。
2020-09-27
ASP.NET MVC 5 實作更安全的檔案下載功能 (ASP.NET MVC Safer Downloads Implements)
OWASP 中不當的設定會導致許多問題,例如檔案下載功能的實作上,如果沒有正確的設定,可能會衍生出 OWASP Top 10:2013 中的 Insecure Direct Object References,導致應用程式中機敏的檔案輕鬆地被惡意使用者取用 🐱💻
2020-07-17
資安事件鑑識課程筆記
臨時參加的課程,內容卻十分豐富,能夠學習真實參與資安事件調查人員所分享的分析流程、使用工具、分析觀念,受益良多。但同時也感受到資安領域的博大精深以及短暫的課程所能夠學習到真的十分有限。筆記課程中所提及的工具、流程以及觀點筆記,讓自己可以針對相關工具去做進一步的鑽研,並將部分的工具精熟使用方式加入到工作流程。